关于网络安全:当诈骗团伙撞上网络安全研究员会发生什么

128次阅读

共计 1733 个字符,预计需要花费 5 分钟才能阅读完成。

本文首发于 CSDN,CSDN 博主「瞿小凯」的原创文章,遵循 CC 4.0 BY-SA 版权协定,原文链接:https://blog.csdn.net/weixin_…

勤恳好学的小凯,工作之余报名了一个培训。

这天,他接到电话,对方说:因为疫情起因,培训不得不勾销,当初咱们正在对立退款给学员,麻烦你加一下咱们的退款群,给你安顿退款。

小凯心想:最近整个教育行业这么惨,这破培训机构不会是要卷走学费跑路吧?

入群后,小凯看到群布告,一个坏消息和一个好消息。

坏消息粗心是:培训机构王八蛋老板欠下内债 3.5 个亿,带着小姨子跑了,咱们没有钱再赔给学员们。

好消息是:幸好之前给学员们买了商业保险,所以当初保险公司会负责抵偿报名费和其余相干费用。

群管理员在群里发了一张图片,是一张债务转让协议书,白纸黑字红章,给人一种句句属实的感觉。

紧接着,管理员开始发图,教大家下载一个金融 APP,在外头申请退款。

下载页面,这款金融 APP 利用评分 4.9 分,有几万个好评,甚至还须要输出邀请码能力注册:

注册实现后,小凯登录进去,看起来还挺像回事:

客服发来音讯通知小凯,须要提交之前的缴费证据,以及相干信息,以便他们核实退款信息:

小凯提交信息,片刻,客户人员返回来一张确认单,外头是小凯刚刚填写的内容。

确认无误后,客服打出了一波话术:

依照客服的说法,学员须要先买他们公司的证券,能够确保收益在 20~30% 左右,赚到的钱作为学员的赔款。

随后,客服给出了不同额度的退款计划和具体解释,并通知受害者退款有次数限度,暗示购买额度越大,回款就越快。

小凯抉择了一个计划之后,客服开始疏导他转账。

客服返过去一个看起来挺靠谱的银行收款账户图片,并且在下方用红字暗示用户须要在 10 分钟内实现付款(趁着指标受骗者那聪慧的智商还没来得及重新占领洼地)。

剧情进行这里,通常就是当事人小凯转账几万块,发现被骗后捶胸顿足,后悔不已。

网上也有很多中招的案例:

不过这次欺骗团伙不太背运,因为小凯是恰好是一位网络威逼分析师,日常工作就是帮客户抓入侵的黑客、帮助无关部门剖析考察网络案件、考察高级黑客团伙等等。

夜路走多了,总会撞到鬼,这回欺骗团伙就撞见了。BGM 响起,是时候表演真正的技术了。

顺着群管理员给的两个下载链接,小凯找到一个 CDN(内容散发网络),发现欺骗用的那个金融 APP,是以随机生成的 4 位字符.app 的模式进行拜访(比方这次的金融 APP 是 xWyj.app)

通过拓线剖析,小凯发现还有许多域名都能够应用 xWyj.app 的标志符拜访到仿冒软件的下载页面,并且把 4 位标识字符改成别的,还能拜访到不同的 APP 下载页面。

用大白话解释一下,就好比是小凯发现一个有问题的商品(欺骗 APP),而后顺着商品的起源(下载链接),摸到了对应的连锁超市(CDN),超市货架上除了有这个款有问题的商品,还摆着别的商品(APP)。
在这家连锁超市的不同分店(域名),只有报上商品名(四位数的标识符),都能找到同一个商品(软件)。

小凯判断:这是欺骗团伙购买的 APP 托管服务,欺骗团伙利用它来散发本人的 APP。

这个 APP 托管平台尽管也有大量失常的软件,然而博彩、色情、游戏、仿冒软件也不少,其中博彩软件居多:

小凯「掰开」下面提到的那个退款用的金融 APP,发现 APP 主页指向的域名都是随机生成的,没什么特地的法则。

DGA(域名生成算法)是网络犯罪者们最习用的暗藏手腕,打一枪换一个中央(域名)。

小凯发现,黑产团伙为了治理这些大量随机生成的域名,让它们最终都能解析到欺骗界面,先把这些 DGA 域名先都解析到一个格局为:x.xxx.xxxxx.com(x 是随机字符)的 GoDaddy(一个寰球出名的网站服务商)域名上,再解析到国内的一个 CDN 调度域名上,最初再调度到欺骗界面。

总之就像是警匪片里演的那样,犯罪分子为了规避追究,绕来绕去,两头跳了好几层。

通过拓线剖析,小凯梳理出 4 套页面模板,伪装成证券交易、竞猜软件、航空购票、网上商城、色情网站、刷单平台等进行欺骗。

有航空购票的:

有公益慈悲的:

有证券交易(也就是上文中咱们提到的):

有网上商城:

有色情软件:

有刷单平台:

停顿到这,小凯不打算持续考察上来,因为接下来,可能得托付警察叔叔了。

祝天下骗子们早日伏法!

正文完
 0