漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0120374
漏洞标题:深度揭秘某兼职骗子盗刷银行卡过程(涉及快捷支付)
相关厂商:各大银行
漏洞作者: Panja
提交时间:2015-06-14 11:01
修复时间:2015-07-31 15:16
公开时间:2015-07-31 15:16
漏洞类型:钓鱼欺诈信息
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-14: 细节已通知厂商并且等待厂商处理中
2015-06-16: 厂商已经确认,细节仅向厂商公开
2015-06-26: 细节向核心白帽子及相关领域专家公开
2015-07-06: 细节向普通白帽子公开
2015-07-16: 细节向实习白帽子公开
2015-07-31: 细节向公众公开
简要描述:
高三狗,刚高考结束,趁早空闲,于是在各大人才招聘网寻找兼职。过程中遇到一骗子,于是有了下面的文章。
详细说明:
#1 该骗子自称为浙江时代出版服务有限公司,需招收大量打字员。开出的薪资很诱人,1000元/万字(凭本屌120字/分钟的手速,大概1.5小时就能赚到千元,让我来算算,要是一天干9个小时,也就有6000元/天,本屌拼了命干一年,6000*12*30≈2160000,尼玛200多万,劳资还读个P书,多干几年,就能当上总经理,出任CEO,迎娶白富美,走上人生巅峰。于是,我发觉此事背后必有阴谋,想想有点小激动,作死之心开始骚动,果断M之~~~)
#2 一上来就要我填简历,嗯,让我看看,他想骗我什么(其实此时我还是希望上面的都是我的臆想,这样就有希望迎娶白富美了~.~ ),姓名,身份证,银行卡号,预留手机号,银行名字(为什么信用社不行?支付宝不行?有鬼~)......
#3 为了安全,本屌事先把卡里的钱全转到了朋友账户,然后偷偷改了一位身份证号,发给了他
不一会儿就回我
看完回复,心瞬间碎了,当我低能儿呢,不能链接?你丫的能知道我卡里有多少?查到我身份证和银行信息不对?
不过为了深入虎穴(其实我是个记者),我将真的身份证发给了他,然后过了一会儿告诉他卡里有200了(其实啥都没干)。
#4 不一会,就发来让我回复个神马验证码给他,直觉告诉我,这验证码绝对有问题。
果然,银行短信提示我,我的卡在百付宝被开通快捷支付业务,骗子想骗走我的code(这么坏~你们城里人就喜欢欺负咱们乡下老实人~)。不过好像很酷炫的样子诶,本屌不太相信,这骗子就凭这些信息能转走本屌卡里的一毛钱。于是本屌决定化身骗子,挖掘骗子们如何从本屌卡里提现的。
#5 首先,百度了下百付宝是什么鬼?(咱乡下人没用过啊~)。
唔~原来就是百度所属的啊。于是打开了百度钱包,用自己的手机号注册了一个帐号
之后登录了进去,找到了充值的地方(骗子可能是直接把我卡里的钱全冲到了他的帐号,之后提现,可是怎么充呢?他又不知道我的银行卡密码,爆破?大数据?...)
可以看到,充值的地方有个叫快捷支付的玩意,据说这是为了用户体验(废话),所需要的信息骗子之前在索取简历的过程中已经得到了,这里发到我手机上的验证码提示内容是和之前骗子索要时是一样的。
,填完全部内容,点了同意协议并充值,
尼玛,这就成功了?期间没有输入任何密码(除了开通快捷支付验证码),劳资当时就尿了,不是说好要做彼此的天使吗?你就这么背叛了我。这安全保护措施太low了把,对了,为什么说农村信用社不支持呢?
因为人家根本就不能开快捷支付业务。
漏洞证明:
事后,为了证明以上猜测均为属实,百度下此人,真的是个骗子。(欲绝)。
修复方案:
用户们要提高自身安全意识,使用网络时,注意对个人信息隐私的保护。
至于银行,你们自己看着办......
版权声明:转载请注明来源 Panja@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-06-16 15:15
厂商回复:
CNVD确认所述漏洞情况,暂未建立与软件生产厂商(或网站管理单位)的直接处置渠道,待认领。
最新状态:
暂无
( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)