黑客究竟用什么姿势偷走了你的钱？ | 硬创公开课

本篇文章4170字，读完约10分钟

雷锋。搜索“雷锋”。com(公开号)出版社:这篇文章来自辛勤工作的公开课|奇怪！银行卡里的钱被悄悄地偷走了，内容是从宋的讲话中整理出来的。

分享嘉宾:宋，毕业于上海交通大学信息安全学院，与人共同创办的热衷。他现在是技术总监和高级研究员。他曾在微软(中国)安全响应中心工作，并于2010年获得微软中国杰出贡献奖。目前，我们关注安卓和智能设备的安全研究，致力于构建极客网络平台，从白帽子中收集智能设备的漏洞并向公众展示。

[敏锐的联合创始人宋玉玺]

这个世界上谁为骗局买单？随着移动支付的普及，我们的生活变得越来越方便。我们甚至可以不带钱包、现金和银行卡出门，只用手机支付餐费、娱乐费、交通费和购物费。

通常，当我们谈论支付安全时，人们最有可能想到的是钓鱼和欺诈。事实上，钓鱼和欺诈是支付领域最常见的犯罪手段，其犯罪成本低且易于实施。欺诈实际上是一种社会工程攻击。犯罪分子通常通过各种途径获取被害人的信息，如联系信息甚至被害人的个人隐私信息，然后犯罪分子利用被害人的心理弱点实施欺诈。例如，洗钱调查、开立安全账户、家庭疾病等。都是常见的欺诈手段。近日，一篇广为流传的“为什么短信可以欺骗我所有的财产”的文章也是一种欺诈手段。

所有欺诈手段的共同点是，犯罪者必须诱使受害者犯错误，只有当受害者做了错误的操作时，犯罪者才能成功。因此，只要用户保持清醒的头脑并且没有被欺骗，这是安全的吗？

答案是否定的。除了用户犯错误的机会之外，产品制造商的设计者和开发者也犯错误，他们的错误也可能导致用户的财产被罪犯侵犯，当然，制造商本身也受到侵犯。每个人都知道开发人员在编写代码时会犯错误，这就是所谓的bug。如果碰巧有一个漏洞，攻击者可以利用它未经授权访问或破坏系统，那么这个漏洞就被称为漏洞。

有些人会称这种攻击者为黑客，但为了避免混淆，我在这里不这样称呼他们，因为黑客在不同的场合有不同的含义。有时，黑客被认为是利用技术研究成果实施计算机犯罪的人，这些人也被称为黑帽黑客；有时，黑客指的是那些利用他们的研究成果来帮助制造商改进产品和保护用户安全的人。这种黑客被称为白帽黑客。

白帽子将通过各种渠道分享和展示他们的研究成果，比如geekpwn，然后我们将把这些成果提供给制造商，帮助他们提高产品安全性。因此，这些案件中的漏洞没有用于犯罪行为，而是由制造商及时修复。今天，让我们看看我们能从中学到什么经验和教训。

消费应用有什么问题？

所谓的消费应用指的是所有可以充值、购物、购买服务和其他消费行为的应用。在这种情况下，这是一个o2o离线服务应用，用户可以在应用中充值余额。然而，恶意用户可以在该应用中充值任何金额，但实际上只需支付1美分或任何其他金额。这个场景中的受害者是这个应用服务的提供者。

那么这个利用制造商的漏洞是如何产生的呢？在分析原因之前，让我们先看看攻击过程。

在这种情况下，有三方:移动应用，支付平台和应用服务器。根据制造商的假设，他们期望的是这样一个支付过程。让我们看看下图的左侧:

1.移动应用首先生成一个100元的充值订单，并将其发送到应用服务器；

2.用户获得支付链接，并根据该链接向支付平台支付100元；

3.支付平台将向应用服务器发送消息，说一个订单已经成功支付了100元；

4.应用服务器接收消息，检查支付是否成功，如果成功，则向账户余额增加100元。

这个过程有什么问题？让我们看看刚才图片的右边:

如果应用用户不是诚实用户，他没有按照订单返回的支付信息支付100元，而是改为支付0.01元，完成了支付。在这种情况下，应用服务器还会从支付平台收到一条消息，说一个订单成功支付了0.01元。然而，应用服务器并不关心实际支付了多少钱，只关心订单支付的成功与否，并根据订单金额将100元人民币充值到账户中。这样，用户成功地欺骗了应用程序制造商99.99元。

这个问题的原因是什么？这是应用服务器的一个漏洞。应用服务器不符合支付平台的api文档标准，对支付平台收回的支付结果信息进行全面验证。

二维码支付有什么问题？

我相信我的大多数朋友都用二维码来支付。在实体店显示二维码并扫描它以完成付款非常方便。让我们来看看二维码扫描支付的漏洞案例。在这种情况下，攻击者去任何实体商店消费，并支付二维码，但从受害者的帐户扣除费用。这里的受害者可以是这个支付平台上的任何注册用户。在分析原因之前，让我们先看看攻击过程。

在这个场景中，有用户、实体店和支付平台。根据付款制造商的假设，该付款流程预计为:

用户爱丽丝点击扫描代码付款。此时，支付客户端将从支付平台服务器请求二维码。假设请求的帐号是alice，支付平台服务器将返回一个二维码，它对应于alice的帐号，只能使用一次，相当于一个支付令牌。

商店的二维码扫描仪扫描了二维码，商店得到了支付令牌，因此可以从爱丽丝的账户中扣款。然而，有一个名叫查克的恶意用户，当他要求服务器支付二维码时，他在账号中填入了爱丽丝。这时，商店会在扫描二维码时从爱丽丝的账户中扣钱。造成这一问题的原因是支付平台的二维码支付协议存在漏洞，任何用户都可以越权请求他人支付二维码。

手机pos机有什么问题？

许多小商店或私人业主使用手机pos机收费，这为信用卡消费提供了很多便利。在这种情况下，消费者去商店的pos机刷卡。然而，在消费者刷卡离开商店后，恶意pos机的收款人仍然可以从消费者的卡中扣除任何金额并将其转移到他自己的账户。在分析原因之前，让我们看一下演示视频。

[视频链接对此进行标记]

这段视频是极客网和中央电视台在315晚会上合作的短片。短片展示了之前描述的pos问题的情况。在视频中，恶意的pos机持卡人在刷卡完成后，随便拿走了一张便利店的会员忠诚卡，然后通过输入任意密码，将前一张刷卡人的银行卡上的钱刷走。在这里，刷便利商店的磁条卡和输入任何密码只是触发相应的步骤卡支付。由于315晚会的时间限制，短片未能详细解释被盗画笔的过程，所以很多观众认为演示是关于复制磁条卡的。事实上，这个案例比复制磁条卡走得更远。在信用卡消费过程中，需要两个要素，一个是磁卡，另一个是磁卡的支付密码。因此，如果您只复制磁卡，您需要获得磁卡的密码。在这种情况下，当受害者刷卡时，他刷卡，输入正确的密码，并在收款客户端生成一个扣除令牌。但是，该借记卡令牌不会被加密一次，并且在刷卡后也不会失效。因此，恶意的pos持有者可以从手机的内存中取出这个令牌，并重复使用它来扣除费用。因此，本案的原因是支付平台的pos支付协议存在漏洞。

指纹支付有什么问题？

如果你忘记锁屏，把它放在桌子上，钱会被偷吗？你可能会想，“你不能转账，毕竟，你需要在付款时再次核实。此外，我设置了指纹验证，这比支付密码更安全。”大多数时候，这是真的，但如果这里有漏洞，情况就不是这样了。这个案例表明，攻击者获得了一部屏幕解锁的手机，并绕过指纹验证进行支付。受害者当然是手机被拿走的人。在分析原因之前，让我们先看看攻击过程。

按照正常的指纹支付流程，应用程序在收到支付请求时会要求认证，并让指纹驱动程序提供相应账户的身份认证信息，例如，它需要爱丽丝用户的身份信息。如果爱丽丝此时正在操作，指纹驱动控制硬件会读取爱丽丝的指纹，并将特征与爱丽丝之前注册的指纹进行比较。如果匹配成功，指纹驱动程序将向应用程序提供爱丽丝的认证信息，应用程序可以继续支付过程。然而，在这种情况下，指纹驱动程序有一个漏洞，允许普通用户打开它的调试模式。当调试模式打开时，它将不会再次检查指纹，并且它将向应用程序提供在移动电话中注册的身份认证信息，无论谁刷指纹。因此，任何人只要能插上usb线调试这款手机就能完成支付过程。

很容易理解，无论谁犯了错误，都应该避免或改正。网络钓鱼诈骗等威胁是基于欺骗用户而实施的犯罪。这时，我们通常需要教育用户避免被欺骗。至于脆弱性威胁，它是基于产品制造商的设计者和开发者所犯的错误，所以制造商当然应该承担起应对威胁的责任。

一些建议的措施，如“多锻炼有益健康”，是普遍适用和有效的，如采用加密协议，如https，以保护所有的通信和更换磁条卡芯片卡尽快。此外，还需要有针对性的措施，例如修复所有发现的漏洞。然而，每次发现并修复漏洞，成本都很高。对于制造商而言，从根本上提高产品的安全性更为经济，这就要求增加对设计者和开发者的安全教育，增强安全意识，并在架构设计、协议设计和程序开发过程中引入安全开发流程。这样，可以尽可能减少产品中的漏洞，并在萌芽阶段消除漏洞，从而降低安全应急的成本。

(演讲到此结束，以下摘录是两个精彩的问题和答案，请分享)

精彩的问答:1。问:因为有很多在线支付场景、消费者应用验证漏洞和二维码支付协议漏洞，这种未经授权的提取漏洞普遍存在吗？我们现在需要避免这种交易吗？

宋:据我们观察，相当一部分消费类应用厂商都是成长型的中小企业，他们的产品也处于开发初期，所以漏洞比较多。支付平台的制造商一般都是大公司，产品也比较成熟，所以这种严重的漏洞并不常见。软件和硬件产品的漏洞是不可避免的。作为消费者，他们不应该过于恐慌。

这个问题可以从两个方面考虑:

一方面，从技术角度来看，有必要检查和监督制造商的产品是否持续暴露低级错误和高风险漏洞，以及制造商是否及时修补了披露的漏洞；

此外，从非技术的角度来看，它检查制造商是否有政策保证支付意外损失给用户，以及它是否有能力支付。

2.问:今天提到的许多攻击方法都具有定向攻击的属性。例如，为消费者应用程序编写充值攻击代码或获取受害者的手机将增加黑客的攻击成本。我们如何理解攻击成本和这些攻击实现的可能性之间的关系？

攻击成本确实是一个需要考虑的问题:

对于每一个漏洞，都需要编写和使用专门的有针对性的攻击代码进行攻击，并且攻击成本远远高于批量发送的欺诈信息；

对于制造商来说，产品漏洞是可控的(与可能被欺骗的各种用户相比)。一旦制造商知道了攻击，漏洞将被修复，攻击者不能继续利用这些漏洞。

因此，在实际的移动支付犯罪案件中，绝大多数是欺诈、钓鱼、木马等案件，而漏洞的利用相对较少，也不是很常见。然而，考虑到支付领域的巨大犯罪收益，该领域漏洞攻击的回报率也很高，因此漏洞攻击投入实际应用的可能性很高。