十年安全老鸟差点被一万移动积分忽悠诈骗
-- 开始 --
8月最后一天,夏日明媚,一整片蓝天挂在头顶,心里头放松愉悦,又是幸福的一天。
上午9点54分,赶在上班迟到最后几分钟坐到了工位上,嘿,又没迟到,真棒。
习惯性拿起手机,趁着最后几分钟,收拾一下心情,打开抖音,准备好迎接新一天的工作。
突然,久未出现的短信,突然弹出了消息,晃眼的数字一万,像闪电一样射入我的视网膜,还有这好事?
“12800”,“最后一天”,“全部失效”,“尽快点”等充满诱导性的词汇,差点让我打开心防,点开链接。
幸好,安全从业者的底线拦住了我,
不要随便点开未知链接
。
所以,我稳了一手,找到了移动app,输入账号,发现,靠,哪来的一万的积分啊,骗子!
好的,基本已经确认了,诈骗网站。
虽然已经收到很多类似的短信,但这真的是我第一次差点信了。
哦,其实,开始我是真信了。
...
所以这次,我准备看看这个网站究竟是搞什么的,neng它。
当然,我不是web安全方向(黑客)的,我干不掉它,我只能找找它的底。
-- 然后 --
首先打开电脑,打开浏览器,打开隐身模式,输入网站3g1.cn/3McUbc,打开了,还真像那么回事,做的挺精致。
简单浏览了一下,产品页面、兑换页面、地址、支付页面,非常全面。
(不建议普通用户打开看,谁也不知道网站是不是会利用一个漏洞来进行攻击,打开可能就中招)
看下方还有订单管理、个人中心等等,甚至还有客服。
支持微信和支付宝支付,抓包可以拿到两个公司的支付相关的id,进而应该可以找到对方身份。
当然我肯定找不到。
网站做的这么好,别真是移动公司的啊,为了确认这一点,我查看了网站证书。
然后找了移动网站的证书。
颁发者不同,但都是真的,也不能说a.3g5g.cn不是移动网站吧,所以这个好像也确认不了啥。
那继续,我找客服聊聊。
应该接入的第三方客服系统,感觉很专业。
问我要电话、订单。你不知道我是谁吗?
嗯,她肯定不知道,因为网站我没有登录,没有身份,另外抓包发现我填的地址等信息也没有发到后台,应该是暂存在本地的,所以后台也有我的记录。
既然你要,我就给你吧,我随便找了个靓号,发给了她。
哈哈,玩嘛。
看到这个网站叫做今日兑,找度娘看看有啥信息。嗯,好像我不是第一个人。
然后搜索网站域名:a.3g5g.cn,看到了这样的信息。
回答中第一条说不是诈骗网站,严重怀疑是他们网站自己刷的。
看看其他回答是啥样的,群众里还是有很多有识之士的。
然后也有V2ex的讨论。
通过站长工具搜索域名,找到相关注册信息。
居然还是有名有姓的注册公司,公司信息如下:
我只能说够专业,难怪网站做得那么好,别人就是专业做这个的。
谷歌可以搜索到不打码的联系信息,有兴趣的专业人士可以再挖挖。
根据公司名,又搜到一些其他信息,黑猫投诉、其他博主揭秘。
搜索引擎大概也就能找到这么多东西了,性质也基本可以确定了。
也尝试了一下其他方法,看看能不能做更多的,但是目标团队很专业,服务器是阿里云,我这半吊子web水平,作罢。
最后啊,啰里啰唆这么多,除了想确认这个短信算诈骗(至少是虚假)短信外,其实就是想总结这么几点,希望对大家有帮助,也是老生常谈:
1. 但凡短信让打开链接,不管多么像,多么专业,多么诱惑,千万别去弄。如果确实想知道有没有这回事,打相关客服电话咨询,不要打短信中的电话。
2. 如果万一打开网站,需要输入账号、密码、银行卡等,想都不要想,关了。
3. 现在各个公司都有专门的官方网站、app,如果任何东西想确认,直接手机自带应用商店下载公司app,或者百度搜索官网,后缀会提示官网,如果百度不可信,尝试使用必应或者谷歌。
4. 不贪小便宜,不遇大骗子 。
如果觉得文章有用,欢迎转发给更多人看到,帮助他们避坑,谢谢。
最后的最后,还有点疑问,这样的公司怎么能够存在?明目张胆的注册了,难道管不了吗?有懂的朋友解解惑。
诱导消费、虚假积分...难道不算问题?
(完)