引言:
昨天晚上,一个朋友找我说自己被骗了,了解到原来是打开了钓鱼网站输入了自己信息和银行卡信息,虽然到最后一步发现了猫腻,但是信息已经泄露出去了,据说是唯品会的卖家给她发的信息,说之前买的东西没有付款成功,需要她打开发给她的网址输入个人信息把钱给她让她再重新付款回去,这里我不说此处开始漏洞百出的问题,我的主要目的一个是提醒广大用户注意不要再上当,另一个是通过技术角度分析说明这些钓鱼网站是如何盗取你的信息的。
打开这个仿“唯品会”退款中心钓鱼网站地址“http://t.cn/E7aUSVr”,这里一看t.cn就知道是新浪的短网址,当然还有腾讯短网址url.cn、百度短网址url.cn、淘宝短网址taourl.com、谷歌短网址goo.gl等等。打开分析后原网址为:“http://sp9g.cn/? 7mt=C6o9Wi5Dpzx8M5Uy&page=V1BI”,如图:
这里我要强调一下,钓鱼网站一般来说,不会做的很精细,而且所有钓鱼网站的通病就是不管你点击网页上任何连接,都还是会跳到这个登录界面,不管你是点注册还是点合作网站账号登录等等。
目测组件用的第三方的,利用渗透软件分析后查看其脚本和架构文件,我随便输入账号密码进行登录,打开了银行界面信息,如下图:
大家仔细看就会发现,先不管账号密码对不对,登录后页面根本没有已登录后的账户信息,如图:
我还是想吐槽一下,这个钓鱼网站是我见过最Low的了,一点都没用心做……我把银行信息随便填写,然后提交,如图:
刚开始我以为他是通过Email方式将用户信息盗取到指定邮箱的,但是后来看应该是保存到服务器的数据库表里面了,因为我之前写过一个仿QQ软件的Winform程序,我把用户输入的用户名和密码通过后台偷偷发送到我的邮箱了,如图:
最后让你输入手机号验证码,这个看对方设置是否高级,可以不发送验证码,也可以发送重新设置绑定银行卡手机号的验证码等等,如果你稍不注意就有可能把验证码也输入了,如图:
到这里你可能还不太清楚到底是怎么盗取信息的,大家看下面两张图应该就明白了,在你在网页文本框输入信息的同事,会有一个UPdate的XHR数据请求,会把你输入的信息全部都记录在对方的数据库中,如图:
这种钓鱼网站一般服务器都是在国外的,而且只开放80和443端口,如果他们能开放远程登录端口之类的就好了,哈哈。如图:
最后通过查询,不管信息是否真实,但是我还是很怀疑这个邮箱使用者的,通过Whois查询得到如下数据,仅供参考,如图:
希望大家能够引以为戒,不要轻易上当,凡是让你输入银行信息甚至是密码的,肯定是假的!