头图

当诈骗团伙撞上网络安全研究员,会发生什么?

本文首发于CSDN,CSDN博主「瞿小凯」的原创文章,遵循CC 4.0 BY-SA版权协议,原文链接:https://blog.csdn.net/weixin_...

勤恳好学的小凯,工作之余报名了一个培训。

这天,他接到电话,对方说:因为疫情原因,培训不得不取消,现在我们正在统一退款给学员,麻烦你加一下我们的退款群,给你安排退款。

小凯心想:最近整个教育行业这么惨,这破培训机构不会是要卷走学费跑路吧?

入群后,小凯看到群公告,一个坏消息和一个好消息。

坏消息大意是:培训机构王八蛋老板欠下外债3.5个亿,带着小姨子跑了,我们没有钱再赔给学员们。

好消息是:幸好之前给学员们买了商业保险,所以现在保险公司会负责赔偿报名费和其他相关费用。

群管理员在群里发了一张图片,是一张债权转让协议书,白纸黑字红章,给人一种句句属实的感觉。
图片.png
紧接着,管理员开始发图,教大家下载一个金融APP,在里头申请退款。

下载页面,这款金融APP应用评分4.9分,有几万个好评,甚至还需要输入邀请码才能注册:
图片.png

注册完成后,小凯登录进去,看起来还挺像回事:
图片.png

客服发来消息告诉小凯,需要提交之前的缴费证据,以及相关信息,以便他们核实退款信息:
图片.png
图片.png

小凯提交信息,片刻,客户人员返回来一张确认单,里头是小凯刚刚填写的内容。
图片.png
图片.png

确认无误后,客服打出了一波话术:
图片.png

按照客服的说法,学员需要先买他们公司的证券,可以确保收益在20~30%左右,赚到的钱作为学员的赔款。

随后,客服给出了不同额度的退款方案和详细解释,并告诉受害者退款有次数限制,暗示购买额度越大,回款就越快。
图片.png
图片.png

小凯选择了一个方案之后,客服开始引导他转账。
图片.png

客服返过来一个看起来挺靠谱的银行收款账户图片,并且在下方用红字暗示用户需要在10分钟内完成付款(趁着目标受骗者那聪明的智商还没来得及重新占领高地)。
图片.png

剧情进行这里,通常就是当事人小凯转账几万块,发现被骗后捶胸顿足,后悔不已。
图片.png

网上也有很多中招的案例:
图片.png

不过这次诈骗团伙不太走运,因为小凯是恰好是一位网络威胁分析师,日常工作就是帮客户抓入侵的黑客、协助有关部门分析调查网络案件、调查高级黑客团伙等等。

夜路走多了,总会撞到鬼,这回诈骗团伙就撞见了。BGM响起,是时候表演真正的技术了。

顺着群管理员给的两个下载链接,小凯找到一个CDN(内容分发网络),发现诈骗用的那个金融APP,是以随机生成的4位字符.app的形式进行访问(比如这次的金融APP是xWyj.app)

经过拓线分析,小凯发现还有许多域名都可以使用xWyj.app的标志符访问到仿冒软件的下载页面,并且把4位标识字符改成别的,还能访问到不同的APP下载页面。
图片.png

用大白话解释一下,就好比是小凯发现一个有问题的商品(诈骗APP),然后顺着商品的来源(下载链接),摸到了对应的连锁超市(CDN),超市货架上除了有这个款有问题的商品,还摆着别的商品(APP)。
在这家连锁超市的不同分店(域名),只要报上商品名(四位数的标识符),都能找到同一个商品(软件)。

小凯判断:这是诈骗团伙购买的APP托管服务,诈骗团伙利用它来分发自己的APP。

这个APP托管平台虽然也有大量正常的软件,但是博彩、色情、游戏、仿冒软件也不少,其中博彩软件居多:
图片.png

小凯「掰开」上面提到的那个退款用的金融APP,发现APP主页指向的域名都是随机生成的,没什么特别的规律。
图片.png

DGA(域名生成算法)是网络犯罪者们最惯用的隐藏伎俩,打一枪换一个地方(域名)。

小凯发现,黑产团伙为了管理这些大量随机生成的域名,让它们最终都能解析到诈骗界面,先把这些DGA域名先都解析到一个格式为:x.xxx.xxxxx.com(x是随机字符)的GoDaddy(一个全球知名的网站服务商)域名上,再解析到国内的一个CDN调度域名上,最后再调度到诈骗界面。
图片.png

总之就像是警匪片里演的那样,犯罪分子为了躲避追查,绕来绕去,中间跳了好几层。

经过拓线分析,小凯梳理出4套页面模板,伪装成证券交易、竞猜软件、航空购票、网上商城、色情网站、刷单平台等进行诈骗。

有航空购票的:
图片.png

有公益慈善的:
图片.png

有证券交易(也就是上文中我们提到的):
图片.png

有网上商城:
图片.png

有色情软件:
图片.png

有刷单平台:
图片.png

进展到这,小凯不打算继续调查下去,因为接下来,可能得拜托警察叔叔了。
图片.png

祝天下骗子们早日伏法!

223 声望
14 粉丝
0 条评论
推荐阅读
程序猿必读-防范CSRF跨站请求伪造
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却...

mylxsw22阅读 15.1k评论 12

http 和 https 的通信过程及区别
🎈 两者的区别端口: http 端口号是80, https 端口号是443传输协议: http 是超文本传输协议,属于明文传输; https 是安全的超文本传输协议,是经过 SSL 加密后的传输协议安全性: https 使用了 TLS/SSL 加密,...

tiny极客2阅读 2.8k评论 2

封面图
JWT 登录认证
🎈 Token 认证流程作为目前最流行的跨域认证解决方案,JWT(JSON Web Token) 深受开发者的喜爱,主要流程如下:客户端发送账号和密码请求登录服务端收到请求,验证账号密码是否通过验证成功后,服务端会生成唯一...

tiny极客2阅读 939评论 1

封面图
支付对接常用的加密方式介绍以及java代码实现
加密解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。只要通信需要...

京东云开发者3阅读 424

封面图
ctf(pwn&reverse)总结
F5/tab 查看伪代码空格 查看汇编代码视图->打开子视图->字符串 :查看所有字符串编辑->修补程序 :修改程序 修改完后点击修补程序应用到输入文件即可保存修改

白风之下阅读 2.8k

什么是跨域?如何解决跨域?
跨域: 它是由浏览器的 同源策略 造成的,是浏览器对 JavaScript 实施的安全限制,所谓同源(即指在同一个域)就是两个页面具有相同的协议 protocol,主机 host 和端口号 port 则就会造成 跨域

tiny极客1阅读 789评论 1

封面图
隐私计算之多方安全计算(MPC,Secure Multi-Party Computation)
如今,组织在收集、存储敏感的个人信息以及在外部环境(例如云​​)中处理、共享个人信息时, 越来越关注数据安全。这是遵守隐私法规的强需求:例如美国加利福尼亚州消费者隐私法 (CCPA)、欧盟通用数据保护条例 (G...

京东云开发者阅读 1k

封面图
223 声望
14 粉丝
宣传栏