共计 1733 个字符,预计需要花费 5 分钟才能阅读完成。
本文首发于 CSDN,CSDN 博主「瞿小凯」的原创文章,遵循 CC 4.0 BY-SA 版权协定,原文链接:https://blog.csdn.net/weixin_…
勤恳好学的小凯,工作之余报名了一个培训。
这天,他接到电话,对方说:因为疫情起因,培训不得不勾销,当初咱们正在对立退款给学员,麻烦你加一下咱们的退款群,给你安顿退款。
小凯心想:最近整个教育行业这么惨,这破培训机构不会是要卷走学费跑路吧?
入群后,小凯看到群布告,一个坏消息和一个好消息。
坏消息粗心是:培训机构王八蛋老板欠下内债 3.5 个亿,带着小姨子跑了,咱们没有钱再赔给学员们。
好消息是:幸好之前给学员们买了商业保险,所以当初保险公司会负责抵偿报名费和其余相干费用。
群管理员在群里发了一张图片,是一张债务转让协议书,白纸黑字红章,给人一种句句属实的感觉。
紧接着,管理员开始发图,教大家下载一个金融 APP,在外头申请退款。
下载页面,这款金融 APP 利用评分 4.9 分,有几万个好评,甚至还须要输出邀请码能力注册:
二
注册实现后,小凯登录进去,看起来还挺像回事:
客服发来音讯通知小凯,须要提交之前的缴费证据,以及相干信息,以便他们核实退款信息:
三
小凯提交信息,片刻,客户人员返回来一张确认单,外头是小凯刚刚填写的内容。
确认无误后,客服打出了一波话术:
依照客服的说法,学员须要先买他们公司的证券,能够确保收益在 20~30% 左右,赚到的钱作为学员的赔款。
随后,客服给出了不同额度的退款计划和具体解释,并通知受害者退款有次数限度,暗示购买额度越大,回款就越快。
小凯抉择了一个计划之后,客服开始疏导他转账。
客服返过去一个看起来挺靠谱的银行收款账户图片,并且在下方用红字暗示用户须要在 10 分钟内实现付款(趁着指标受骗者那聪慧的智商还没来得及重新占领洼地)。
四
剧情进行这里,通常就是当事人小凯转账几万块,发现被骗后捶胸顿足,后悔不已。
网上也有很多中招的案例:
不过这次欺骗团伙不太背运,因为小凯是恰好是一位网络威逼分析师,日常工作就是帮客户抓入侵的黑客、帮助无关部门剖析考察网络案件、考察高级黑客团伙等等。
夜路走多了,总会撞到鬼,这回欺骗团伙就撞见了。BGM 响起,是时候表演真正的技术了。
顺着群管理员给的两个下载链接,小凯找到一个 CDN(内容散发网络),发现欺骗用的那个金融 APP,是以随机生成的 4 位字符.app 的模式进行拜访(比方这次的金融 APP 是 xWyj.app)
通过拓线剖析,小凯发现还有许多域名都能够应用 xWyj.app 的标志符拜访到仿冒软件的下载页面,并且把 4 位标识字符改成别的,还能拜访到不同的 APP 下载页面。
用大白话解释一下,就好比是小凯发现一个有问题的商品(欺骗 APP),而后顺着商品的起源(下载链接),摸到了对应的连锁超市(CDN),超市货架上除了有这个款有问题的商品,还摆着别的商品(APP)。
在这家连锁超市的不同分店(域名),只有报上商品名(四位数的标识符),都能找到同一个商品(软件)。
小凯判断:这是欺骗团伙购买的 APP 托管服务,欺骗团伙利用它来散发本人的 APP。
这个 APP 托管平台尽管也有大量失常的软件,然而博彩、色情、游戏、仿冒软件也不少,其中博彩软件居多:
五
小凯「掰开」下面提到的那个退款用的金融 APP,发现 APP 主页指向的域名都是随机生成的,没什么特地的法则。
DGA(域名生成算法)是网络犯罪者们最习用的暗藏手腕,打一枪换一个中央(域名)。
小凯发现,黑产团伙为了治理这些大量随机生成的域名,让它们最终都能解析到欺骗界面,先把这些 DGA 域名先都解析到一个格局为:x.xxx.xxxxx.com(x 是随机字符)的 GoDaddy(一个寰球出名的网站服务商)域名上,再解析到国内的一个 CDN 调度域名上,最初再调度到欺骗界面。
总之就像是警匪片里演的那样,犯罪分子为了规避追究,绕来绕去,两头跳了好几层。
通过拓线剖析,小凯梳理出 4 套页面模板,伪装成证券交易、竞猜软件、航空购票、网上商城、色情网站、刷单平台等进行欺骗。
有航空购票的:
有公益慈悲的:
有证券交易(也就是上文中咱们提到的):
有网上商城:
有色情软件:
有刷单平台:
六
停顿到这,小凯不打算持续考察上来,因为接下来,可能得托付警察叔叔了。
祝天下骗子们早日伏法!