高强!钓鱼源码“十三合一”及摩斯密码在钓鱼诈骗中的应用

阅读量333640

|评论1

发布时间 : 2021-03-30 20:00:56

 

近期在对黑灰产的研究过程中,发现了一条贩卖钓鱼源码的产业链。该钓鱼源码号称,其包含盗取通讯录APP、冒充闲鱼、转转、交易猫、京东、QQ空间、卡框等多个功能,简称“鱼转转鲨鱼台子最新十三合一”。

然而,大多数售卖源码的平台均表示“不知道这是干嘛用的…”,目前市场价几百元不等。

是不是很奇怪?

自己卖源码,却不知道源码是干啥的

但其实

这正符合现在黑灰产行业的现状

“职业化分工”

在对源码分析的过程中发现,此套钓鱼源码集成度高,涵盖多个主流平台的诈骗场景:通讯录信息获取、虚假商品交易、社交账号盗取……代码结构也更加的复杂,对访客设备采用了多重校验机制。

 

盗取通讯录APP

多用于裸聊诈骗中,诈骗团伙以视频裸聊为幌子,诱导受害人安装恶意APP,盗取其手机通讯录,用录制的裸聊截图群发通讯录好友为由进行资金敲诈。

 

电商平台(以虚假的京东页面为例)

主要是模仿电商交易平台,诱导受害人在虚假的电商平台下单支付。以虚假的京东商品页面为例:

点击页面中的“立即购买”会跳转虚假的商品支付链接。支付完成后,钓鱼后台可以看到下单人员支付进度,包含下单人员IP、收货地址、电话、商品名称,下单人员当前位置、是否进入支付界面,是否完成支付……

有趣的是

页面仿真程度超乎想象

也就是说,黑灰产人员盗取官网商品页链接,修改了“购物车”和“立即购买”按钮代码,其他保留了官网平台的代码逻辑,达到以假乱真的程度。

 

二手交易平台界面(以虚假的闲鱼页面为例)

当用户点击页面中的“我想要”后,跳转至手机淘宝快速登录界面,然而,用户无论选择何种登录方式,都会跳转到购买宝贝页面。用户输入收货地址、手机号、完成支付,钓鱼后台也可以看到用户下单的进度。

 

在这个过程中发现,“登录”页面存在对访问用户进行验证的环节,为了防止刷新依然停留或以防用户转发,让访问环节看起来更“合理”。

 

由于源码中的“支付”环节并没有引入支付体系,所以区别于正规平台,采用了让用户扫码支付的形式,遇见这种情况,用户要有所警觉。

 

QQ空间

虚假的QQ空间的界面,诱导用户填写QQ账号和密码。然而,巧妙的地方在于当用户填写QQ账号和密码后,会跳转到真正的QQ空间界面,造成一种用户输错的错觉,但管理后台已经将“账号、密码、IP、地址、时间、登录设备”记录到数据库。

 

十年前也同样出现过使用此种方式盗取QQ账号和密码的诈骗手法,首先是强行关闭正在运行的QQ程序,紧接着伪造QQ重新界面诱导受害人填写QQ账号和密码。

由于移动互联网的盛行,传统的QQ钓鱼手法日渐衰落,但对于QQ信封的资源需求却在日益递增,身份冒充诈骗、QQ账号资金盗刷、用于诈骗隐藏真实信息。

 

钓鱼诈骗源码的新趋势

上述的手法看似简单,都是传统的诈骗手法,但对此些代码进行隐蔽包装,即可生成新型的难以识别的钓鱼攻击,这种隐蔽式钓鱼网站,逐渐成为主流。但国外的网络安全人员发现,新型的钓鱼攻击开始使用摩斯密码来隐藏URL,虽然与上述方式不同,但都异曲同工。

谁能想到

摩斯密码还能这么用

本文由360手机卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/236346

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360手机卫士
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66