最近在样本分析过程中发现针对支付宝理赔的钓鱼事件,人在很紧急的情况下很容易忽视网站的真实性,这样就给了黑客可乘之机。
网络钓鱼,是指攻击者通过垃圾邮件、即时通信、社交网络等信息载体,发布欺诈性消息,骗取网络用户访问其构建的虚假仿冒钓鱼网站,意图引诱用户泄露其敏感信息(如用户名、口令、账号ID或***卡详细信息)的一种网络犯罪行为。这种攻击方式已成为当前互联网最大的安全威胁之一。
钓鱼网站的基本特征是,其界面基本与真实网站一致,充满诱导性,通过表单交互来欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成各类知名邮箱、银行及电子商务、窃取用户提交的账号、密码等私密信息的网站。
钓鱼网站列表如下:
编号 | 域名/URL |
1 | www.czsanqing.com |
2 | xajdzlwx.com |
3 | www.xajdzlwx.com |
4 | www.tszlcucc.com |
5 | http://160.124.49.161 |
6 | http://160.124.49.144/ |
7 | http://160.124.49.148/ |
8 | http://160.124.49.180/ |
以其中的一个理赔钓鱼网站为例(www.czsanqing.com),访问支付宝申请理赔钓鱼界面如下,仅仅看页面完全不像是钓鱼网页的痕迹,还吓唬上钩的用户“欢迎进入理赔中心,请在理赔客服的指导下完成申请理赔,请勿中途中断操作,导致账户异常或冻结,确认申请,点击申请理赔。”;
点击申请理赔,提示输入用户名和密码,在此本人随便输入用户名111111和密码111,点击登录,显示可以进行下一步,输入***号;
紧接着就提示输入姓名、密码和电话号码;
然后让用户获取验证码并填写,一套流程下来把用户所有的信息都获取到手。
钓鱼页面(xajdzlwx.com)直接显示申请理赔,用户点击理赔直接提示用户输入支付宝用户名和密码。
打开浏览器的开发者工具,输入用户名和密码,可以发现三个参数user、passwords和nametype,其中nametype固定不变,nametype=”支付宝”。
如果想恶意一下构建钓鱼网站的黑客,可以构造一组随机用户名和密码,构造多次POST请求;起到混淆视听的效果。
完成搜索信息收集之后点击提交按钮,会调用zdlclos(),这个函数的名称看着也着实有点业余,很大可能性是国人制作的钓鱼网站。
Burp抓包数据如下:
url解码后发现提交的是用户填写的所有信息,包括收款账户、**证信息、***卡号等用户隐私数据。
由于钓鱼网站不易察觉,最根本的预防办法是提高警惕,不登录不熟悉的网站,键入网站地址的时候要校对,细心就可以发现一些破绽,不要打开陌生人的电子邮件,更不要轻信他人说教,特别是即时通讯工具上的传来的消息,很有可能是发送钓鱼网站或病毒,不要轻信来历不明的信息,谨防电信诈骗。