网络交易安全严重警告
转比危险更可怕的东西,是我们面对危险而不自知,自认为那是别人比较2才会犯的错误,而当自己遭遇不幸的时候才追悔莫及。千鸟在淘宝买邮票被骗了(via), 金额5.4W算是不小的数字,纵观他的整个操作流程,虽然加QQ、打开exe文件这些都是被千遍万遍提到的网购忌讳,但是扪心自问我们在自己遭遇这种情 况,在我经过支付宝的登陆密码、手机动态口令、数字证书、支付密码多重保护后,有多大的几率会因为过于相信自己的经验自大而受骗。
千鸟是一个老网虫,也是一个互联网从业者,他和很多混互联网的人一样喜欢网购,乐于享受支付宝、网银这种E时代支付方式带来的便捷,对于网络钓鱼、诈骗也有足够多的防范意识,而千鸟这样典型用户所犯的错误也很容易被我们重现,更遑论那些更大比例的普通用户了。同类骗子木马针对的是支付宝,这次被骗事件远没有你想象的那么简单,隐蔽性和危害性远超你的想象,而支付宝已经成为大多数网络商城的标配支付工具,波及面也可能不是我们臆想的那么小。
首先来还原一下事件过程:①千鸟在淘宝联系一个卖邮票的商家,对方表示联系老板QQ会有更多优惠。②千鸟不疑有他,通过QQ联系到这名自称老板的人。③对方通过QQ发送了产品实物图,事实上是一个包含exe可执行文件的压缩包,这个文件可能是被捆绑图片的exe文件,图标已经被修改具有很大迷惑性,双击发现不妥后但是千鸟仍然信任支付宝的三重保护机制,最后继续交易。④多次通过支付宝进行支付未成功,实际上这些交易已经被劫持,资金已经被转移。
整个交易过程中,给大家的教训除了不要用QQ等第三方IM工具、不要擅自接收不明文件等老生常谈的话题外,留下更多是新产生的巨大问号。千鸟在支付过程中已经足够小心:为预防钓鱼网站,我每一步都仔细验证了是否真正的淘宝链接,确认都没问题;为预防键盘记录,我在输入密码采用了交叉和混淆的安全措施,应该也比较保险。支付宝的三重乃至四重保护机制(登陆密码、手机动态口令、数字证书、支付密码)都无法保障交易安全吗?这是否意味着支付宝自身安全机制存在着重大漏洞?整个诈骗过程究竟是如何实现的?
昨天晚上正好看到李铁军在聊这事儿,事实上同类的诈骗木马在去年就被发现了,他去年11月就写了一篇文章进行过分析,交流过一会儿大概了解了以下一些细节:
这事儿其实和支付宝没太大关系,在你付款的时候交易已经被劫持了,说得明白一点就是支付页面已经跳转到使用其它在线支付工具的页面了,已经在后台帮你创建了一个同金额的交易,当然为了欺骗消费者这个页面完全抄袭了支付宝的页面风格,这些钱实际就进到了非支付宝的第三方户头里面。
木马的功能就是用来劫持交易,判断用户就要使用支付宝进行交易了,立刻跳转到指定的钓鱼页面。你是不是想问为什么地址栏没有发生变化,据老李称这是因为"病毒会创建贴图挡住,病毒接管浏览器会话,https对交易单的内容没有保护能力,病毒就在把交易单内容给改了,然后把正常的交易单挂着,自己再弄新的交易单,骗中毒者提交。",这一劫持方式对所有浏览器、所有网银、在线支付工具都适用。
在诱骗付款完成后,骗子又会让钓鱼页面跳转回支付宝的付款信息页面,这个页面将会显示付款失败,诱导用户重复支付、多次受骗。
骗子会尽快通过多种方式、多种渠道将骗到手的钱化整为零,通过各种方式来疯狂洗钱,大多数网络交易金额太小,警察叔叔也许都不会立案,最后你会发现追查几乎是一个不可能完成的任务。
这时候你能够了解这种诈骗方式的可怕之处,由于IE不会再地址栏显示出任何变化,所以骗子才能够悄无声息地绕过支付宝的保护机制,轻轻松松把用户手里的钱揣进自己口袋。另外一个问题是,安全软件、安全辅助软件是否存在较大漏洞,能否有效阻截这部分隐蔽性极高的诈骗木马?老李推荐了自家的金山毒霸和竞争对手360安全卫士,相对而言其它安全辅助软件只是在做拦截钓鱼网站和识别病毒的传统路子,这话是老李说的,仅给大家参考。
另外有一个有意思的话题,为什么支付宝一直以来只支持IE?尽管近期开始支持Firefox、Chrome等第三方浏览器,但也是通过桥接的方式间接支持,换言之你在Linux或Mac下面很多功能几乎没办法使用。如果说数字证书是为了保障消费安全,据了解国外的Paypal、Google Checkout均未使用类似技术,大家都知道这是一个中国式潜规则,希望支付宝能够勇敢跨出第一步,不要只围绕数字证书、安全控件做文章,通过更通用、更安全的方式保障用户资金安全。
希望这篇文章不会被看作是金山的公关文,老李那篇文章最后本来有金山毒霸的ad,最后在我严刑伺候之下已经去掉了。良好的操作习惯是最好的保障,在看到这么厉害的木马之后网购更要谨慎了,祝大家都好运,希望千鸟能早日追回钱款,给大家提供相关木马的演示视频(via)和分析文档(via)。
作者:XJP 非商业网站转载须以链接形式注明来源,商业媒体及纸媒请先联系。
文章链接:http://www.xjp.cc/2011-log/02/internet-transaction-security-warning.html 亲身经历:在淘宝被诈骗5.46万始末
今早只睡了三个小时,下午从Betacafe北京店开业现场回来,带几位朋友在和平街附近刚吃完饭到家,回了北京市公安局的电话,来好好梳理下今天混乱的思绪。 事情得回到昨晚在淘宝上买邮票,通过搜索找到目标货物,东西暂时不便透露,但量是100件。当时客服回话说“加下我们老板吧,要的多,价格得他订。”我加 了 这位QQ号为442165303的骗子,聊了会儿感觉还不错。但我发现他们这个是新店,并且仅有的十几个信用都是刷的,于是提出质疑,他答复说是新开的 店。我想想现在确实很多卖家这么做,没深究。
后来我要求发实物图看看,对方发了个rar压缩包,看到大小只有126K也没提出质疑,因为可能手机拍的。解压后是个类似“图片”的文件,于是我点了,然后就报错(典型的木马病毒)。我当时就问对方“为什么发.exe可执行文件?”并同步迅速检查了系统管理设置,还有进程服务,没发现异常。对方也回答“发成店铺装修工具了”,然后重新又给了份。虽然意识到可能已经中木马,但想到淘宝、支付宝是双重验证机制,并且有证书支持,应该不会这么容易出问题。所以,又没深究。
最后我们确定了一笔¥39,000的订单,下单时间是0点10分。付款时间大概是0点30分,印象中顺利付款成功,因为这个过程用好几年淘宝从来没在意过。为预防钓鱼网站,我每一步都仔细验证了是否真正的淘宝链接,确认都没问题;为预防键盘记录,我在输入密码采用了交叉和混淆的安全措施,应该也比较保险。过了约20分钟,骗子告诉我说还有20件,一起给我算了。我想想也合适,于是在0点58分下了第二个¥7,800的订单,随后马上进行了付款操作。但奇怪的是,网银支付成功后最后返回淘宝确认的页面居然出现错误!如下图
http://img.cnbeta.com/newsimg/110228/0727240240489254.png
我第一反应从没见过这种提示,第二反应可能淘宝出问题,于是毫不犹豫点击了“请您重新支付”,返回“已买到的宝贝”看到状态也确实“等待买家付款”,于是我马上又重新支付了一次(这个循环目地在于把钱骗干净)。这回我特地留意了每个步骤,原来网银确实提示支付成功,但只是返回淘宝后出现“错误”,而返回“已买到的宝贝”列表看到也确实还都是“等待买家付款”状态。我开始感觉有点不对,但又找不到具体原因。骗子一直说“是有网络问题,我以前也碰到过。”并劝我早点休息,不断打乱我思路,很没头绪。
而后我在招行网银活期交易记录里,看到三笔订单都已经支付,于是我怀疑可能是网银或者淘宝出问题,这不是没有可能。最终问题的关键点,我发现在订单号上。之前支付宝交易订单号都是10位,而新操作的三笔订单都是6位,说明很有可能这几笔订单根本没支付给支付宝。如下图(第四笔订单为后来测试)
http://img.cnbeta.com/newsimg/110228/0727251917447047.png
想到这里不仅倒抽一口冷气,基本确认被诈骗,三笔订单总计达到¥54,600!。联想骗子不断“拖延时间”的托词,可能是在等待提现或支付。于是马上打95555客服咨询资金去向,当时已差不多凌晨1点30分,居然还有人工客服。结果确认了我的猜想,三笔订单根本没支付给淘宝,而是到了上海的“汇付天下有限公司”,并且提供了4008202819这个客服电话。接着打到上海,同样也还有人工客服,对方告知现在正在“结算”,无法查询这三笔订单到了哪里,需要等到今早6点才可以。并且对方男性客服提供了很多参考建议,包括提醒我到支付宝后台尝试给自己“充值”1毛钱,看能否顺利到帐。我测试了1块钱,支付宝余额果然没变化,也就是上边截图中的第四笔订单。
此时已过凌晨2点,算下到6点还有四小时,本打算“坐等”,但后来实在熬不住3点睡了。
5点50被闹钟吵醒,爬起来等刚过6点再给上海打电话。接电话还是那哥们,很顺利告知钱已打到“网之易信息技术有限公司”,三笔订单号分别是:185511506, 185517495, 185517748,也提供了客服电话020-83918160,说公司的游戏部门在广州。这会我才反应过来,这不就是广州网易吗?难怪眼熟呢。马上打客服电话,没有这种业务选项,我随便挑了个游戏进人工服务。客服先说他们查不了,我表示非常严重后,他好像在记录,又说只有“订单号”无法查询,需要“流水号”,然后需上报处理等等。
其间,我不断在网络上搜索资料,终于发现了“支付宝大盗”这类木马病毒。已有不少淘友有投诉,而且我看了有类似经历,只是金额太小,公安机关不予立案,但媒体已经在关注。如果说我们这样的互联网从业者都会上当受骗,难以想象普通老百姓会如何。
这条路走不通,我选择打广州110,此时快早上7点了。广州110的意思,需要在事发当地立案,他们才可以受邀协查。于是我直接打北京110,接线员大致了解了案情和金额,让我在家等。大概10分钟,民警给我打电话到了楼下来接我,我们一起去了和平街派出所。一位民警同志先了解了情况,然后做了个临时立案,因为金额较大,需要刑警过来处理。大概8点,我抽空给网易公司的朋友彭毅打了个电话,希望网易公司能先主动冻结资金。电话陆续反馈过来,第一确实有这回事,第二钱已经全消费了,第三买了1万多的游戏点卡和4万的手机充值卡(已充给100多位用户)。
刑警大概9点过来,重新做了遍笔录,这位同志对这种事儿了解还比较多,沟通很顺畅。基本都认同,高科技团伙作案,分工明细效率极高。最后他的意思,往后警方会找网易(消费出口)和其他公司调查,但结果很可能和目前通过朋友得到的消息没什么差别。
出派出所后与彭毅联系了下,正好网易支付技术团队在北京,打车去五道口清华科技园D座25层网易公司,我们和技术人员简单碰了下。然后我就先回家了,13号线上不仅坐过柳芳到了东直门,更悲剧还是被列车员叫醒的。迷迷糊糊那会儿,心情真是跌到了冰点,主要挫败感所致。
这个事情我倒没怎么着急,来回反复考虑,自己肯定有责任,但淘宝、支付宝、网易也都脱不了干系。首先淘宝店铺是实名认证的,骗子不使用旺旺而是用QQ沟通应该有原因。其次支付宝我认为应该是被“劫持”了会话,伪装很好,但好像也太容易了吧?第三网易游戏平台居然几小时内就支持能把几万块洗干净,而且还是在后半夜,显然不合理的。
其实也认识很多淘宝、支付宝、网易公司的朋友,而且我们公司还是淘宝合作伙伴。说来也巧,正好下午去参加Betacafe北京店开业酒会,可以碰到很多淘宝、支付宝、网易的家伙。截止上午11点,网易方面除处理了帐号,也已单方面报警,并且对交易操作及时做了限制。
骗子车轻驾熟,分寸把握的很好,很多细节都是对后来的铺垫。整个过程精心策划,充分利用了各平台的弱点。资金要倒好几手,正好我这边又是网银支付而不是余额支付,查询资金去向浪费了不少时间。现在其实资金能否顺利追回已经不重要,关键怎样规避这种问题再次发生,净化电子商务环境。希望更多淘友看到避免上当,也包括各家有干系的公司从中得到教训迅速改进。
好吧,还是说点轻松的事儿,本来咱们UCDChina的朋友约好今天早上十点在Betacafe北京店碰头。我在八点电话把Angela老师吵醒之后,正在与警官讨论时,收到条群发短信“周董开会,鸟哥又进公安局了,姐要被小猪安排去应酬……”
2月27日 上午11:27
网易广州客服来电,主要表示这个事情会全力配合警方,另告知三笔订单确实是充值到了“网易宝”某账户上,并已对账户做了相关处理(昨天已知)。在我表示他们也有责任的时候,客服说“我们也是无辜的,也不知道淘宝购物的钱怎么会充值到网易宝上边。”
作者:千鳥志 {:4_282:} 本帖最后由 紫色火 于 2011-3-1 11:58 编辑
在中国还敢网购啊?连网银都不能用。。。。刷卡尽量少刷,刷也选择不能透支的卡,嫌现金不方便的话刷多少存多少现刷现存,天朝什么事情不会发生?
在天朝别指望法律或者警察叔叔会帮你,法律只追究要么引起民怨太深的要么能获得高额罚款的,警察叔叔是用来打麻将的。。。在天朝生存就要自己保护自己,小便宜别占。。。 看得我心惊肉跳的。我一直用网银在网上购物。
不过还好的是,我网银上的钱钱太少太少。都超不过2K人民币。
骗子要真瞧上我,也是他们运气不好。
页:
[1]