十年安全老鸟差点被一万移动积分忽悠诈骗
2022-8-31 15:5:23 Author: 汉客儿(查看原文) 阅读量:23 收藏

-- 开始 --

8月最后一天,夏日明媚,一整片蓝天挂在头顶,心里头放松愉悦,又是幸福的一天。

上午9点54分,赶在上班迟到最后几分钟坐到了工位上,嘿,又没迟到,真棒。

习惯性拿起手机,趁着最后几分钟,收拾一下心情,打开抖音,准备好迎接新一天的工作。

突然,久未出现的短信,突然弹出了消息,晃眼的数字一万,像闪电一样射入我的视网膜,还有这好事?

“12800”,“最后一天”,“全部失效”,“尽快点”等充满诱导性的词汇,差点让我打开心防,点开链接。

幸好,安全从业者的底线拦住了我,不要随便点开未知链接

所以,我稳了一手,找到了移动app,输入账号,发现,靠,哪来的一万的积分啊,骗子!

好的,基本已经确认了,诈骗网站。

虽然已经收到很多类似的短信,但这真的是我第一次差点信了。

哦,其实,开始我是真信了。

...

所以这次,我准备看看这个网站究竟是搞什么的,neng它。

当然,我不是web安全方向(黑客)的,我干不掉它,我只能找找它的底。

-- 然后 --

首先打开电脑,打开浏览器,打开隐身模式,输入网站3g1.cn/3McUbc,打开了,还真像那么回事,做的挺精致。

简单浏览了一下,产品页面、兑换页面、地址、支付页面,非常全面。

(不建议普通用户打开看,谁也不知道网站是不是会利用一个漏洞来进行攻击,打开可能就中招)

看下方还有订单管理、个人中心等等,甚至还有客服。

支持微信和支付宝支付,抓包可以拿到两个公司的支付相关的id,进而应该可以找到对方身份。

当然我肯定找不到。

网站做的这么好,别真是移动公司的啊,为了确认这一点,我查看了网站证书。

然后找了移动网站的证书。

颁发者不同,但都是真的,也不能说a.3g5g.cn不是移动网站吧,所以这个好像也确认不了啥。

那继续,我找客服聊聊。

应该接入的第三方客服系统,感觉很专业。

问我要电话、订单。你不知道我是谁吗?

嗯,她肯定不知道,因为网站我没有登录,没有身份,另外抓包发现我填的地址等信息也没有发到后台,应该是暂存在本地的,所以后台也有我的记录。

既然你要,我就给你吧,我随便找了个靓号,发给了她。

哈哈,玩嘛。

看到这个网站叫做今日兑,找度娘看看有啥信息。嗯,好像我不是第一个人。

然后搜索网站域名:a.3g5g.cn,看到了这样的信息。

回答中第一条说不是诈骗网站,严重怀疑是他们网站自己刷的。

看看其他回答是啥样的,群众里还是有很多有识之士的。

然后也有V2ex的讨论。

通过站长工具搜索域名,找到相关注册信息。

居然还是有名有姓的注册公司,公司信息如下:

我只能说够专业,难怪网站做得那么好,别人就是专业做这个的。

谷歌可以搜索到不打码的联系信息,有兴趣的专业人士可以再挖挖。

根据公司名,又搜到一些其他信息,黑猫投诉、其他博主揭秘。

搜索引擎大概也就能找到这么多东西了,性质也基本可以确定了。

也尝试了一下其他方法,看看能不能做更多的,但是目标团队很专业,服务器是阿里云,我这半吊子web水平,作罢。

最后啊,啰里啰唆这么多,除了想确认这个短信算诈骗(至少是虚假)短信外,其实就是想总结这么几点,希望对大家有帮助,也是老生常谈:

1. 但凡短信让打开链接,不管多么像,多么专业,多么诱惑,千万别去弄。如果确实想知道有没有这回事,打相关客服电话咨询,不要打短信中的电话

2. 如果万一打开网站,需要输入账号、密码、银行卡等,想都不要想,关了。

3. 现在各个公司都有专门的官方网站、app,如果任何东西想确认,直接手机自带应用商店下载公司app,或者百度搜索官网,后缀会提示官网,如果百度不可信,尝试使用必应或者谷歌。

4. 不贪小便宜,不遇大骗子

如果觉得文章有用,欢迎转发给更多人看到,帮助他们避坑,谢谢。

最后的最后,还有点疑问,这样的公司怎么能够存在?明目张胆的注册了,难道管不了吗?有懂的朋友解解惑。

诱导消费、虚假积分...难道不算问题?

(完)


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1NTUzMjUzMQ==&mid=2247484674&idx=1&sn=5d9a10ea97588f60a9bf883bb89731da&chksm=ea35c99edd424088d5d115efbb6f0ccb67a1d4142acc07cf7d534ada03511d2940addb9a173b#rd
如有侵权请联系:admin#unsafe.sh