新型钓鱼诈骗:贪小便宜吃大亏!!
2022-10-9 17:33:39 Author: www.secpulse.com(查看原文) 阅读量:35 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

这篇文章由“潇湘信安技术交流群”@嘞萌师傅投稿,@3h整理发布,记录的是他在无意中发现的一个新型钓鱼诈骗方式,从技术层面简单分析了下。

目前微信官方已对这类诈骗链接进行了屏蔽处理,而且“武定警方”官方公众号同时也发布了针对此类诈骗手段的揭秘文章,大家可以去看一下。

警惕!武定公安民警潜入“骗子群”为您揭秘:“免费领取微波炉”是诈骗!别再转了

0x01 前言

前几天在微信朋友圈看到有人晒图并配有文案,只需扫码转发朋友圈就能免费领取小米微波炉的一个活动。
当时忘了截图了,但图片和文案基本与下图一致。
图片来源:武定警方公众号
扫码后会跳转到一个“小米客服”的聊天页面,点击免费领取后就会要你按要求转发他们的文案和图片。

0x02 分析过程

右上角查看链接时发现猫腻,并不是小米官方域名,而是某些G0V域名,找了几个案例都是G0V域名。

https://*****.qinghai.gov.cn/uploadfile/2022/0905/20220905130919799.xml 
http://****.jl.gov.cn/u/cms/swcx/202209/08092103g0xe.html?Q3yw=
查询备案是某市政府机关域名,怀疑是漏洞被利用了,被上传了.html和.xml等文件。


.html、.xml这类文件中被嵌入了恶意的JS,只能用微信访问,用浏览器访问会跳转。
通过Burpsuite抓包修改UA头,这时可以看到包含的恶意JS链接为:http://liink.cn/dfjrj 。
这个域名的解析IP为:125.77.168.209,是福建泉州【电信】的一个IP地址,胆真大...。

恶意JS链接会识别你的平台是Windows还是Mac,如果都不是将会跳转到一个新的链接

http://fanyi.youdao.com/server/webtrans/share?fileID=e01bceae5c8d439fbf192749774a83ee&salt=1662522510039&product=fanyiguan&entid=dfjrj&njmtnb=bc2209b4b19c99f2f00e817513a9e989
这是有道翻译对外提供页面的服务,直接访问会出现以下提示,简单的一句话完事,官方都不带审核的,着实让人有些无语......。

但是这里进不去相关页面,因为有道翻译的第三方服务是直接解析的诈骗网页源码,里边还会判断平台,也会根据以下网址获取到的IP判断地区。

https://only-72244-222-188-46-25.nstool.netease.com/info.js
因为这里也判断了平台,所以只有通过微信扫码才会跳转到有道翻译这个链接进入“小米客服”聊天页面。
当你按要求转发完朋友圈后他会向你索要姓名,电话,住址等个人信息,最后再给你发一张快递单的截图来博取你的信任,很多不懂的人就会上当了。
本以为是他给你打印的单号糊弄你,没成想后面发现居然是网页生成的这快递单图片,真是零成本钓鱼。
而且他会引流到QQ群,注:必须进群后才能安排发货......,至于这个QQ群具体是用来干什么就不细研究了,肯定不是用来做啥“好”事的!!!

https://c.liink.cn/code.php?dir=KF 这个链接中有这样一段代码,看着像是经过反转的QQ群链接,应该还需要拼接下,没有再去验证了,有兴趣的可以看下。

{"data":{"url":"f3MfNeyQZTGfscQm1PYMVjgplw=k?rq/mq/nib-igc/moc.qq.mq//:sptthiICgjMpypNlmpOuo1iDGm8BYih131Sn1H8ReD77o=yeKhtua&DBrenz0=ecruos_edocrq_lanosrep&0=yfirevon&LY2WPSPhh4tou5yyXcCemJPT"},"code":0}
到这里整个分析过程就算结束了,估计后面就会出现电信诈骗了,例如:你的某某快递被拦截,需要交保证金才能放行,或者带你职刷单、投资理财等诈骗方式
天下没有免费的午餐,不要想着天上掉馅饼!!!
天下没有免费的午餐,不要想着天上掉馅饼!!!
天下没有免费的午餐,不要想着天上掉馅饼!!!

本文作者:潇湘信安

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/188641.html


文章来源: https://www.secpulse.com/archives/188641.html
如有侵权请联系:admin#unsafe.sh