年终,警惕冒充“疾管中心”、“市场监管”等进行的电信诈骗活动

 

作者:猎影实验室

背景

2021年1月8日,国家反诈中心提醒:有不法分子借预约新冠疫苗接种发布虚假链接非法收集公民个人信息,案犯群发所谓“开放预约、名额有限”短信,引诱受害人点击木马网址链接,要求填写身份证号、手机号、银行卡号等,随后套取银行卡验证码,将账户内资金转走。

我们通过安恒威胁情报中心平台以及安恒Sumap全球网络空间超级雷达进行关联分析,还发现了该事件相关的多个钓鱼网站。

这些钓鱼网站使用了四种风格相似的网页模板,钓鱼模板伪装为“统一企业执照信息管理系统”“国家企业执照信息公示系统”“国家企业信用信息公示系统”“统一全程电子化商事等级管理系统”等多个系统。当用户点击查询或认证时,将要求用户提供姓名、身份证、手机号码、银行卡号、交易密码等个人信息,以进行下一步的活动。

 

通过多个模板进行钓鱼活动

钓鱼网站的网页模板有以下四种,虽然不同模板的页面布局有区别,但收集的用户信息和提交后跳转的页面都是相同的,下面将分别介绍。

模板一

伪装为“统一企业执照信息管理系统”

模板一伪装成“统一企业执照信息管理系统”界面,

如https://www.gsjzzz[.]site,

点击“登记认证”按钮进入下一页面后,会进入到信息填写页面,要求用户输入真实姓名、身份证号、银行卡号、手机号等信息进行提交。

该网站在2020年10月21日被市场监督管理局曝光,

市场监督管理局称:“犯罪分子以‘工商管理’、‘工商登记’等名义向市场主体发送短信,以需要上网‘认证’为由,诱导登录‘钓鱼网站’链接后将其银行账户内的资金转走,导致经营者遭受损失。”

模板二

伪装为“国家企业执照信息公示系统”

模板二伪装为“国家企业执照信息公示系统”,在进入界面前会提示政策声明。界面几乎和模板一完全相同,只是系统名称发生了变化。

如http://hwww.0dqcutg[.]top,访问后会显示一段“《关于个体工商户升级电子版本政策措施》的声明”,

点击确认后进入“国家企业执照信息公示系统”伪装页面,

点击“登记认证”后进入以下界面,同样要求用户输入真实姓名、身份证号、银行卡号、手机号等信息进行提交。

模板三

伪装为“国家企业信用信息公示系统”

模板三伪装成“国家企业信用信息公示系统”,

如http://www.mm2h.net[.]cn,

当点击“确认”或“搜索”等按钮时,将进入认证界面,要求填入法人姓名、身份证号。

当用户输入身份信息并点击“开始认证”时,将提示法人信息过期,并跳转到下一个页面,并要求用户提交更详细的个人信息。

模板四

伪装为“统一全程电子化商事等级管理系统”

模板四伪装为“统一全程电子化商事等级管理系统”,在访问时也会显示相关政策声明,和模板二的声明部分相似,

如https://gswzl[.]cc,但文字有了变化,如下所示。

点击确认后,将进入系统界面,提示用户输入手机号码进行认证,当点击认证时,将跳转到认证界面。

在认证界面中点击“下一步”后,将提示用户输入更详细的个人信息完成认证。

当用户在任意模板中填写并提交个人信息后,将跳转到以下页面,并一直循环刷新,以欺骗用户系统正在提交中。

并且查看代码发现用户输入的信息将发送给攻击者控制的恶意域中。

 

结论

攻击者通过短信引诱用户点击钓鱼网站链接,诱导用户登录,并让其输入银行卡号等个人信息,以进行下一步的违法犯罪活动,导致用户遭受损失。

安恒威胁情报中心猎影实验室提醒广大用户,切勿轻信可疑的收集短信,不要访问来历不明的链接,不要随意提交个人信息。

 

IOC

备注

IOC存在历史不活跃的和当前活跃的,以及可能还会有新的,这里给出当前活跃的。

Domain(当前活跃的):

0dqcutg[.]top

baofengyuan[.]com

bjlqw[.]cn

fskf[.]cn

gongsz[.]site

gs.gswll[.]site

gsde[.]site

gsjaal[.]site

gsjdle[.]site

gsjhg[.]site

gsjzzz[.]site

gswal[.]site

gswll[.]site

gswvy[.]site

gswzl[.]cc

gzjsk[.]site

hdcx[.]cc

m.nmqsj[.]com

nmbst[.]cn

tgyd99[.]net

tianguyudao[.]com

tianguyudao[.]net

zhlr[.]cc

zout[.]cc

zyky[.]site

zzlk[.]cc

senhaihongtu[.]com

awrbiup[.]cn

raixkd[.]cn

yynjd37[.]cn

cubibonus[.]com

frvxiw[.]cn

fi7229[.]cn

ip(周期短,仅参考)

112.121.174[.]195

154.92.23[.]247

112.121.174[.]198

124.156.100[.]167

124.156.154[.]69

112.121.174[.]197

112.121.174[.]196

45.114.125[.]124

45.114.124[.]119

156.255.214[.]196

112.121.174[.]194

156.255.214[.]198

154.92.23[.]139

154.92.22[.]44

143.92.51[.]118

154.92.22[.]61

103.149.90[.]217

150.129.80[.]38

103.94.180[.]209

45.195.8[.]233

 

参考

1 https://m.weibo.cn/detail/4591198008778192#comment

2 https://baijiahao.baidu.com/s?id=1681156050512423270&wfr=spider&for=pc

本文为安恒威胁情报中心原创

转载请注明出处,谢谢

安恒信息威胁情报中心专注于提供威胁情报数据和分析服务 平台地址:https://ti.dbappsecurity.com.cn/

(完)