不法分子借疫情发送钓鱼短信,安全专家揭秘钓鱼网址攻防手法

 

疫情当下,却发现披着疫情“外衣”的网络诈骗却层出不穷。近期,360安全大脑监测到有不法分子以预约新型冠状病毒疫苗的名义,推送含钓鱼网站的短信,企图进行金融账户盗刷。在对诈骗短信及钓鱼网址深入分析后发现,诈骗团伙对钓鱼网站还做了一些攻防手段。鉴于此,对其诈骗手法、攻防手段进行梳理分析。

 

诈骗手法

使用0060、0079等国际短信通道发送钓鱼短信,诱导用户填写预约身份信息,包括姓名、证件号、手机号、交易密码、可用余额等,支付录入材料出纳费,填写短信验证码,进而使用钓鱼网址盗刷访客银行卡资金。

 

钓鱼网站的路径特征

通过对钓鱼网站页面展示的信息推测,诈骗团伙使用统一化的模板,仅通过修改页面,实现钓鱼网站的批量制作。

 

钓鱼网站的同源网站

通过研究发现,冒充企业征信的钓鱼网站也使用了同样的网站架构、仿站技巧、网站路径、加载特征,推测此类诈骗团伙使用了同一个技术提供方。

 

钓鱼网站的攻防手段

域名防洪

通过网址的落地页情况看,结合域名防洪手段来看,短信内的钓鱼网站域名仅作入口域名,即访问短信内的A域名会跳转到落地域名B域名,当B域名被拦截,更换B域名,从而企图躲避拦截。

 

UA设备校验

针对访客设备做校验,不同设备显示内容不同。若为手机设备,才显示内容。

 

访客IP校验

页面在加载的过着中,加载了IP封锁程序,主要用来限制指定IP的访问。

 

银行卡号、身份证校验

银行卡使用了校验接口,且页面中也写入各银行卡号验证返回银行归属的代码。

银行卡内容判断。若访客输错银行卡提示访客输入正确银行卡,若访客强制跳转至下个网页,则页面不显示内容。

身份证内容判断。判断是否输入身份证号码,身份证号码是否符合规范。

 

协议盗用

网站为增加仿真度,盗用了云闪付的协议内容。

 

钓鱼短信发送号码

此类钓鱼短信的发送者号码多为0060、0079等境外号码,在研究的过程中发现市面上“国际短信通道”较多泛滥,且对发送内容没有审核要求,网赚、六合彩、催收均可发送,还可选择对某地区进行屏蔽,为防止短信拦截,还可提供防拦截模板。

 

安全课堂

随着诈骗技术手段的不断升级,批量制作钓鱼网站、发送诈骗短信的难度和成本也在降低,渠道供应商要加强自我约束,规范行为,切勿被不法分子利用。广大用户要提高防骗意识,不轻易点击陌生链接,拒绝填写短信验证码,及时举报诈骗行为。

(完)