神秘包裹短信
那天,我正像往常一样刷着手机,突然收到了一条短信,短信内容显示 “尊敬的用户,您有一个包裹因地址不详无法派送,请点击链接填写正确地址以便尽快收到包裹哦,看到这条短信的时候,我一开始还真有点紧张,毕竟最近网购了不少东西,心里想着可别耽误了收包裹呀。
不过,我好歹平时对网络安全也有一些了解,所以并没有立刻就去点击那个链接。我仔细看了看短信的发件号码,发现是一个很陌生的号码,根本不是平时常见的快递公司的官方号码。这时候,我心里就隐隐觉得有点不对劲了,正规的快递公司通知包裹问题,怎么也得用官方的号码或者在官方的 APP 里推送消息呀。
网址的异样
我抱着好奇又谨慎的心态,把那个链接复制了下来,没有直接点击,而是放到搜索引擎里去查了查。这一查可不得了,搜索引擎显示这个网址存在风险,而且域名看起来也很奇怪,根本不是那些知名快递公司的正规域名格式。正规的快递公司官网域名一般都是很简洁明了,而且很容易识别的,像 “[快递公司名].com” 之类的,可这个网址域名里夹杂着好多奇奇怪怪的字母和数字组合,看着就特别可疑。马上对该网站进行漏洞扫描,发现站点存在源代码压缩包。
1、源码查看
根目录
Divs前端代码
index.html主页
信用卡提交页面card.html提交后跳转CC.php
订单查看EMMMART.html(需要输入地址、手机号码)提交后跳转Billing.php
SMS.html Sms_Error.html手机号码填写和验证码接收页面提交后跳转Sms.phpSms_Error.php
2、源代码分析
Serverphp主要执行代码
Bando.txt 是前端提交的数据,分别记录了地址、IP、邮箱、电话、卡号、Cvv、有效日期
等。
查看获取数据的关键代码CC.php
获取POST过来的信息再利用geoiptool接口把你的IP记录下来一并写入bando.txt
接收到内容的同时并设置了TG接口来发生信息。
同样Billing.php也是这个套路
最经典的是这两个页面设置了提交数据后sleep19秒给你重定向到原来的页面
// Attendre 19 secondes
// sleep(19);
header("location: ../Divs/LOADING.html");
骗子很懂,告诉你是卡了。
3、钓鱼流程
4、总结
我基本就确定这是一个包裹钓鱼网站了。这些钓鱼网站就是打着包裹有问题的幌子,骗我们去点击链接,一旦点击进去,可能就会要求我们输入各种个人信息,比如姓名、电话、身份证号,甚至银行卡号等,然后不法分子就会利用这些信息去进行诈骗等违法活动了。年底了,保住自己的钱包。提高警惕,判断网站是否为官方网站避免乱点不明来源的链接和页面,以防陷入钓鱼网站陷阱。
原文始发于微信公众号(Khan安全团队):诈骗网站源代码分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论