揭秘电诈手段|打开“屏幕共享”，存款不翼而飞

Posted 2023-04-04 顶象技术

“屏幕共享”在视频会议、手游直播等场景下有着广泛应用。

作为互联网技术应用场景之一，“屏幕共享”通过网络，将本设备的屏幕信息实时投射分享到另一个台设备，包含屏幕App、弹框显示短信、微信、其他App推送、输入账号密码、解锁的过程、其他实时操作动态等屏幕上显示的所有内容。

电信诈骗分子利用“共享屏幕”实施诈骗

原本是为用户方便分享的功能，却成为诈骗份子的牟利的手段。2021年4月，国家反诈中心发现，有不法份子利用软件“屏幕共享”功能实施诈骗。

在辽宁大连务工的耿女士接到一名自称“大连市公安局民警”的电话，称其涉嫌广州一起诈骗案件，让她跟广州警方对接。耿女士在加上所谓的“广州警官”的微信后，这位“警官”便给耿女士发了“通缉令”，并要求耿女士配合调查，否则将给予“强制措施”。随后，对方与耿女士视频，称因办案需要，要求耿女士提供“保证金”，并将所有存款都集中到一张银行卡上，再把钱转到“安全账户”。

期间，通过“屏幕共享”，对方掌握了耿女士银行卡的账号和密码。耿女士先后跑到多家银行，取出现金，将钱全部存到了一张银行卡上。正当她打算按照对方指示，进行下一步转账时，被民警及时赶到劝阻。在得知耿女士泄露了银行卡号和密码后，银行工作人员立即帮助耿女士修改了密码，幸运的是，银行卡的近6万元钱没有受到损失。

电诈分子的行骗步骤

顶象防御云业务安全情报中心分析发现，骗子往往冒充“公检法”或注销校园贷款的银行工作人员、平台客服人员等，诱导受害者使用网络会议视频内的“分享屏幕”功能。一旦受害人使用此功能，即使诈骗份子不主动询问，也能看到受害人手机上的所有信息，包括输入密码时跳动的字符、收到的验证码等，从而转走受害人卡内资金。

综合来看主要有四步：

第一步，获取信息，骗取信任。不法份子利用非法渠道获取受害者信息，通过冒充公检法、购物平台客服或注销校园贷工作人员，准确匹配受害者自身情况，骗取信任。

第二步，诱骗受害者开启“屏幕共享”。通过某些App（QQ、腾讯会议、钉钉等）自带的屏幕共享功能，不法份子能够实现实时监控事主手机的所有操作。

第三步，登陆网银，实时监控短信验证码。不法份子先以指引操作为由，让事主下载App并打开屏幕分享功能，再利用事主之前透露的银行卡号，随即登录网银进行转账操作，实时监控事主收到的短信验证码。

第四步，盗取钱财。不法份子先是哄骗受害人主动进行转账，如果受害人发现被骗，或者迟疑，便通过偷偷截获的验证码，进行转账操作，在受害人毫无知觉的情况下，将资金转走。

App如何防范“屏幕共享”的风险

在安卓设备中，“屏幕共享”是通过MediaProjection这个服务进行实现的。MediaProjection是一个安卓5.0系统以上版本中，为开发者截屏或者录屏的一种技术。使用者申请使用MediaProjection服务时，安卓系统会弹出权限申请框，使用者点击“确认”后才能开始屏幕共享或录屏。

顶象设备指纹能够实时发现钉钉、腾讯会议等App的屏幕共享调用，并第一时间发出警报，提醒用户注意安全。

当启动MediaProjection的时候，系统会自动出现一个虚拟显示器，顶象设备指纹就会监测发现多出的这个显示界面，确定设备处于“屏幕共享”状态，并立即上报至风控中心。风控中心就会下达警报，提醒操作人面临风险，注意安全。

使用者如何防范“屏幕共享”风险

“屏幕共享”正混合各种形式多样的诈骗出现，其最后一步都是让受害者使用或下载可以提供“屏幕共享”功能的网络视频会议软件，目的就是偷窥用户手机上的操作获得银行账号密码等关键信息。

1、未经确认情况下，千万不要随意打开安卓手机的“屏幕共享”功能。

2、陌生人发来的“屏幕共享”邀约直接关闭，不要和陌生人使用“屏幕共享”功能，对方能看见你的所有操作，包括输入密码。

3、涉及私人信息，特别是银行卡密码、验证码时一定要谨慎、谨慎再谨慎，不要向任何陌生人透露。

顶象设备指纹为什么能防范“屏幕共享”？

顶象设备指纹支持安卓、iOS、H5、公众号、小程序，可有效侦测模拟器、刷机改机、ROOT越狱、劫持注入等风险，具有快速对抗、高效风险识别、99%以上稳定性和100%的唯一性的特点。

作为是顶象防御云的一部分，顶象设备指纹独有三大能力。

第一，快速对抗能力。业务应用暴露在互联网上，黑灰产则是隐藏在背后，所以攻防必然存在一定的滞后性，这就要求设备指纹技术在面对新的攻击方式和风险特征时，有及时的风险情报感知和防控升级的能力，后台可以结合各行业的攻防经验和风险数据沉淀，通过云+端的方式，进行快速的攻防升级，在一个攻防周期内解决掉业务风险。

第二，高效风险识别能力。设备指纹需要具备对设备基础环境和运行期的安全检测能力，能精准识别模拟器、root、越狱、调试、代码注入、多开、VPN代理等风险。例如，iOS平台hook、越狱行为，安卓root、debug、内存dump、注入、多开、模拟器、漏洞攻击等风险行为，WEB平台下浏览器颜色深度、分辨率，浏览器与系统、UA的匹配性和一致性、cookie是否禁用等行为。

第三，99%以上稳定性和100%的唯一性。设备指纹自身SDK代码需要进行保护，防止采集逻辑被破解和出现数据伪造，从数据采集源头上保证真实性和准确性。不管对设备参数进行篡改伪造（篡改IMEI、MAC地址、AndroidId、SIM卡信息、机型、品牌等），或是禁用、清除缓存和cookie，设备指纹都要保持不变，稳定性至少要保持在99%以上。任意两台设备的指纹不能相同，不发生碰撞，为每一台设备生成的设备指纹ID需要全球唯一，并且不可被篡改，唯一性上要保证在100%。

业务安全大讲堂：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊

睡梦中钱不翼而飞？“短信验证码”早已不安全

近日，国内各地都陆续发生了一些利用短信验证码冒用身份、窃取银行账户、金融类 APP 财产的案件，受害者甚至莫名其妙“被网贷”，进而遭遇较大经济损失。

根据@江宁公安在线 的分析，这种犯罪手法是近两年来出现的新型伪基站犯罪手段，多地警方已经有所发现。具体说来，这是一种新型的“伪基站”技术。主要采用“GSM劫持+短信嗅探技术”，可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

实施诈骗的基本原理如下：

第一步，犯罪团伙基于2G移动网络下的GSM通信协议，在开源项目OsmocomBB的基础上进行修改优化，搭配专用手机，组装成便于携带易使用的短信嗅探设备。

第二步，通过号码收集设备（伪基站）获取一定范围下的潜在的手机号码，然后在一些支付网站或移动应用的登录界面，通过“短信验证码登录”途径登录，再利用短信嗅探设备来嗅探短信。

第三步，通过第三方支付查询目标手机号码，匹配相应的用户名和实名信息，以此信息到相关政务及医疗网站社工获取目标的身份证号码，到相关网上银行社工，或通过黑产社工库等违法手段获取目标的银行卡号。由此掌握目标的四大件：手机号码、身份证号码、银行卡号、短信验证码。

第四步，通过获取的四大件，实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作，实现对目标的盗刷或信用卡诈骗犯罪。因为，一般短信嗅探技术只是同时获取短信，并不能拦截短信，所以不法分子通常会选择在深夜作案，因为这时，受害者熟睡，不会注意到异常短信。

但是，以上四步只是基本原理，攻击者甚至还会干扰附近的手机信号，使4G变为2G信号后，再窃取短信信息。目前更危险的新技术则是重新定向手机信号，同时使用GSM中间人方法劫持验证短信，此类劫持和嗅探并不仅限于GSM手机，包括LTE，CDMA类的4G手机也会受到相应威胁。

根据 360 无线电安全研究院的分析，此类攻击主要分为以下几级：

1. 伪基站垃圾短信；

2. 嗅探 GSM 短信；

3. 将手机从 3G/4G 降级到 2G；

4. 3G/4G 中间人攻击

难度从上到下依次加重。从这个 等级排序可以看出，一些老式手机或长期处于 2G 的手机最容易受到攻击，此外，有些手机虽然长期处于 4G 但没有开通 VoLTE，也无法阻挡短信嗅探。实施以上攻击的前提是都需要靠近受害者，在一个基站的通信范围内，暂时不能覆盖过多的手机号，因此受害人范围还未扩大。而且如果攻击者没有获取受害者的个人身份证或银行卡信息，只嗅探到短信验证码，也不会攻击成功。

值得注意的是，此类新型伪基站诈骗使用的方法主要是钻了手机信号协议的空子GSM劫持+短信嗅探的攻击技术基本上没有办法防范，一旦中招，短信信息就会泄露无余。另外，犯罪者大多选择凌晨作案，且无需直接与受害者接触，因此大部分受害者对资金被盗毫无察觉，一觉醒来只有手机里莫名其妙多出来的验证码……

据广州警方通报，截至今年6月，广州警方已陆续破获多起此类案件。今年 7 月，郑州警方也破获了类似案件。

针对这一情况，普通用户应当如何应对呢？根据一些安全研究员和@江宁公安在线的消息，可以采取以下措施：

1. 尽可能更换 4G 手机并联系运营商开通 VoLTE 业务，提升手机防御等级，增加攻击难度；

2. 平时保护好个人信息（包括身份账号、银行卡号等敏感信息）；

3.关闭手机移动信号，只使用家中或办公室等安全的 WIFI 联网；

4. 睡觉前关机或设置飞行模式，让手机无法接收短信（但这可能导致其他诈骗风险上升或者亲友有重大事件无法联系）。

此外，警察蜀黍也补充道：目前运营商也针对GSM 协议的问题进行系统换代升级。而大多数支付了、银行类APP 除了短信验证码之外，还有图片验证、语音验证，人脸验证，指纹验证等等诸多二次验证机制，如果单单泄露验证码，并不会造成损失。

据热心网友表示，很多银行还有可以自主设置的安全功能，例如中国银行 APP 可以设定在某个时段不能进行消费交易；招行 APP 中有“常用设备管理”设置选项等。

最后，呼吁各大运营商和通信管理部门尽快采取有效技术手段，尽快解决此问题。一些安全机制不完善的银行和金融类app可以考虑采用其他双向验证辅助手段提高安全效率。当然，一旦遇到此类诈骗，一定要保留好短信内容，立刻报警。