首页 > 关于效率源 > 新闻和事件 > 技术视界
【技术实战】短信嗅探盗刷犯罪,如何进行数据提取与固定?
2019年04月23日

一觉醒来钱没了!
手机上还出现很多条验证码?
可明明什么事都没做,
没丢手机
也没丢卡,
没扫二维码
也没点链接……

其实这并不是什么奇怪的灵异事件,
而是近年来频频发生的网络盗刷方法。
2019年1月,效率源协助某地公安机关
处理了这样一起利用短信嗅探设备进行的盗刷案件。

一.案件关键词

钱被转走
非自己在游戏平台消费
花呗签下借款
京东白条被使用
……

二.案件详情

报案人称一大早起来发现手机上收到很多关于消费的短信,而且这一些短信都是凌晨2点左右收到的,自己核实后发现钱的确不见了,京东白条欠款1.2万、花呗欠款1万、自己银行卡内仅剩几元钱,故向当地派出所报案。

接到报案警方梳理情况后,初步怀疑嫌疑人使用嗅探设备在深夜进行短信嗅探,拿到受害人的银行卡与各种金融平台验证码后进行消费。

三.案件分析

这种手法其实是利用了一种新型技术——“GSM劫持+短信嗅探技术”。骗子通过这种技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

什么是短信嗅探设备?

嗅探装置常使用摩托罗拉C118手机主板、天线、串口模块等进行改装,价格低廉,很容易买到,一般几百块钱就可以配一套。

骗子是如何进行诈骗的?

我们打电话/发短信的过程:手机信号是连接到离你最近的基站(BTS)然后进入RNC,MSC进行核心网的交换,再发给离对方最近的基站最后传到对方的手机中。现在虽然大家都用4G的LTE网络,但是市面上还有大量的2G的GSM网络存在,而GSM网络有一个很大的缺陷就是有很多的伪基站存在。

如果这个时候你的手机接入的不是运营商的基站,那就危险了,这就相当于你进了“贼窝”了,这个不是运营商的基站就是伪基站。

具体犯罪过程是怎样的?

Step 1

骗子通过特种设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。

1555984487564045319.jpg

Step 2

骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。

1555984516112067463.jpg

Step 3

骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。

1555984546097063771.jpg

四.案件取证

针对这类盗刷案件如何快速进行数据取证呢?小编这就将本案取证实操过程分享给大家,希望可以给您提供一定参考价值。(相关案件可联系我们提供技术协助哦~)

本案中查获的嗅探设备

1555984612630018734.jpg

嗅探设备清单
☑ 摩托罗拉 C118手机
☑ 树莓派板
☑ USB拓展板
☑ USB 转串口 FT232rl
☑ 电源变压器一个
☑ 自定义电源中心控制器一个
……

取证关键点:不能断电

针对新型伪基站短信嗅探设备采取的是U盘引导,将该设备使用的ubuntu系统直接加载到计算机内存中,故在该设备使用过程中所有产生的数据都是存放在内存中,一旦断电所有数据都将丢失。

1555984658850071221.jpg

数据提取与固定方式

1、理清伪基站短信嗅探设备的每一个模块与组件

由于设备不能断电,针对该类型的设备只能做现场勘验,现场将电子数据进行提取。因此首先第一步,我们要根据设备清单分清楚每一个组件的作用,准确找到可以使用的USB接口,为后期数据导出提供保障。如果接口不够用,图示中的HUB可取下一个,作为数据提取使用。

1555984693491026907.jpg

2、查找筛查嗅探设备截获的网络数据

本实例中嫌疑人使用的是wires hark工具进行数据查看,因此我们可以在wires hark软件的help中看到网络数据存储的位置。

1555984724992041671.jpg

1555984725086029461.jpg

3、分析网络数据内容

由于需要分析的数据为GSM 协议下的数据,所以在wires hark 中可以选择gsm_sms表达式进行解析数据。

4、提取固定网络数据

根据第三步找到数据位置后,发现该文件会被占用,无法直接导出,根据本实例经验,可以关闭wires hark软件,然后到相应路径下将数据拷贝至接入的存储介质。

操作完成,本案例数据提取工作圆满结束。
本文主要介绍了电信诈骗之利用短信嗅探设备进行盗刷案件的数据提取实战过程,希望对您有一定的参考价值。

如对文中的操作、描述有任何疑问,或者有相关电信诈骗、盗刷案件需要协助支持,欢迎拨打热线电话028-85211099或直接在微信公众号后台给我们留言。

 

【扩展阅读】

【技术实战】如何快速迁移PostgreSQL数据文件?

【技术实战】如何通过日志备份恢复SQL Server数据库删除数据?

【技术实战】手把手教你快速解除vivo手机高通系列屏幕锁(附短接拆机小视频)

【技术视界】数据库取证中,如何快速进行数据固定?

【技术视界】AI换脸“细思极恐”,教你鉴别视频真伪