木马拦截用户短信

钓鱼网站1000元“租”一个月

当小张通过伪基站将短信轰炸式发送到手机用户手中时，不知情点击短信链接的用户就会掉入小张的“雇主”们精心设计的骗局中。

资深黑客“惊云”(化名)就是小张的雇主之一。6月2日，新京报记者联系到了“惊云”。在黑客圈混了四五年，“惊云”精通源代码编写和网站搭建，但他最主要的业务却是开发钓鱼网站。

在“惊云”演示的一款“工商银行钓鱼搭配拦截码演示”视频中，他制作了一个域名为“95588”的网站，网站界面几乎和工商银行官网一模一样。

谈到做网站的价码，“惊云”说：“搭建钓鱼网站1000元一个月，手机短信拦截码500一个月，手机感染软件周租带链接整套1200一周。”

“域名是可以自己编写的，把95588、95555这种银行客服电话写进去是很容易的，只不过后缀不能是.com，只能用别的。”他说，“我们只要在这个网站里加上‘积分兑换’之类的内容，诱导‘鱼’来填写账户密码就好了。”

“惊云”所说的“鱼”，指的就是受骗填写自己银行卡信息的手机用户。

在“惊云”的演示中，当他在钓鱼网站点击“积分兑换”选项时，会出现要求填写用户身份证、手机号、银行卡账户和密码的选项，填写完后，这些信息都会发到“惊云”的另一个软件后台。“这样，‘鱼’就上钩了。”

用户填写完这些信息后，钓鱼网站还会以“需要安装安全控件”为名诱导用户安装手机木马。“不管‘鱼’填写安装还是不安装，手机木马都会自动开始安装，这样我们就可以把短信拦截木马植入到用户手机中。”“惊云”说。

在银行卡盗刷黑市里，用户的身份证、手机号、银行卡账户和密码被称为“四大件”，被植入了手机短信拦截木马的用户，黑客可以轻易拦截用户的手机信息，接收手机验证码，被称为“拦截料”。在不少从事地下交易的QQ群里，“拦截料”往往被明码标价出售。

“惊云”本身既向人出售钓鱼网站，自己也通过钓鱼网站获取他人的银行卡信息，并转手出售“拦截料”赚钱。

乌云网的白帽子黑客曾经就钓鱼网站发布报告，称钓鱼网站程序其实都很简单，重点是在界面的装修上，比如做成银行或运营商的样子。“这个链条中有专门的售卖团队，一套程序价格是几百块左右。提供程序的技术团队会给洗钱师保证一系列的技术服务，包括VPS服务器设置，网站建设甚至简单的系统安全防护”。

乌云网报告指出，为骗人而生的钓鱼网站本身也需要“系统安全防护”的原因是因为，钓鱼网站程序几乎全部存在“后门”，而如果有其他黑客通过这个“后门”同样获取了“鱼”的银行卡信息，就有可能把“拦截料”取走。很多钓鱼网站主人一天给伪基站“信使”发一万左右的工资，但取回来的“鱼”被别人盗走提前“洗”了，导致收益入不敷出。现在不少黑产从业者也在努力学习ASP程序的“后门”清理技术。

6月2日，中国银行业协会银行卡专业委员会发布了《中国银行卡产业发展蓝皮书(2017)》。报告称，通过攻击手机移动端，以欺诈手段盗取银行卡的风险明显提高。据公安部对部分省市的统计，涉及网络的银行卡犯罪案件，近年的年增长速度达到40%以上。