“确认收货,加V免费送礼品”,这类特征短信高危!!!

robots

 

近期,各大电商平台大促之后,不少用户都会陆续收到商家发送的“确认收货”的短信,然而,360手机先赔收到用户反馈,因添加了陌生号码发来的短信中的微信,在领取所谓的“红包”过程中,被骗在博彩平台充值下注,被骗几千元。如何辨别这些藏有“暗语”的风险短信?短信里引导添加的“微信号/公众号”,真的可以领到所谓的“红包”或“免费送xx”吗?其中套路卫士妹给您说一说~

 

案例经过

n用户收到兼职短信内容显示“确认收货,可以送早餐机”,便添加了短信内的微信账号,骗子确认用户是通过短信添加后,邀请用户进微信群领礼品。

n用户进群后,按照任务要求关注了公众号并回复截图,群主给用户发了50元红包佣金。随后,群主称述该礼品赞助商的应用需要下载量和注册量,用户下载应用可再获得18.8元奖励金。然而,实际上,用户下载的应用内嵌的是博彩平台聊天软件。

n下载应用后,用户在应用内添加了指定的奖励金结算员账号,在结算员的指引下,参与了新的佣金任务,在聊天软件内嵌的博彩平台进行充值投注。前几次按照对方提供的计划下注,对方进行了返金;后期多次下注上千元后,对方未返金而得知受骗。

 

诈骗点分析

此类诈骗短信特征

1.短信发送者号码“0060”开头,为境外发送号码;

2.短信正文没有关于电商平台商家的名称;

3.以“免费送”我噱头,诱导用户添加微信;

 

诈骗流程梳理

 

涉诈应用分析

区别于以往利用子域名生成不同聊天软件的手法,本次聊天软件进行了明显的攻防升级,通过抓包获取的域名是API形式,而非子域名形式,直接访问会显示“请求方式错误”。通过对抓包数据的多次梳理后,发现几个频繁出现的网址,经过分析后发现如下特征:

当在应用界面注册时,对应的为api.xxx.com/kkrp/member/register,此时可以看到看到注册账号和密码;

当注册完登录时,对应的为api.xxx.com/kkrp/member/select_member_money,同时可以看到登录用户名、密码。

点击页面中的“发现”,通过界面来看,为聊天软件内嵌的博彩平台。

通过对APP网络请求频繁出现的网址分析,推测诈骗团伙使用第三方IM-SDK、新加坡服务器制作了App server,服务器绑定至指定域名。当用户在应用登录时,首先与APP的服务器产生数据校验,再与第三方IM-SDK服务器产生数据校验

APP server应用服务器:客户自己的服务器,部署运行业务代码,由客户开发团队自行管理维护,用来对接第三方 IM 服务。

 

安全课堂

此类诈骗,骗子通过群发短信,以“免费送”礼品为幌子,诱导用户添加微信;以兼职做任务+得佣金的形式,让用户下载风险APP,不断的邀请用户做任务,引导用户在赌博平台投注。可见这种在聊天软件内嵌诈骗平台的手法,或可称为更具迷惑性的诈骗形式。

(完)