微信文章 >科技微信公众号文章 >差评微信文章 >快过年了,注意一下微信支付宝盗刷

快过年了,注意一下微信支付宝盗刷

2018年2月13日11时59分来源:差评



差评君之前写过一篇文章,说的是共享充电宝可能会窃取你的个人信息传送门,而最近又听到消息说骗子骗术升级了,只要你连上骗子改造的充电宝,你的支付宝微信就会被盗刷,真的有这么神奇吗?


本文授权转载自公众号:一本黑

ID:darkinsider


前几天无意间看到一个名为 《 揭秘火车站卖充电宝骗术!盗刷手机微信及支付宝 》 的视频,说是充电宝里被安装了一些装置,只要使用这种充电宝充电,里面的电话卡就会读取手机信息。


然后通过电话卡把手机信息传输到坏人的设备里去,从而实现微信、支付宝的盗刷。


没错,就是他



不少人看到这个视频后纷纷转发,但也有一部分人对视频的真假提出了质疑。


难道真的有这么厉害吗?只要手机一插入充电宝,微信、支付宝就会被盗刷?是却有此事还是危言耸听。


我们现在就对该视频的真假做一个全面的讲解。



漏洞百出,故弄玄虚



首先,视频的主角在火车站发现有人赠送充电宝,随后上前索要了一个,过程中用偷拍的角度进行拍摄。


镜头一转,主角戴着面罩坐在电脑面前故弄玄虚的一顿乱敲,一副很神秘的样子。


随着镜头的下拉,一张白纸贴在电脑上,上面清晰的写着 “ 破解中 ” 三个大字。


镜头又一转,主角把面罩摘下来,并用拳头锤在桌子上说了一句表示叹息的话:“ 哎呀,小编用了 15 年的性...... ”,哦不,是计算机能力,也没能破解这个木马。


老师傅都没你 6


看到这里我就想笑了,一开始戴着面罩为什么后来又要摘下来呢?难道戴着个面罩就是黑客了?


特别是小编用了 15 年的性......计算机能力这句话,怎么听都觉得别扭。


接着主角开始对充电宝进行拆卸,看样子他对这款充电宝的构造很熟悉,三下五除二就拆开了,然后还正儿八经的分析整个充电宝的组成,从哪里接收从哪里发送,讲得头头是道,害我差点都相信了。


视频中的 U 盘应该是一个无线网卡,是可以插在电脑上上网用的,结果他就用一根电线连接到充电板的充电电路上,我想问视频制作者,你一根单股的电线到底是如何完成供电 + 数据传输的。


暂且不说电源的问题,最起码信号线也得有两根吧。


陈独秀都没你秀


总之,这个视频漏洞百出,基本可以确定是为了博人眼球而 “ 精心 ” 制作。



视频虽假,现象却是真的



对于这个视频,老师傅看完后说了一句话:“ 这个视频虽然很假,但是控制手机进行盗刷这种技术是有可能实现的。”


手机充电宝一旦经过一系列的技术改装,很有可能就会成为别人盗取手机隐私或钱财的工具。改装成本大概在两三百元不等。


“ 要不咱复原一下?” 我忙不迭地向老师傅递了一根钓鱼台。


“ 复原需要一些硬件设备,你先准备一下,咱只能试一试,成不成功另说 ”,老师傅说完拿起桌上的打火机点燃了手中的烟。


其实想要复原这一过程还挺麻烦的,首先需要准备树莓派( 可以理解为只有信用卡大小的微型电脑 )、锂电池、led 小灯等。


物料准备完毕后,老师傅就开始了改装工作,老师傅先在树莓派上安装了所需要的操作系统,然后进行了相关配置。


经过老师傅一段时间的改装,不负众望的老师傅终于......还是没能成功。


询问老师傅才知道,原来问题出在了给树莓派供电的地方,因为树莓派只能在 5V 的电压下工作,而我们使用了两节 18650 ( 指电池的直径为 18mm,长度为 65mm)的电池,而两节电池的电压加在一起超过了 7V ,要想对电压进行调整,只能使用稳压设备慢慢调试。


稳压元器件


其实也不能怪老师傅,你要说使用计算机基础知识分析分析网站,那自然不在话下,但是这种纯硬件的东西确实有点难为老师傅了。


复原不了怎么办?复原不了今天就不会有这篇文章了。


通过多条渠道,我们拿到一个经过改装的、可以控制手机的充电宝。


当充电宝插上手机后,手机显示正常充电状态,但其实这台手机已经被电脑控制了。在电脑的控制端,老师傅可以任意的查看被控制手机的各种信息。


包括通话记录、相册、QQ 微信等,甚至还可以打开支付宝,接收短信验证码等信息。


视频审核不过,将就看截图


实验结束后,我们拆开了这款经过改装的充电宝。


用 “ 麻雀虽小五脏俱全 ” 这句话来形容是再好不过了,这款充电宝里面除了供电的电芯以外,还有一块树莓派 ( 可以理解为只有信用卡大小的微型电脑 ),而这块树莓派就是整个充电宝的核心所在。


它可以在手机插入充电宝的时候把内置木马程序发送到手机的后台,但在这之前它会请求手机用户打开开发者模式,开发者模式一旦打开,手机就可以被监控。



权限开启,即可盗刷



再回到前面提到的视频,视频中说只要手机插入充电宝,自己的微信和支付宝就会被盗刷,有这么牛逼吗?


首先,技术牛逼的人一般不会干微信支付宝盗刷这种智障的事情,因为你转账或是提取到银行卡这些都很容易被查到。


就算你有瞒天过海之术,那咱暂且忽略转账记录这一说。


当手机插上充电宝的时候,正常人都知道使用充电宝充电是不会提示任何请求的,而这类经过改装的充电宝就会有权限允许的请求,不排除粗心的人会点击同意。


打开了开发者模式后还得信任母设备,走到这一步如果你想实现盗刷,你先得监听锁屏的密码,但是如果有人的锁屏密码是指纹的,那就只能卡在这一步了。


就算你有通天的本事可以监听到别人的锁屏密码,你微信支付宝盗刷不需要密码的吗?


想要实现转账,还得输入密码


我们进行了实验,要想实现盗刷,没有支付密码是不太可能的。


除非,除非你的支付宝开启了免密功能,别人就可以通过扫描支付宝的二维码,把钱转走。


划重点了,请默写并背诵

( 商家可扫描上方二维码把钱转走 )


再者说,一根普通的 18650( 指电池的直径为 18mm,长度为 65mm ) 电池是不能够给树莓派供电的。那么又该如何解释视频中充电宝供电和数据传输的问题呢?


就算可以监听微信支付宝密码,但这种充电宝的技术和物料成本都太高,转化率也是很低的。


比方说改装一个充电宝的成本是 300 元,免费送五十个人,那也得花 15000,可笑的是在别人使用的时候发现需要对权限进行允许别人就不用了,结果最后只拿到了一两个人的手机权限,气人的是这人微信里只有五块钱,你说尴尬不尴尬。


准备了一万五的诱饵,结果就捞到五块钱,这根本就是赔本的买卖。


总的来说,这个视频漏洞百出,在技术上并不严谨,声称的只要手机插入这种充电宝,微信支付宝就会被盗刷,其实得满足一定的条件才行。


只有用户允许了充电宝的权限请求,并且手机设置了免密支付,才有可能被盗刷。( 这种被盗刷的新闻很多,严谨性值得商榷 )



关闭权限,防患未然



针对这种情况该如何防范呢?其实很简单,当你的手机使用充电宝充电的时候,如果屏幕出现要求你点击 “ 同意 ” 、 “ 接受 ” 等弹窗时,就说明这个充电宝是有问题的。你只要点击拒绝即可。


另外,时刻检查自己手机的开发者模式是否打开。


春节临近,火车站又要多一堆人开始肆意贩卖虚假充电宝了,不管是装满石头水泥的一次性充电宝,还是这种可以控制手机的充电宝。大家最好小心为妙。


装满沙子的充电宝


对于那些装满沙石的充电宝,我在上大学的时候也遇到过,不过现在想来也没什么,对比那些恶意改装、非法控制手机的人,这些一次性充电宝已经算是好的了。


都是小人物,都有潜规则,别人也是为了生活,几十块钱没必要怨天尤人。


视频的制作者似乎有种吃力不讨好的感觉,虽然让很多不明真理的人盲目相信,但也确实达到了警醒的效果。


但对于严谨性,我想还得拿捏有度,知识就是力量这句话一点也没错,你不懂的话就只能听别人危言耸听了。



“ 脑子是个好东西,希望我们都有 ”

微信文章

最值得关注的微信公众号