诈骗网站源代码分析

神秘包裹短信

        那天，我正像往常一样刷着手机，突然收到了一条短信，短信内容显示 “尊敬的用户，您有一个包裹因地址不详无法派送，请点击链接填写正确地址以便尽快收到包裹哦，看到这条短信的时候，我一开始还真有点紧张，毕竟最近网购了不少东西，心里想着可别耽误了收包裹呀。

        不过，我好歹平时对网络安全也有一些了解，所以并没有立刻就去点击那个链接。我仔细看了看短信的发件号码，发现是一个很陌生的号码，根本不是平时常见的快递公司的官方号码。这时候，我心里就隐隐觉得有点不对劲了，正规的快递公司通知包裹问题，怎么也得用官方的号码或者在官方的 APP 里推送消息呀。

网址的异样

        我抱着好奇又谨慎的心态，把那个链接复制了下来，没有直接点击，而是放到搜索引擎里去查了查。这一查可不得了，搜索引擎显示这个网址存在风险，而且域名看起来也很奇怪，根本不是那些知名快递公司的正规域名格式。正规的快递公司官网域名一般都是很简洁明了，而且很容易识别的，像 “[快递公司名].com” 之类的，可这个网址域名里夹杂着好多奇奇怪怪的字母和数字组合，看着就特别可疑。马上对该网站进行漏洞扫描，发现站点存在源代码压缩包。

1、源码查看

根目录

Divs前端代码

index.html主页

信用卡提交页面card.html提交后跳转CC.php

订单查看EMMMART.html（需要输入地址、手机号码）提交后跳转Billing.php

SMS.html Sms_Error.html手机号码填写和验证码接收页面提交后跳转Sms.phpSms_Error.php

2、源代码分析

Serverphp主要执行代码

Bando.txt 是前端提交的数据，分别记录了地址、IP、邮箱、电话、卡号、Cvv、有效日期

等。

查看获取数据的关键代码CC.php

获取POST过来的信息再利用geoiptool接口把你的IP记录下来一并写入bando.txt

接收到内容的同时并设置了TG接口来发生信息。

同样Billing.php也是这个套路

最经典的是这两个页面设置了提交数据后sleep19秒给你重定向到原来的页面

 // Attendre 19 secondes
 // sleep(19);
header("location: ../Divs/LOADING.html");

骗子很懂，告诉你是卡了。

3、钓鱼流程

4、总结

        我基本就确定这是一个包裹钓鱼网站了。这些钓鱼网站就是打着包裹有问题的幌子，骗我们去点击链接，一旦点击进去，可能就会要求我们输入各种个人信息，比如姓名、电话、身份证号，甚至银行卡号等，然后不法分子就会利用这些信息去进行诈骗等违法活动了。年底了，保住自己的钱包。提高警惕，判断网站是否为官方网站避免乱点不明来源的链接和页面，以防陷入钓鱼网站陷阱。

原文始发于微信公众号（Khan安全团队）：诈骗网站源代码分析