載入超時，點擊重試

載入超時，點擊重試

探秘銀行卡盜刷黑產

載入超時，點擊重試

一天發3萬木馬簡訊月入可達十幾萬

偽基站發木馬簡訊「設局」，釣魚網站誘導用戶填寫銀行密碼，「洗料人」通過多個渠道盜刷「洗白」

某偽基站賣家所展示的偽基站產品。

去年5月9日，最高人民法院通報了《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

這是兩高首次就打擊侵犯公民個人信息犯罪出台司法解釋。根據此次司法解釋，非法獲取、出售公民個人信息，情節嚴重者可獲刑。

近年來，侵犯公民個人信息犯罪仍處於高發態勢，而且與電信網路詐騙、敲詐勒索、綁架等犯罪呈合流態勢，社會危害更加嚴重。

我們幾乎每個人，都曾被推銷電話、詐騙簡訊騷擾過。2016年8月發生的「徐玉玉案」，即是個人信息遭侵犯導致的「惡果」。

百度百科徐玉玉案的解釋

灰產圈推出關於「個人信息泄露」的系列調查報道。

我們將通過對航空、徵信、銀行卡等領域的調查，以期找到個人信息泄露的源頭。

直到5月23日收到電子賬單，劉曉靜(化名)才發現自己的信用卡被盜刷了。「我在今年2月底申請的卡，5月初激活的，但5月4日就在不知情的情況下被刷走了一筆1990元的賬單，此後又有好幾筆被轉走。」她告訴我們。

劉曉靜不知道的是，她的信用卡信息已經泄露了，泄露渠道極有可能是在登錄銀行網站填寫信息時，遭到了虛假網站「釣魚」。

調查了解到，在銀行卡盜刷的黑色產業鏈中，1990元只能算一筆「小買賣」：從偽基站群發木馬簡訊誘導用戶點擊鏈接，到釣魚網站和攔截碼「釣出」用戶信息，再到「洗料人」通過多種通道將錢「洗白」分贓，銀行卡盜刷產業鏈已經分出了涇渭分明的三塊「業務」，每個業務上的黑產從業者各司其職，在幾乎為零的成本背後，是「月入十幾萬」的利潤誘惑。

偽基站發詐騙簡訊

上圖來源：新華網

一小時收費500元，包天4500

打開手提電腦，看著屏幕里的數字在3秒內從0跳到34，旁邊的一部安卓手機發出了「滴滴」的簡訊提示音，KK知道，偽基站已經開始正常運作了。

屏幕上的數字顯示的是他手中設備向外發送出的簡訊數量，每一個數字的跳動都意味著附近有人接收到了他發出的信息。

「並不是每個人都會看這條簡訊，」KK說，「但總有人會看，也有人會點擊裡面的鏈接。」

當天，KK發出的信息是「工商銀行積分兌換活動開始，尊敬的用戶，您可用積分4678分，兌換467.8元，點擊官網鏈接兌換，」簡訊中還附有一個開頭為95588的網站鏈接。

與正常的銀行提示不同的是，裡面的鏈接指向的並非工行官網，而是一個釣魚網站，只要進入這個網站並下載所謂的安全控制項，點擊人的銀行卡信息就會泄露出去。

也許，1000個人中只有100個人會去看這條信息，100個人里只有10個人會點擊鏈接，但對KK來說，只要有10個人點擊，就夠了。

因為KK一天平均可以發出的信息數量，是三萬條。

一位互聯網黑產從業者表示，偽基站是銀行卡盜刷產業鏈的上游，「偽基站，顧名思義，是可以偽裝成運營商基站的設備。

它一般由主機和筆記本電腦、簡訊群發器、簡訊發信機等相關設備組成，可以搜取以其為中心、一定半徑範圍內的手機卡信息，並任意冒用他人手機號碼強行向用戶手機發送編輯好的信息，偽裝成10086、四大行客服都可以。」

KK在接到發「黑料」的業務時都顯得很謹慎。

「你要發的內容是黑的還是白的？黑的要多收費。」KK這樣詢問前來諮詢「業務」的我們。

上述互聯網黑產從業者透露，所謂「黑」就是發送含有詐騙內容的簡訊，而「白」則是商戶促銷等信息。

在收到「發送黑料」的回復後，KK表示，一小時收費500元。「一般的老闆都包天，從上午九點半發到晚上八點半，一天收費4500。」若按此計算，KK一個月可以獲得十三萬多的收入。

我們曾聯繫到幾家賣偽基站的「科技公司」，公司老闆稱，基站有車載式，也有背包式，一台基站視功率、大小不同價格也不同，在6000元至1萬元間浮動，「價格不算貴，而且只要你找到了好老闆，一天就可以回本。」

KK的設備屬於「車載式」，他說，只要把設備放在車裡，然後去人流密集的地方把設備打開兜圈子就行。「有時會遇到警車，只要機靈點，及時把設備關掉就可以了。」

但現在偽基站越來越容易被檢測出來。360公司在首都網路安全日展會上曾展示了偽基站追蹤系統，北京地圖上顯示出了許多黃點和紅點，從圖中可以看到東城區和朝陽區的「點」最多，據介紹，這些都是偽基站活動的痕迹。

一家販賣偽基站設備的「科技公司」在廣告上赫然顯示，目前已經推出了可以過殺毒軟體、智能手機甚至包含「安全自毀系統」的新型偽基站。

「我們針對偽基站其實一直在升級防範類的軟體，但是有時我們研製了一款軟體出來，就發現偽基站已經更新了好幾代了。」一家安全防護科技公司的研究人員說。

某黑產群「洗料人」在招攬生意。

木馬攔截用戶簡訊

釣魚網站1000元「租」一個月

當KK通過偽基站將簡訊轟炸式發送到手機用戶手中時，不知情點擊簡訊鏈接的用戶就會掉入KK的「僱主」們精心設計的騙局中。

資深黑客「CC」(化名)就是KK的僱主之一。我們聯繫到了「CC」。在黑客圈混了四五年，「CC」精通源代碼編寫和網站搭建，但他最主要的業務卻是開發釣魚網站。

在「CC」演示的一款「工商銀行釣魚搭配攔截碼演示」視頻中，他製作了一個域名為「95588」的網站，網站界面幾乎和工商銀行官網一模一樣。

談到做網站的價碼，「CC」說：「搭建釣魚網站1000元一個月，手機簡訊攔截碼500一個月，手機感染軟體周租帶鏈接整套1200一周。」

「域名是可以自己編寫的，把95588、95555這種銀行客服電話寫進去是很容易的，只不過後綴不能是.com，只能用別的。」他說，「我們只要在這個網站里加上『積分兌換』之類的內容，誘導『魚』來填寫賬戶密碼就好了。」

「CC」所說的「魚」，指的就是受騙填寫自己銀行卡信息的手機用戶。

在「CC」的演示中，當他在釣魚網站點擊「積分兌換」選項時，會出現要求填寫用戶身份證、手機號、銀行卡賬戶和密碼的選項，填寫完後，這些信息都會發到「CC」的另一個軟體後台。「這樣，『魚』就上鉤了。」

用戶填寫完這些信息後，釣魚網站還會以「需要安裝安全控制項」為名誘導用戶安裝手機木馬。「不管『魚』填寫安裝還是不安裝，手機木馬都會自動開始安裝，這樣我們就可以把簡訊攔截木馬植入到用戶手機中。」「CC」說。

在銀行卡盜刷黑市裡，用戶的身份證、手機號、銀行卡賬戶和密碼被稱為「四大件」，被植入了手機簡訊攔截木馬的用戶，黑客可以輕易攔截用戶的手機信息，接收手機驗證碼，被稱為「攔截料」。在不少從事地下交易的QQ群里，「攔截料」往往被明碼標價出售。

「CC」本身既向人出售釣魚網站，自己也通過釣魚網站獲取他人的銀行卡信息，並轉手出售「攔截料」賺錢。

烏雲網（現已關閉）的白帽子黑客曾經就釣魚網站發布報告，稱釣魚網站程序其實都很簡單，重點是在界面的裝修上，比如做成銀行或運營商的樣子。

「這個鏈條中有專門的售賣團隊，一套程序價格是幾百塊左右。提供程序的技術團隊會給洗錢師保證一系列的技術服務，包括VPS伺服器設置，網站建設甚至簡單的系統安全防護」。

為騙人而生的釣魚網站本身也需要「系統安全防護」的原因是因為，釣魚網站程序幾乎全部存在「後門」，而如果有其他黑客通過這個「後門」同樣獲取了「魚」的銀行卡信息，就有可能把「攔截料」取走。

很多釣魚網站主人一天給偽基站「信使」發一萬左右的工資，但取回來的「魚」被別人盜走提前「洗」了，導致收益入不敷出。現在不少黑產從業者也在努力學習ASP程序的「後門」清理技術。

中國銀行業協會銀行卡專業委員會發布了《中國銀行卡產業發展藍皮書(2018)》。2017年銀行卡欺詐率為1.36個BP（1個BP是萬分之一），較上年下降0.99個BP。在互聯網、電子商務和移動支付的社會背景下，偽卡盜刷、非法套現、電信詐騙等支付領域犯罪，智能化、網路化、全球化趨勢愈發明顯。

多種通道「洗料」

「洗料人」與「料主」六四分成

在黑市中，銀行卡信息被統稱為「料」。其中，有驗證碼的「料」被稱為「攔截料」，從博彩網站以黑客技術「拖庫」出來的「料」叫做「菠菜料」，而通過POS機或者直接在ATM機上安裝盜竊軟體取得的料叫做「軌道料」。

不管從哪種途徑「出料」，最後都需要藉助一些「通道」把銀行卡中的錢盜刷出來，這被稱作「洗料」。

不管是偽基站也好，釣魚網站也好，都是竊取用戶銀行卡信息的手段，但把銀行卡中的錢「安全」提取出來，往往需要藉助專業「洗料人」所掌握的「通道」。

「CC」直言，最為「傳統」的洗料通道是直接取現，這類「洗料人」被稱為「取手團隊」，具體手法是通過技術直接複製一張與銀行卡原持有人一模一樣的銀行卡出來，然後找人直接去ATM機取款。

「這些人總是最先被抓的，我曾經跟一個取手團隊合作過，後來覺得太危險了就叫他們刪除了我的聯繫方式。」

「現在，做通道的人都是金融行業從業者比較多，或者是熟悉金融行業的人士。因為從金融系統或者第三方支付平台上將錢『划走』比較安全，風險也比較小。」「CC」說。

我們以出料為名聯繫到一QQ名為「誠信為本」的專業「洗料人」。據他介紹，這一行的「行規」基本是開釣魚網站的「料主」把出的「料」先提供給洗料人，洗料人通過自己的通道將銀行卡里的錢提取出來，所獲款項再與「料主」按一定比例分成，一般是隔天回款。

「誠信為本」表示他走的是「銀行通道」，和「料主」按6：4分成。「我6你4，如果做得久了，老客戶我們可以按照5：5分成。」他向我們出示了一個顯示時間為6月7日的招商銀行的電子回單，「我們可以出四大行以及招行、浦發的儲蓄卡，宗旨是一條料出到底，絕不跑單。」

但實際上，「料主」與「洗料人」之間常常發生「黑吃黑」，「料主」給了「洗料人」錢之後，「洗料人」獨吞利潤的案例也不鮮見。

6月8日，在一個從事黑料交易的QQ群中，一位「料主」與「洗料人」就發生了爭執。「料主」稱已把「料」發給了洗料人，但「洗料人」隔了三天都沒回款。「洗料人」則喊冤稱「錢還在，我根本沒有洗這個料」。

「實際上，任何擁有手機簡訊許可權，能通過銀行卡卡號和密碼進行轉賬操作的平台，都可以作為『洗料』的通道，不同的是安全與否。」一位了解互聯網黑產的人士告訴我們。

該人士介紹，目前流行的「通道」包括開通快捷支付的各類網上銀行系統，以及遊戲幣、卡盟話費或者其他第三方平台。

我們查閱多份「信用卡詐騙」相關判決書後發現，在獲得「料主」提供的銀行卡信息後，「洗料人」可以利用上述信息騙取銀行客服的信任，修改或增加被害人信用卡所綁定的手機號碼，或者直接攔截被害人的手機簡訊。

而「洗料人」在法院當庭供述的洗料「通道」包括支付寶、微信、易付寶、「去哪兒網」賬戶、「攜程網」賬戶、電子加油卡賬戶等第三方支付平台。

利用「簡訊嗅探」新型盜刷頻發

本段文章節選自灰產圈的好夥伴「終結詐騙」

前幾個月，豆瓣網友「獨釣寒江雪」的文章《這下一無所有了》刷爆整個網路，她以切身經歷講述了自己在毫不知情的情況下，支付寶、京東及關聯銀行卡被盜刷的全過程，諸多媒體也對這種「簡訊嗅探+中間人攻擊」的手法進行了解讀。「終結詐騙」到深圳市公安局龍崗分局龍新派出所，讓犯罪嫌疑人對犯罪手法進行了全程還原。

由於現在很多網站採取「手機號+驗證碼」的認證方式，在支付場景下，最多也就會認證姓名、身份證號、銀行卡號。因此，要想實現盜刷，只需知道一個人的手機號、姓名、身份證號、銀行卡號、驗證碼就足夠了。小A是怎麼做的呢？

第一步：用偽基站捕獲手機號

之前有媒體報道過，要想捕獲受害人手機號，只需要在一台偽基站狀態下，進行中間人攻擊即可。當然，前提是受害者的手機必須處於2G狀態下（這句話是重點，請先牢記）。

小A拿出了那個美團外賣的箱子，原來這就是他購置的中間人攻擊設備，為了能夠放到車裡，他精心做了改裝。這個設備有一個偽基站、三個運營商撥號設備以及一個手機組成。

為了演示整個過程，小A讓一個民警把手機從4G切換到2G，充當受害者手機。他啟動了這套設備後，不到30秒，小A手中的手機就接到了一個電話，大家一看，這個電話號碼就是民警的手機號碼。但神奇的是，民警的電話表面看並沒有任何操作。

怎麼回事呢？原來這台設備啟動後，附近2G網路下的手機就會被輪流「吸附」到這台設備上。此時，與設備相連的那台手機（中間人手機）就可以臨時頂替被「吸附」的手機。也就是說，在運營商基站看來，此時攻擊手機就是受害者的手機。

根據事先的設定，中間人手機就可以自動向小A控制的另一部手機撥打電話，這樣小A就知道受害者的電話號碼了。

第二步：簡訊嗅探

光知道手機號碼其實沒太大用，因為很多網站至少需要知道驗證碼才可以登錄。這個時候，簡訊嗅探設備就要發揮很大作用了。一部電腦+一部最老款的諾基亞手機+一台嗅探信道機就可以組裝好了。

從上到下依次是變壓器、嗅探信道機、電腦、車載電源

小A啟動電腦及相關軟體後，先用手中的那台老款諾基亞手機尋找頻點，小A告訴我們，尋找頻點最關鍵的一點是對方的手機不能移動（這個也是重點，請也先牢記）。

前期準備工作做完後，神奇的一幕發生了，小A的電腦上很快就出現了幾十條簡訊並且在不斷增加，而且都是實時的。也就是說，這台簡訊嗅探設備啟動後，能嗅探到附近（大約一個基站範圍內）所有2G信號下手機收到的簡訊。

從簡訊中可以看出，有辦理稅務業務時收到的二維碼，有銀行發來的餘額變動通知，有的簡訊內容中還完整展示了銀行卡的賬號。當然，我們對這些信息都做了處理，不會造成任何風險。

也就是說，通過這台簡訊嗅探設備，小A們是可以實時掌握我們手機接受到的簡訊內容的，當然，有個很重要的前提是，這台手機必須開機能正常接收到簡訊，而且必須要在2G信號下，而且要保持靜止狀態。

第三步：社工其他信息

所謂社工，是黑客界常用的叫法，就是通過社會工程學的手段，利用撞庫或者某些漏洞來確定一個人信息的方法。

其實通過前兩步，小A登錄一些防範能力較低的網站（一般只需要手機號+驗證碼）綽綽有餘。但是他們的目的並不僅限於成功登陸，而是要盜刷你名下的錢。所以還需要通過其他手段獲取姓名、身份證號、銀行卡號等信息，他需要社工手段來確定這些信息。

小A在現場演示社工手段

小A現場演示了他掌握的一些社工手段，讓所有在場的民警、安全專家目瞪口呆。因為他所利用的都是一些著名公司企業的常用網站、工具，但是這些網站、工具在設計過程中都存在一些能被利用的漏洞。

具體的辦法二弟肯定不會在這裡寫的。但是，要提醒以下單位負責安全管理的人要迅速與終結詐騙團隊取得聯繫，我們驗證完身份後，會告訴你漏洞在哪裡。

目前僅小A掌握到的辦法就涉及到以下公司，他們是：支付寶、京東、蘇寧、中國移動、招商銀行、工商銀行。而據小A交待，他們這個圈內每個人都掌握一些辦法，有漏洞的肯定不止這麼多。

第四步：實現盜刷

小A經過前面幾步的工作，已經掌握了一個人的姓名、身份證號、銀行卡號、手機號，並能實時監測到驗證碼。這個時候，他就可以去盜刷了。因為很多網站在設計的時候，只需要輸入這些就可以完成支付。甚至可以通過這些內容來更改登錄、支付密碼。

但還是請大家不要恐慌，很多知名網站、APP的風控做得還是比較好的，一般在識別異常後可以及時發現並攔截，為用戶減少損失。我們可以從網友「獨釣寒江雪」的支付寶操作過程，來清晰看到嫌疑人的動作和風控措施的啟動情況。

本圖來源：深圳市反電信網路詐騙中心公眾號

1. 嫌疑人1時42分通過「姓名+簡訊驗證碼」的方式就登錄了支付寶賬號。這個過程只需要用偽基站和嗅探設備就可以實現。

2. 嫌疑人1時45分和1時48分通過社工到的信息對登錄密碼和支付密碼進行了修改，並且綁定了銀行卡（是的，哪怕你以前沒有綁定該銀行卡，他們也是可以給你綁定上的）3. 1時50分~2時12分別通過輸入支付密碼的方式進行網上購物932元，並提現7578元。4. 3時21分，嫌疑人想通過提現到銀行卡上的錢進行購物，支付寶風控措施啟動，要求人臉校驗，沒有通過後校驗嫌疑人便放棄。此時，在支付寶上的消費也就是932元。

當然，支付寶的安全等級算是高的，從小A的交待中，我們還發現了許多網站的風控措施不嚴格，很容易被利用，比如每天最高限額定得過高（某知名銀行每天限額達到5000元），比如更換設備登錄、頻繁登錄沒有人臉或密碼校驗等手段，再比如可以在網站上進行小額貸款等操作。

從上面的介紹可以看出，嫌疑人要實現盜刷需要很多條件：

第一，受害者手機要開機並且處於2G制式下；

第二，手機號必須是中國移動和中國聯通，因為者兩家的2G是GSM制式，傳送簡訊是明文方式，可以被嗅探；

第三，手機要保持靜止狀態，這也是嫌疑人選擇後半夜作案的原因。

第四，受害者的各類信息剛好能被社工手段確定；

第五，各大網站、APP的漏洞依然存在。

要滿足以上所有條件，需要極大的運氣。據小A講，他一個晚上雖然能嗅探到很多簡訊、捕獲到很多號碼，但最後能盜刷成功的少之又少，而且因為很多公司的風控很嚴，盜刷的金額也都比較小。

要滿足以上所有條件，需要極大的運氣。據小A講，他一個晚上雖然能嗅探到很多簡訊、捕獲到很多號碼，但最後能盜刷成功的少之又少，而且因為很多公司的風控很嚴，盜刷的金額也都比較小。因此，我們要辯證、完整地看待這類犯罪，即要了解原理，也不要過於恐慌，二弟提供給大家幾項最實用的辦法：

• 中國移動和中國聯通的手機是高風險用戶，如無必要，睡覺前直接關機或者開啟飛行模式。你無法接收到簡訊，嗅探設備也無法接收到。
• 如果發現手機收到來歷不明的驗證碼，表明此刻嫌疑人可能正在社工你的信息，可以立即關機或者啟動飛行模式，並移動位置（大城市可能幾百米左右即可），逃出設備覆蓋的範圍。
• 關閉一些網站、APP的免密支付功能，主動降低每日最高消費額度；如果看到有銀行或者其他金融機構發來的驗證碼，除了立即關機或啟動飛行模式外，還要迅速採取輸錯密碼、掛失的手段凍結銀行卡或支付賬號，避免損失擴大。

同時，我們也敬告廣大企事業單位，對於自己單位網站、APP上的一些漏洞，要及時進行處理，避免被更多黑產人士利用，要注意在安全與便利之間找到平衡點。也再次提醒支付寶、京東、蘇寧、中國移動、招商銀行、工商銀行安全管理團隊與我們取得聯繫，及時封堵此次小A發現的漏洞。當然，需要說明的是，這些漏洞並非是十分危險的技術漏洞，而是存在被黑產利用的風險。

難題：「盜刷很難判斷泄露環節在哪裡」

最高人民法院與最高人民檢察院聯合發布《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》

《解釋》明確，非法獲取、出售或者提供公民個人信息違法所得五千元以上，即應當認定為刑法第二百五十三條之一規定的「情節嚴重」，可處三年以下有期徒刑或者拘役，並處或者單處罰金。

21CN聚投訴在發布的銀行卡盜刷大數據顯示，2017年度，銀行卡盜刷全網公開的投訴量共7095次，累計造成客戶經濟損失1.83億元。2017年工商銀行全年盜刷投訴量1923次，成為盜刷投訴第一大戶，佔總投訴量的25.6%，涉案金額3874.8萬元。

聚投訴關於銀行卡盜刷的投訴截圖

律師表示，一般用戶銀行卡信息泄露後遭到盜刷，很難判斷泄露環節在哪裡。但銀行卡在盜刷時總會有IP地址顯示，銀行卡持有人只要證明銀行卡被盜刷時的IP地址和本人當時所在地址不一致，就可以證明這單交易非本人操作，從而獲得銀行理賠。

「在實際維權過程中，如果銀行卡持有人舉證證明銀行卡確實遭到盜刷，且過錯是銀行方面的漏洞，是可以獲得銀行賠償的。不過在釣魚網站泄露信息被盜刷的情況並不屬於銀行本身存在漏洞，只能說騙術過於高明，在這樣的情況下，銀行不需承擔責任。」律師表示。

我們撥打工商銀行及招商銀行客服諮詢銀行卡被盜刷之後可如何處理，工行客服回復稱，如果用戶賬戶遭到盜刷，可以立即申請拒付以避免更大損失；

如果上了賬戶安全險，遭到盜刷後可以獲取一定數額的賠償，但並不能保證被盜刷走的錢一定能被追回來。招行則回復稱具體處理情況需要根據盜刷者是境內境外盜刷以及線上還是線下盜刷來具體分析。

2017年，曾經報道，受害者許先生在回復一條簡訊後，銀行卡、支付寶、百度錢包內資金被盜走的情況。網路安全專家當時分析，這是一則利用「個人信息＋USIM卡＋改號軟體發送詐騙簡訊」盜取資金的案件，在實施詐騙之前，騙子掌握了大量受害者的個人信息，包括姓名、手機號、身份證號、網銀賬戶和密碼，銀行預留的驗證手機號。

不法分子獲取個人信息主要的途徑包括無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和新型黑客技術竊取等。

結尾

結合前段時間發生的額蘋果ID用戶被集體盜刷的事件，我們可以得出結論：

互聯網上沒有絕對的安全，也沒有絕對的風險。

我們一定要保護好自己的財產，以及提高風險意識

關注我們灰產圈，通過我們解析的每一條灰色產業鏈，最真實最直接的讓你讀懂灰色產業，從而避免上當受騙以及財產損失。

灰產圈致力於深挖互聯網黑灰產業鏈，我們的目的很簡單：讓大家知道真相，從而傳播給身邊的人，我們一起來傳播正能量，傳遞防騙知識！

●iPhone用戶賬號集體淪陷：700多人被盜刷 ，蘋果公司 : 無法退款！

●嚇skr人：一夜清零，一無所有！GSM劫持？簡訊嗅探？揭秘銀行卡盜刷灰色產業鏈！

●揭秘簡訊轟炸機背後的真相，盜刷者一夜賺十萬

●個人隱私交易黑市大起底：是誰在盜販公民信息？

推薦閱讀：

相关文章