一场钓鱼引发的大量网银密码泄漏(各大银行用户均有中招)

漏洞概要

缺陷编号:WooYun-2015-0104070

漏洞标题:一场钓鱼引发的大量网银密码泄漏(各大银行用户均有中招)

相关厂商:国家互联网应急响应中心

漏洞作者:路人甲

提交时间:2015-03-29 00:19

公开时间:2015-04-01 00:20

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-03-29: 细节已通知厂商并且等待厂商处理中
2015-03-29: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-04-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

涉及多个大型银行,是否可以上CCTV啦

详细说明:

攻击者利用10086伪基站进行钓鱼大量伪基站这里列举一些。http://**.**.**.**/点击现在就去兑换实施诈骗

登录该页面欺骗用户登录网银、身份证、密码等信息,诈骗钓鱼页面如下

后台登录查询数据http://**.**.**.**/admin/login.asphttp://**.**.**.**/admin/login.asp

通过暴力破解可以成功登录该伪基站获取相关数据

每个伪基站的数据不少于7000+相关可怕

漏洞证明:

7000+数据证明:

多家银行数据量很大!!!!

太可怕了

修复方案:

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-0100:20

厂商回复:

最新状态:

2015-04-01:根据白帽子提交的结果,CNVD第一时间进行测试,未能复现所述黑产钓鱼服务器的后台弱口令风险。后续与白帽子进行确认,白帽子确认黑产已经修复弱口令风险。

CNVD后续尝试对服务器进行外部渗透,力求获得相关信息,未果。由于钓鱼网站服务器位于中国大陆境外地区(中国香港),暂未能进一步对服务器采取处置措施。后续拟暂停该仿冒域名的解析,避免用户受到进一步风险。

对该风险信息提前公开,供相关单位和用户参考。也请白帽子协助CNVD一起对黑产进行反制。

评价

  1. 2010-01-01 00:00 Format_smile 白帽子 | Rank:135 漏洞数:13)

    CCTV看这里

  2. 2010-01-01 00:00 MeirLin 白帽子 | Rank:75 漏洞数:7)

    这是提交"HackReal"了吧?

  3. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    这个不能火起来啊?

  4. 2010-01-01 00:00 http://www.wooyun.org/corps/cncert国家互联网应急中心 白帽子 | Rank:0 漏洞数:0)

    mark,将会协同各大银行通知用户.

  5. 2010-01-01 00:00 Taro 白帽子 | Rank:120 漏洞数:15)

    这年头钓鱼太多了

  6. 2010-01-01 00:00 那年打死一只小强 白帽子 | Rank:10 漏洞数:1)

    看这里!!!上电视。

  7. 2010-01-01 00:00 大大灰狼 白帽子 | Rank:144 漏洞数:16)

    看这里!!!上电视。

  8. 2010-01-01 00:00 大大灰狼 白帽子 | Rank:144 漏洞数:16)

    @cncert国家互联网应急中心 问一下,厂商也可以mark吗?

  9. 2010-01-01 00:00 乌云白帽子 白帽子 | Rank:0 漏洞数:0)

    CCTV 镜头往下移

  10. 2010-01-01 00:00 p4ssw0rd 白帽子 | Rank:130 漏洞数:18)

    这洞也收,要不要发个通用漏洞集合出来呢

  11. 2010-01-01 00:00 雷锋 白帽子 | Rank:8 漏洞数:1)

    钓鱼...坐等公开

  12. 2010-01-01 00:00 无名 白帽子 | Rank:32 漏洞数:3)

    CCTV 看这里。。。。~~·

  13. 2010-01-01 00:00 zhxs 白帽子 | Rank:25 漏洞数:2)

    我的密码******************...

  14. 2010-01-01 00:00 milan 白帽子 | Rank:73 漏洞数:8)

    CCTV看这里

  15. 2010-01-01 00:00 sherlock 白帽子 | Rank:5 漏洞数:1)

    这不是银行的漏洞啊

  16. 2010-01-01 00:00 JotPot 白帽子 | Rank:45 漏洞数:4)

    泄漏出来的密码要打码呀。你这有泄漏了不少了

  17. 2010-01-01 00:00 兔八哥 白帽子 | Rank:33 漏洞数:3)

    钓鱼,怎么整,提高公民个人安全意识吧。。

  18. 2010-01-01 00:00 wangluoxi 白帽子 | Rank:0 漏洞数:0)

    思路不错。当时我也收到了类似的短信。只是个人警觉没上当。没有想到去攻击一下试试。LZ发财了。这多的帐号密码,等着被送快递吧。
    真是骗子给LZ做了嫁衣了。

  19. 2010-01-01 00:00 庞德 白帽子 | Rank:0 漏洞数:0)

    这个系统好像有个xss的....

  20. 2010-01-01 00:00 qhwlpg 白帽子 | Rank:141 漏洞数:13)

    这个必须火!!!

  21. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    外部渗透这个叼

  22. 2010-01-01 00:00 末影人 白帽子 | Rank:30 漏洞数:3)

    直接gfw掉好了

  23. 2010-01-01 00:00 雷锋 白帽子 | Rank:8 漏洞数:1)

    http://zone.wooyun.org/content/16425
    这都能提交...只能说是移动2G网的后遗症,跟人家银行有什么关系。真是没吃的怨亲戚,没钱怨东风...

  24. 2010-01-01 00:00 nony 白帽子 | Rank:0 漏洞数:0)

    根据白帽子提交的结果,CNVD第一时间进行测试,未能复现所述黑产钓鱼服务器的后台弱口令风险。后续与白帽子进行确认,白帽子确认黑产已经修复弱口令风险。 CNVD后续尝试对服务器进行外部渗透,力求获得相关信息,【未果】。由于钓鱼网站服务器位于中国大陆境外地区(中国香港),暂未能进一步对服务器采取处置措施。后续拟暂停该仿冒域名的解析,避免用户受到进一步风险。 对该风险信息提前公开,供相关单位和用户参考。也请白帽子协助CNVD一起对黑产进行反制。

    不需要弱口令也可以绕过啊.....