本文目录一览:
名词解释
私彩:包括但不限于地下等违法活动
彩单:具体的私彩号码
庄家:地下坐庄的人,接受别人在他这里下注
买家:购买私彩的人
改单者:提供修改短信/微信聊天记录服务的人
关键词:私彩、聊天记录修改、Android木马、钓鱼、远程控制、隐私窃取
0x01 网络发展简介是一种拿有价值的东西做注码来赌输赢的游戏,是人类的一种娱乐方式。虽然任何在不同的文化和历史背景有不同的意义,但是它们都是利用人们以小博大、好逸恶劳、一夜暴富侥幸心理,最终往往都是输多赢少,甚至血本无归。
一、地下简介
【2】是香港唯一的合法彩票,是少数获得香港政府准许合法进行的之一,从1975年开售乐透式彩票多重彩,取代原先的马票,由代为受注,现已改由以香港奖券有限公司的名义接受投注及开彩。香港政府和从来没有于香港以外地区开设投注业务,亦没有委托任何人或组织进行相关业务。因此,中国大陆所有以“香港”、“”、“香港”或类似名目进行的活动,均为假冒。另的官方网站于中国大陆是不能登入的,因此声称能在中国大陆可以直接登入的网站,均属假冒网站。
我国刑法第三百零三条规定:以营利为目的,聚众,开设赌场或以为业的,都以罪论处。处3年以下有期徒刑、拘役或者管制,并处罚金。我国大陆禁止任何个人和组织经营,在政府的大规模严历打击下,“”也因此而转移到地下,俗称“私彩”,私彩指的是私人作庄的地下【3】,它的形式多种多样,包含但不限于地下。是假冒香港的号码招来的活动,私彩的投注金额从几十至几千元不等,赔率更视庄家的财势而定,有很多纯粹是金钱。在香港地区属于合法的,但在大陆是禁止任何个人和组织经营香港的。然而在2000年左右,内地却有些不法之徒自己坐庄,玩起了香港。
二、传统私彩介绍
由于内地的“”和香港的并无实质联系,只是利用了香港开出的号码和其名声,由庄家及其合伙人以不公开的地下联络方式进行押注或购“码”而全程控制操作来牟取暴利。公众购买就是与庄家,且决无胜算。
通常私彩庄家为推动买家买码的热情,可能给出比香港更高的赔付标准,在1~49这49个数字中有一个数字为中奖号码,这个数字称为“特马”,参与者买中了“特马”,则会得到1:40的奖金,庄家还通过非法自制印刷“马报”(香港赛马和的新闻报纸),并包装成各种所谓的“玄机图”出售或免费发放。由于赔付巨大,庄家还会营销幸运者,通过幸运者的榜样作用,激发人们的热情,加大押注,扩大范围。
传统私彩一般通过线下的方式交易,下单和兑奖。通常存在于城中村,市区近郊及工厂周边。如出现巨奖,常常出会现庄家跑路,无法兑付。因此存在较多的不稳定因素。国家对这种场所的一直保持高压态势,于是出现了私彩交易的方式。
传统私彩人员结构采用典型的金字塔型。顶端的庄家从小庄家那里收单,开彩,通过各种欺骗推动彩民,小庄家则负责抄单及整理从抄单者那里收取的钱和彩单。抄单者一般是隐藏在各个城乡结合地,工厂附近,负责把收集的彩单和钱给小庄家,并从中收取抄单分成。
【图1.1】传统私彩角色划分
三、新兴网络介绍
(一)类相关数据分析
类信息通常使用伪基站、社交媒体、宣传网站等各种渠道传播,根据360互联网安全中心最新发布的《2016中国伪基站短信研究报告》【4】显示,类短信主要集中在四川、重庆等地。
【图1.2】伪基站短信类别地域分布
四川地区类伪基站短信占比24.7%,居首位,而广东、重庆分别以22.8%和16.6%位居其后,而其他地区则明显较少。
【图1.3】类伪基站短信省级区域Top10。
(二)通过电脑的方式在网站上
新兴的网络由线下转为了线上,通常使用电脑完成,例如:庄家提供多个平台,每个平台由不同的代理来发展人员,给人员分配账号,买家通过汇钱到该平台获得赌注,并在该平台上进行在线,一般平台可进行资金提取,但提取时都会有最低限额或最高限额。这其中也不乏一些骗子,在人员汇完款之后资金提取慢,拖延,甚至账号被直接删除。由于本身违法,买家不能通过正常的渠道追回损失。
【图1.4】传统网络结构图
(三)通过移动端社交平台进行私彩
社交平台方式一般是由买家通过短信或社交软件的形式把彩单直接发送到庄家手机来进行投注。待开奖后,根据聊天记录中的彩单进行兑奖。这种方式非常隐蔽,庄家不用像以前一样手写抄单给公安机关留下证据,兑奖时也是直接查看聊天记录,下注与兑奖以网络转账的形式进行。一切操作均在手机上完成,不易留下痕迹,给公安机关调查和取证带来极大不便。
【图1.5】移动端社交流程图
(四)传统平台与移动平台对比
【图1.6】传统私彩与新型社交平台对比
0x02 移动社交平台带来买家的“春天”由于传统线下的方式容易遭到打击,私彩的运行模式逐渐由线下转为线上,在电脑上进行私彩下注。然而这种方式常常伴随着,骗一个是一个的情况很常见,由于存在赌注无法兑付的风险,买家往往都抱着观望和怀疑的态度。随着移动互联网的兴起,渐渐的移动端开始出现私彩的踪迹。在出现移动互联网之前,买家往往输多赢少。但是,根据360烽火实验室最新追踪发现,在移动互联网上的买家,输多赢少的局面似乎发生了一些微妙的变化。
一、黑客盯上地下
随着移动互联网的兴起,为地下私彩躲避打击提供了有利的平台。线下庄家开始提供直接在短信或社交平台上下单,通过聊天记录进行兑奖的服务。由于这种方式操作简单,传播速度快,兑奖方式简便,受到线下庄家及买家的欢迎。
在庄家提供以上服务的同时,黑客也开始参与进来,由于移动互联网私彩的中奖的关键是聊天记录,黑客们开始声称他们能修改发出去的短信和微信聊天记录,将原本没有中奖的彩单,改成中奖号码。该技术受到买家的欢迎,并纷纷开始与黑客合作。该技术方法最早可追溯到2014年4月,利用软件修改短信聊天记录的当时标价在5~8万元左右,修改社交平台聊天记录的,黑客与买家对获利进行三七分成,只有大客户才能享受。经过2年的发展,修改短信记录的软件标价已跌落至5000元左右。但社交平台修改聊天记录还是存在,根据最新追踪发现,黑客可以从高级客户那里赚取每单至少1.5万元的分成。
【图2.1】分成模式
二、移动互联网常规私彩步骤
通过调查发现,买家通过短信方式或者微信等聊天工具将彩单发送到庄家那里下注,并通过网络或线下的方式把钱转给庄家。等开奖时,庄家对照买家的彩单,进行兑奖。
【图2.2】一般私彩步骤
三、黑客与买家“合伙”攻击庄家简要步骤
买家首先确定下注的号码并向黑客提出彩单修改的需求后,可以有以下两种方式实施攻击。
(一)利用短信
黑客向买家转发一条Android木马的下载链接,买家再将此链接转发给庄家。一旦买家安装上,即可潜伏。等到开奖时,通过短信、网络指令修改彩单。
(二)利用微信
黑客向买家转发一条经过处理的彩单微信消息,该彩单转发买家后,即可潜伏。等到开奖时,通过网站后台修改彩单。
【图2.3】黑客与买家定向攻击步骤
0x03 黑客与买家的“合作”在找到合适合作对象之前,黑客对他所具有的技术要进行宣传和营销,以便告诉买家该技术的真实性。
【图3.1】黑客是如何和买家走到一起的
一、黑客如何获取有需求的客户
(一)建立自己的官方网站
黑客网站常常伪装成正常网站,并看上去很正规,但内容却只有懂的人才知道,黑客网站上有较为详细的操作教程,以及联系方式。以便买家快速了解。
【图3.2】宣传网站之一
【图3.3】宣传网站之二
(二)寻找目标人群精准投递
1)当买家使用手机通过搜索引擎搜索到黑客的官网地址并打开访问时,黑客主页中的窃取隐私的代码即运行。
【图3.4】手机号码窃取代码
2)经过层层分析发现,最终会通过访问WAP手机网站泄露了买家的手机型号及手机号码。
【图3.5】手机号码泄露数据包
【图3.6】手机号抓取后台截图
3)随后的几天之内,买家就会收到黑客的精准营销短信。
【图3.7】改单者发送的精准营销短信
4)录制宣传视频广泛传播
【图3.8】改单者的宣传视频
5)借助论坛发帖兜售
【图3.9】改单者出售改单软件
二、买家如何了解到黑客技术的
(一)通过搜索引擎
买家通常使用搜索引擎来找技术提供者,通过360商易对搜索行为的分析显示,广东的买家在搜索指数中排第一,说明黑客的客户大多以广东的买家为主。
【图3.10】潜在买家分布图
(二)通过垃圾短信
【图3.11】通过垃圾短信了解信息
三、攻击对象的选择标准
在黑客与买家达成合作意向后,买家需要对庄家进行进一步的筛选,以确保在过程中不被发现,所以之前的信息搜集,筛选工作很重要。
(一)手机系统决定实施的方案
庄家的手机的操作系统通常是安卓系统或苹果系统。使用安卓系统的庄家优先使用短信形式,而使用苹果系统的庄家则多采用微信形式。
【图3.12】短信形式与微信形式方案实施对比
(二)日常行为关键信息搜集
对庄家日常行为的搜集越详细越好,目的是根据庄家的行为来评估改单的风险性。
【图3.13】日常行为关键信息决策图
0x04 步骤及相关技术揭露通过前期的准备工作,了解庄家收单行为后,确定了要实施的方案,就可以开始进行定向攻击了。下面将对这几步攻击步骤及其技术实现进行详细揭露,定向攻击的场景分为短信和微信两种形式,两种的实施方式有明显的差异。
一、使用短信攻击关键技术揭露
(一)发送Android木马下载地址短信
如果庄家使用的是Android操作系统手机,买家会先通过短信或微信的方式发送一条Android木马下载链接给庄家,随后通过短信,微信等方式诱导庄家安装Android木马。一旦庄家装上该木马,木马随即进入潜伏状态,即完成过程的关键一步,类似短信如下图。
【图4.1】木马下载地址短信
根据360烽火实验室对该木马感染情况的分析,广东地区被感染的用户最多。
【图4.2】感染庄家分布图
这种手法的短信,我们在之前FakeTaobao系列木马【5】的分析中也进行了详细的揭露。是目前移动场景上对用户影响最大的一类短信。
(二)潜伏期的Android木马功能点分析
潜伏期的木马,对手机的正常使用没有任何影响,且无图标,用户无法感知。
功能一:远控功能
木马集远程定位、上传短信、新短信监控等功能于一身,功能全面足以监控庄家的一举一动。而这所有功能的操控又可以分为短信指令,和网络后台的方式。
【图4.3】短信指令与网络后台指令对比
1)短信指令形式修改短信代码
【图4.4】短信指令修改短信代码
2)后台指令形式修改短信代码
【图4.5】网络后台指令修改短信代码
功能二:中间人攻击
中间人攻击是一种常用古老的攻击手段,并且一直到今天还具有极大的扩展空间,中间人攻击通常用于网络攻击,其目的是对信息进行窃取和篡改。然而,随着近几年移动终端的发展,移动终端越来越离不开我们的生活。移动终端存储着大量的用户隐私信息,控制了用户的手机,意味着拥有了对用户隐私完全的获取能力。
【图4.6】中间人攻击篡改数据代码
【图4.7】该场景下的中间人攻击示意图
(三)发作期的Android木马功能点分析
1)发送短信
当确定何时实施改单之后,首先向庄家下单,例如使用短信指令形式,直接将彩单通过短信发送给庄家;使用后台指令的形式,直接在黑客提供的后台操作,木马通过联网的方式,获取需要插入的彩单。在庄家手机中完成修改买家彩单的操作。
【图4.8】发送彩单代码
2)开彩后改单
开彩后,当确定需要修改的内容后,迅速发送一条控制短信给庄家手机上。由于这个时候是庄家最忙的时候,不容易被发现。
控制短信格式:#{原短信内容}#{修改后的短信内容}
【图4.9】替换内容代码
3)短信修改方式揭秘
短信修改是匹配关键字的形式,在成功匹配到指定关键字的短信之后,随即使用新的内容替换该关键字。
【图4.10】修改短信代码
4)修改短信彩单效果前后对比
修改后的短信,除了内容被修改以外,其它比如短信接收时间,发送号码,均未更改,尽可能的做到了隐秘修改,降低被发现的风险。
【图4.11】修改短信彩单效果对比
5)收集新短信,全面监控庄家短信来往
【图4.12】监控新短信来往并上传
二、使用微信攻击关键技术揭露
由于微信改单无需安装软件,跨平台的特点,比较适合攻击使用苹果手机的庄家。价格也比较高,大多采用黑客与庄家分成的模式,或者直接卖后台账号的形式来获利。
(一)微信彩单形式
1)图片形式
【图4.13】图片式假彩单
2)文字形式
【图4.14】文字式假彩单
(二)图片和文字假彩单的制作过程
当买家购买了黑客的服务,采用分成模式后黑客会全程参与过程,采用卖后台账号模式的会直接提供后台账号及后台使用方法。买家操作和黑客操作步骤并无区别。只是操作熟悉程度的差别而已。
步骤一:首先,买家将需要买的号码写在纸上,再拍照片上传到后台,如使用文字形式,直接复制文字到后台即可,通过后台制作出一张可修改的假彩单,并生成链接。
【图4.15】假彩单制作后台截图
步骤二:点开该链接,使用分享功能,将图片分享给庄家即可。
【图4.16】假彩单后台生成的链接
至此,假彩单已制作成功并发送至庄家手机。
(三)可修改的彩单在微信中的展现
【图4.17】假彩单形式展现
(四)图片式可修改彩单与正常彩单的展现对比
无论是正常彩单还可修改的彩单,用户往往都会点击查看大图,正常彩单直接显示图片,且打开速度快。而修改的彩单点击后会在微信内嵌浏览器中显示图片,图片打开速度由网络速度决定。
【图4.18】可修改图片彩单与正常图片彩单对比
(五)文字式可修改彩单与正常彩单的展现对比
文字形式的彩单也和图片彩单一样,同样是一个链接。
【图4.19】可修改文字彩单与正常文字彩单对比
(六)假彩单的真面目
假彩单其实是一个链接,由于在微信上展现的效果和正常的聊天记录区别不大,在微信中点开后,不容易甄别,实际上打开的是微信内嵌的浏览器。连接到黑客的服务器上,黑客将服务器上面的彩单改成中奖号码之后,庄家确认买家彩单是否中奖时,会点开查看。
【图4.20】假彩单的真面目
点击聊天记录中的彩单,实际访问的是假彩单提供网站的地址: hxxp://www.yucituan/Info.asp?itemid=4097&from=message&isappinstalled=0
根据对网站的分析,网站使用了微信的分享功能中“分享给朋友”功能,该功能微信官方JSSDK【6】开发文档说明如下:
【图4.21】微信JSSDK”分享给朋友”官网说明
网站将分享的标题和描述设置为空,导致如不仔细甄别,很有可能混淆正常聊天记录。
【图4.22】假彩单提供站微信分享代码
0x05 后续追踪使用微信JSSDK开发分享功能,需要在微信后台绑定域名,并且域名是需要备案的。在追踪域名服务器位置信息时,我们发现两个假彩单提供站的服务器IP为同一个。说明黑客正在利用不同的身份注册域名,以逃避打击。
一、假彩单提供站域名基本信息
【图5.1】假彩单域名对应IP地址
【图5.2】IP对应位置信息
二、假彩单提供站yucituan备案信息
【图5.3】假彩单提供站备案信息一
三、假彩单及网站控制后台cckaisi备案信息
【图5.4】假彩单提供站备案信息二
四、改单技术宣传网站域名信息
【图5.5】改单技术宣传网站
原创文章,作者:Drops,转载自:/d/file/gt/2024-03/tgh01ikruol.html id="秋天">秋天
秋
相信大家已经感受到了~
马鞍山的秋天真的来了!
绵绵秋意
就藏在
这国庆假期
淅淅沥沥的小雨
日渐清凉的秋风中啦
这个国庆
气温下降明显
全市平均气温下降3—5℃
最低温度已降至13℃
秋风吹散了夏日热浪
我们终于真切感受到
秋天到啦!
如烟如雾的秋雨
是一把钥匙
它带着清凉和温柔
轻轻地
轻轻地
趁你没留意
把秋天的大门打开了
粟花时节雨脩脩
莫道如秋即是秋
秋天悄悄走来
树叶上是秋的味道
雨后阳光金灿灿的
仿佛在诉说这是个收获的季节
朵朵红云
空中翻飞
落日余晖秋意浓
夕阳薰细草
江色映疏帘
碧云天
黄叶地
秋色连波
波上寒烟翠山映斜阳天接水
芳草无情
更在斜阳外
金秋的暖阳温馨恬静
金秋的微风和煦轻柔
金秋的天空白云飘逸
金秋的田野遍地金黄
初秋的马鞍山
江有万弯多碧水
田无一垛不黄花
秋
当蔚蓝与金黄开始交汇
长江大桥伸出温暖的手
在大地上轻轻地抚过
这是科技与自然的和谐
天边树若荠
江畔洲如月
秋天太可爱了
连打声喷嚏都是
爱秋~
(不过可要注意保暖!)
连岛屿都是
爱你的形状~
天与云与山与水
上下相印
江上影子
惟长堤一痕
江心洲一点
层林尽染的山林风光
像是打翻了的调色盘
空山新雨后
天气晚来秋
秋风清,秋水明
秋风秋雨带秋来
秋色秋山伴秋开
秋景秋山秋意染
秋情秋韵秋入怀
秋,是一个美丽的季节
“自古逢秋悲寂寥,我言秋日胜春朝。”
秋高气爽
国庆佳节
不妨走到户外
在周边走走
欣赏一下马鞍山大好风光
让足迹遍布
我们的城市
THE END
摄影 马报融媒记者 童祖鸣 唐焱 储灿林
责任编辑:陈敏娟 见习编辑:吴衡
值班总监:王小明
审核:陈邦兵
猜你喜欢
