| 本文素材均来源于真实事件,有关细节因隐私问题暂时隐去。事件是近日的某天,一位朋友通过微信联系到我,当时我正沉浸在LOL被坑的苦恼中……
一开始我以为是咸鱼交易纠纷问题,那么这种情况就直接淘宝客服介入就可以解决。但是实际上却是,一个钓鱼网站。 随后我迅速结束了游戏,召集团队成员。然后,一切就从这里开始了…… 查证 了解了事情的经过,原来是这位朋友的舍友被骗了,我们暂时称我这位朋友叫R吧,而被骗的人我们一如既往地称为— 受害者。 我先让R去平复受害者的心情,与此同时,最先的建议都是“ 先报警”。毕竟警察叔叔是我们最好的靠山,相信遇到这种事情,无论是安全专家还是像我们这种安全小白,都会将这个作为最优先的手段。 同时也取得第一手资料,也就是那个诈骗的网站,这里就不方便打出来,大概是这样的: http://XXXXX/index.asp?cn=i&url=pro.opi&id=240&spm=92blb06EJaU61M7B8H#guarantee XXXXX是和谐后的地址。这里不方便发出来,先浏览一下,得出一个类似于闲鱼的页面,由于没有截图,就没有图了。首先针对域名进行查询,得出以下结果:
关键信息因为某些原因暂时抹去。服务器IP为直接IP 地址,没有经过CDN,系统是Windows Server 2003,服务器供应商为这个: 服务器供应商:广州皇都网络科技有限公司 IP:103.195.1xx.xxx[ 香港 广州皇都网络科技有限公司] 公司网址:http://www.gzroyal.cn/ 打开看了看这个服务器供应商的网页,除了一些客服联系方式外,还有一个大概就是托管的WEB服务管理页面。 与此同时,R已经陪同受害者到当地的公安报案,既然这样,这边也不能就闲着,继续查找相关的证据。 回到域名注册的资料,不能放过任何细节的我们尝试性查询所有资料… 联系邮箱:一个有三年Q龄的 QQ;
联系电话:不存在的,是一个假冒的电话号码。 另外一边帮忙查的小伙伴也在whois上查到一些资料,但是都是注册商的资料,查到一个广东茂名的151 号段电话。但是可以知道,这应该是托管商的号码吧。 既然到这个地步了,感觉从域名与服务器层面应该没有成果,随后返回钓鱼页面去看看有什么信息。
这个为受害者被骗的商品的页面,只能说各种东西都模仿得特别像真实的网站,但是咸鱼跳转到淘宝网不会感觉到诡异吗? 与诈骗商品页面不同的是,诈骗商品介绍页面上部分连接都进行了回源阿里处理,所有连接到连接到正规的网站,笔者尝试对商品介绍处的搜索栏进行XSS,结果发现的是阿里的WAF 。 而交易页面(也就是这个页面)的则“粗糙” 了一点,说好的“工匠精神”呢?与此同时,还找到其他商品的交易页面:
所以估计做的坏事还不止这么一件事情,这个时候R告知笔录貌似完毕了,团队也草草把查找到的一点资料(服务器供应商、服务器IP 、服务器类型、可能涉案人员等等)发送给R希望她能够给予警方一点帮助,但被告知不需要,笔者提醒R记得拿警方给出的 “协助调查通知书”(貌似是这个名字)去希望某爸爸、还有服务器供应商,以及后期涉及到的携程帮助。 尝试 笔者询问R究竟是怎么被骗的,R 表示受害者在闲鱼看到一个东西然后就被骗了。虽然很含糊但是起码知道事情的起点是在闲鱼,并向R询问资金的流向。 她表示是走了携程。 携程?携程是什么情况? 于是笔者就收到这个交易清单:
很明显是攻击者方便洗清自己(?)与方便交易受骗的钱,而走了携程网去买了个礼品卡。如图所示,是买了一个2600元的携程礼品卡(任我行)。 那么资金的走向就是这个样子:
正在纠结的时候,团队成员似乎发现了这个网站的一个后台,是一个笔者并不认识的CMS,画面是这样的:
地址:http://XXXXX/cms/admin_login.asp 笔者首先使用最简单的绕过登录,但是别人又不是傻,无效。但是总算是到了较为擅长的领域了。
回到假冒的登录页面,如果对于一个普通网民来说还是挺真实的,但是只要打开源码一看就会发现,都是一些调用IMG的连接。 然后就看到了文本框,那么试试?XSS,貌似没什么作用。SQL注入?然后就这样了:
然后笔者就掏出各种工具瞎弄一顿,发现并无卵,正在抱怨自己无能为力的时候,一个自称啥都不懂的团队成员又给出了一个惊喜的信息:
他表示在登录的位置构造Payload并在收货地址处进行注入,传参后竟然爆出CMS管理员的Cookie(还在郁闷笔者为什么炸不出来。狗贼!你还说自己不会武功)。 然后就发现了一些信息:
可见这里寄存了一些链接(钓鱼商品链接)以及假冒支付宝登录窗口所掉到的一些支付信息 最后还查到一个可疑的登录IP: IP:117.61.xxx.xxx,使用高精准API查出IP地址是江苏南京玄武区的某个大厦附近。 事到如今,可能信息收集到这里就已经没有任何可行的余地了,一切都要看警察叔叔了。我们的能力可能就只能到这里了。然后笔者尝试复现一下案例,但是总感觉有些许不对,线索联系不上。 是谁给受害者发链接的? 后期 笔者立马询问R,她补充了一下,是一个闲鱼卖家给QQ 号给受害者,受害者添加该QQ号后被骗。 R说,这个闲鱼卖家是帮助代挂的,卖家也吓得把所有链接都删了。(看来是一个傀儡吗?) 查询QQ后得出:
如果大家没忘记的话,页面上的地址也是:
这样一来,大概就这这个就是骗子了,也就是攻击者。对方并没有用一个低等级账号去骗人,而是去使用一个创建时间较久,等级较高的QQ号进行诈骗,于是笔者便对案情进行一次整理。由于时间不太清楚,基本还原了一次时间轴:
笔者让受害者去联系携程与阿里,协助帮助。得出结果是携程并不配合表示礼券已被消费,阿里表示需要警方配合调查。
还有一个假冒携程的工作人员想进行二次行骗,公开处刑吧。
总结 总的来说,感觉这2600人民币大概也是泡汤了,算是买个教训。 这是一个很普遍的使用钓鱼网站诈骗的手段,通过模仿真实网站来构建一个钓鱼网站进行行骗,这种手法我们也已经见过两次。这类金额较少的案子,告破率也是很低,至于为什么,可能便是作案成本低、涉及金额少、取证难且成本高。 回想一年前一位安全界大牛在调查这类诈骗案件时说“假如公安不管,我们学网安的人也不管,那么谁去管?” 然后,现在又有另一单了:
真希望你们能提高安全意识…… 截止到文章编写前,受害者的资金仍未讨回。我们团队也在私下收到诸多此类的被诈骗、钓鱼的案件的受害者的求助(受限于团队能力 诸多求助皆不了了之)。当然,这种攻击行为也不会因此报案而结束,任何时候都可能有人上当受骗而受到不可言喻的伤害。 至今,此诈骗团队的网站已经更改,或许另一起诈骗案件也已经拉开帷幕… 第一次提交文章,可能有很多技术上的不足,请多多包涵。 *本文作者:CatchSoul,转载请注明FreeBuf.COM |
