西西河

主题:【原创】【注意】针对网上银行的网络欺诈实例之一 -- 梦里依稀

共:💬11 🌺1
全看树展主题 · 分页首页 上页
/ 1
下页 末页
家园 【原创】【注意】针对网上银行的网络欺诈实例之一

其实这是一个非常简单的欺诈,但是没有防范之心的人很容易上当,

这里贴出来,提醒各位注意。

今天打开电子邮件,收到一个伪称来自CitiBank的邮件,说我要求的

某个Transaction正在进行,我可以登陆进取,Change or Cancel

这个 Transaction.

我的 Citibank银行的操作,从信用卡支付到转账,多数都是网上

完成的,而我确实前两天请求了一个转账操作。点击那个连接进去,

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=Direct_Signon

是同真实的 Citibank (地址如下)一模一样的登陆界面,

https://web.da-us.citibank.com/cgi-bin/citifi/scripts/home/visitor_homepage.jsp

这个界面做得挺像的,不只是第一层,点击好几层进取,都完美地拷贝

了真实的Citibank的界面.

Citibank为了安全性的考虑,只是在第一次登陆的时候要求你使用ATM卡

号和密码登陆,登陆进去以后,你可以创建专门用于online操作的用户

名和密码,这样用户不必每次登陆都输入ATM卡号和密码,减少了卡号和

密码被窃的机会.

这个伪装的Citibank给你的界面则是使用ATM卡号和密码登陆的那个界

面. 当我试图转到那个使用用户名登陆的界面时,他狡猾地声称使用用

户名和密码登陆的部分正在维护,请使用ATM卡号和密码登陆:

The ID/Password Login Server is currently under maintanance.

Please, Sign On to your account with your Card Number!

这说明这个欺诈者更感兴趣的是你的ATM卡号和密码.

如果你真的去登陆,那可就惨拉,你的密码就被欺诈者知道啦,他可以使用你的

网上银行账号进行一切允许的操作,在得到你的ATM卡号之后,可以很容

易地伪造ATM卡,提取你账号里面的现金.

其实要分辨真假,先仔细看了一下那个两个地址:

伪造的

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=Direct_Signon

真实的

https://web.da-us.citibank.com/cgi-bin/citifi/scripts/home/visitor_homepage.jsp

重要的是我分别用颜色表明的部分,citibank.com是真实的Citibank的

网址,而cgi-eng.us则不是,加上前面的 citibank.com.cgi-eng.us的

目的, 完全是用来欺骗你的眼睛, 从他的主页

http://www.citibank.com.cgi-eng.us/ 进去,居然看到是他的文件目

录, 这在真实的citibank是绝不会发生的.

如果你不会分辨真假地址,最简单地防范一切这类欺诈行为的方式,是

不要从任何人给你的电子邮件中的连接中进行重要的登陆.

除了看网络地址进行分辨之外,一个辅助的办法就是可以看发信人真实

的邮件地址,Outlook中的邮件显示的是发信人的姓名,以前遇到的一些

欺诈邮件,虽然发信人的姓名使用的是具有欺骗性的名字,比如说

Citibank,但点击发信人姓名进去看到的[email protected],或者

[email protected], 这属于比较容易分辨的,但是这次进取看到的邮件地

址,却是 [email protected], 是真实的citibank的域名.

他是怎么做到这一点的呢? 一是他是citibank.com的邮件服务器的合法

用户, 这种可能性很小, 因为很容易查到, 另一个是他盗窃别人的邮箱,

这种可能性也很小.

用nslookup查了一下 citibank.com 的邮件服务器, 发现一共有

八个IP地址是 citibank.com 的邮件服务器, 结果如下:

citibank.com MX preference = 10, mail exchanger = mail3.citigroup.com

citibank.com MX preference = 10, mail exchanger = mail4.ssmb.com

citibank.com MX preference = 10, mail exchanger = mail4.citigroup.com

citibank.com MX preference = 50, mail exchanger = mail1.citigroup.com

citibank.com MX preference = 100, mail exchanger = mail0.citigroup.com

citibank.com MX preference = 10, mail exchanger = mail2.ssmb.com

citibank.com MX preference = 10, mail exchanger = mail2.citigroup.com

citibank.com MX preference = 10, mail exchanger = mail3.ssmb.com

mail3.citigroup.com internet address = 199.67.141.129

mail4.ssmb.com internet address = 199.67.139.129

mail4.citigroup.com internet address = 199.67.139.129

mail1.citigroup.com internet address = 199.67.139.25

mail0.citigroup.com internet address = 192.193.226.97

mail2.ssmb.com internet address = 192.193.226.98

mail2.citigroup.com internet address = 192.193.226.98

mail3.ssmb.com internet address = 199.67.141.129

而从发给我的这个邮件的邮件头看, 我的hotmail邮箱的邮件服务器是在

同193.68.219.42 (这个地址来自 欧洲的 Bulgaria ) 这个IP的交换中

得到这封邮件的, 而这 IP个地址并非上述合法的 citibank.com 的邮件服务器中的任何一个!

所以我的估计是, 伪造者自己设立了一个邮件服务器,自称是

citibank.com 的邮件服务器, 他通过这个假的邮件服务器成功地发送了

邮件. 但是他不可能收到任何发送给 citibank.com 的用户的邮件.

因为域名解释系统不会把这个 citibank.com 的地址指向到他伪造服务器的IP地址, 而应该指向上述八个合法地址中的某一个. 可是, 他的目的并不是想要受到你的回信, 而是要你去他指示的页面登陆.

Citibank 有一个专门处理这类欺诈的部门, 我将这个邮件报告给他们,

也将详细信息贴在这里,提醒各位注意, 千万不要上当!

带邮件头的邮件全文如下(我去掉了本人用户名的部分):

-------------------------

发件人 : Citibank <[email protected]>

答复地址 : <[email protected]>

发送 : 2004年7月25日 16:32:48

收件人 :

主题 : Your request for Express Transfer - attn: [email protected]

MIME-Version: 1.0

Received: from lamer4e ([193.68.219.42]) by mc1-f42.hotmail.com with Microsoft SMTPSVC(5.0.2195.6713); Sun, 25 Jul 2004 08:30:53 -0700

X-Message-Info: 6sSXyD95QpXovcczdwV6PDI+9krRuMzy

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2800.1081

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081

Return-Path: [email protected]

Message-ID: <xxxxxx.hotmail.com]>

X-OriginalArrivalTime: 25 Jul 2004 15:30:54.0859 (UTC) FILETIME=[60219DB0:01C4725C]

--------------------------------------------------------------------------------

查看电子邮件的源文件

Content-Type: text/plain; charset="Windows-1251"

Content-Transfer-Encoding: 7bit

Your request for Express Transfer from your Citi account to your bank account

ending in 6297, has been received and is in process.

This process usually takes 6-8 working hours to complete but is dependent on

your account preferences.

See, Change or Cancel this Transfer at:

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=Direct_Signon

If there is a problem with your request, it may take up to one week for your

bank to notify us. We will notify you immediately by email if we learn of any

problems in processing your request.

Yours sincerely,

The Citibank Team

----------------------------------------------------------------

Please do not reply to this email. Anything you send to this address cannot be

answered. For assistance, log in to your Citi account at:

http://www.citibank.com.cgi-eng.us/citifi/scripts/login/home/[email protected]&lgntype=help

and select the "Help" link in the header of any page.

Citibank E-mail & Wireless Banking Alerts - Email ID Ci072632US2NG


本帖一共被 1 帖 引用 (帖内工具实现)
家园 谢谢梦里依稀的提醒。

不仔细的话真是很有可能上当呢。

也说一个发生在我一个同事身上的例子。

某天他收到一电话,自称是某信用卡公司,问他是不是最近在某个地方买过东西,同事说没有。骗子就把他的卡号报一下,核实一遍,说要转给调查部门,然后问我同事要那个16位数码后的三位数,说要确证一下。这时我同事开始怀疑上了,说你是信用卡公司怎么还问我要那三位数呢。骗子吱唔几声后就赶紧挂了。

同事立刻给信用卡公司打电话,公司否认当天联系过他,分析原因可能他的卡号被那个骗子由某种渠道得知后,想买东西却需要那三位数的验证码。

结论:不可随便给出你的信息,哪怕对那些自称信用卡公司的。

家园 评论

这种欺诈应该算是比较简单的,也是比较容易识破的,因为它把所仿冒对象的URL给改变了,任何谨慎的用户都会发现这个问题。

真正厉害的欺诈应该是设法修改DNS服务器,使之旁路目标网站的正常URL到自己的欺诈服务器上,然后充当中间人在客户和目标网站之间盗窃有用信息。

另外需要指出的是,欺诈方不必构造自己的假冒citibank.com邮件服务器就可以发出冒名邮件,办法是直接对收件服务器使用SMTP编程,这是SMTP/POP邮件收发机制存在的一个严重问题:它们缺乏面向现代而有效的发送方身份验证能力。目前针对SMTP/POP邮件收发机制存在的这个问题,已经有一堆改进方案和学术上的建议方案,而SMTP/POP邮件收发机制一般只是用在不需要多少安全保障的环境内。

扯得远一点,IP v4本身就不是安全的,作恶者可以很容易地用虚假IP地址作为自己数据包的发送地址,也就是说,IP本身无法验证发送方的真实身份。针对这一点,IP v6做了很多改进。

评论
家园 探讨

当然直接发送SMTP消息是可以的, 但是自然不如自己建立一E-mail

Server容易, 直接发送SMTP至少需要自己编写代码, 但是建一个

E-mail Server 却相当容易.

其实他还可以增加一点欺骗性, 就是在Email 的文字中, 使用真的地址,

但连接中却使用假的地址,如下效果:

https://web.da-us.citibank.com/cgi-bin/citifi/scripts/home/visitor_homepage.jsp

你眼睛在邮件中看到的是真正的网址, 但当你点击连接, 却是被带到假

的地址.

至于改变 DNS Server, 这个难度毕竟就相当大了, 而上面的欺诈过程只

需要自己的一台机器就可以做到,不需要Hack掉任何别人的系统.

假冒IP地址, 我认为难度是比较大的, 除非你同用户是在同一物理网段

上, 否则很难. 当然我的意思并不是Literally假冒IP地址很难,而是:

你固然可以把你的数据报写成是来自某一个IP地址, 并成功地发送给远

端, 远端也确实无法分辨你身份的真假,但是远端回送消息的时候却会

把消息直接送给你所假冒的那个真实的IP地址, 除非你与被假冒者处于

同一物理网段,或者你正好处于从远端到被假冒者的路径上,或者你可以改变沿途所有路由器的信息.

而TCP传输层协议在建立连接的时候会需要 Three-Way Handshake,

过程如下:

机器1(IP1)     机器2(IP2)

|---------CR(seq=x)------------------->|

| |

|<-------ACK(seq=y, ack=x)----------- |

| |

|---------Data(seq=x, ACK=y)---------->|

机器1想与机器2建立连接的时候, 他会

发送一个连接请求给机器2, 带有sequency_number seq=x, 机器2回答

时,回送收到的数字 x 和本机产生的新的sequency_number, seq=y, 机

器1(IP1) 再次回送数据时,必须把收到的数 y 送回去, ACK=y, 连接建

立过程才算完成.

可现在如果是另外一台机器想假冒IP1这个地址,他固然可以成功地把第

一个CR(seq=x)消息送到远端,但是机器2却会把ACK送给真实拥有IP1的那台机器, 你将无法收到机器2发给你的 ACK(seq=y, ack=x)信号, 因此你也就无法在回答中放上正确的 ACK=y这一部分, 这也就意味着假冒IP1的机器地址无法同接受方建立连接, 因此也就无法真正地假冒他的身份进行一些活动.

当然假冒者可以猜测 y 这个数字,这比较容易,但是建立连接以后,机

器2仍然不会把发给IP1的消息发送给假冒者的机器,所以他能做的事情

也比较有限.

家园 这里的原则是

除非是你自己打给信用卡公司的电话,比如别人打电话给你的情况,不要在电话里面

说出任何你的信息.

真实的信用卡公司有时候还是会查验一下你的一些信息以确认你的身份的.

探讨
家园 这才是技术挑战呢,而且已经有成功案例了

否则只是改改URL,也就是骗骗愚民罢了。

家园 呵呵,代价/收益比的关系阿
探讨
家园 SMTP漏洞很多。我可以发出[email protected]这样的email。

理论上讲,安全性要求高的场合应该使用Certified email。这样当你接受到一封email的时候,你可以知道它是不是真的从Citibank发出的,传输过程中有没有被改动,并且只有你可以看到这封email。但事实上现在并不是这样。因为涉及到一个key exchange的过程,对大多数人来说,比较麻烦!

修改DNS的做法我觉得有些困难,不知道老兵有什么IDEA?

家园 【提示】IP窃取是如何实现的
家园 这事好像应该通知警察了,甚至FBI
家园 人家在美国境外,警察大概也管不着

何况我报告给Citibank, 这些事情就让他们去考虑去吧

全看树展主题 · 分页首页 上页
/ 1
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河