新型钓鱼诈骗：贪小便宜吃大亏！！

新型钓鱼诈骗：贪小便宜吃大亏！！
2022-9-30 09:31:17 Author: 渗透安全团队(查看原文) 阅读量:7 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这篇文章由“潇湘信安技术交流群”@嘞萌师傅投稿，@3h整理发布，记录的是他在无意中发现的一个新型钓鱼诈骗方式，从技术层面简单分析了下。

目前微信官方已对这类诈骗链接进行了屏蔽处理，而且“武定警方”官方公众号同时也发布了针对此类诈骗手段的揭秘文章，大家可以去看一下。

警惕！武定公安民警潜入“骗子群”为您揭秘：“免费领取微波炉”是诈骗！别再转了

0x01 前言

前几天在微信朋友圈看到有人晒图并配有文案，只需扫码转发朋友圈就能免费领取小米微波炉的一个活动。

当时忘了截图了，但图片和文案基本与下图一致。

图片来源：武定警方公众号

扫码后会跳转到一个“小米客服”的聊天页面，点击免费领取后就会要你按要求转发他们的文案和图片。

0x02 分析过程

右上角查看链接时发现猫腻，并不是小米官方域名，而是某些G0V域名，找了几个案例都是G0V域名。

https://*****.qinghai.gov.cn/uploadfile/2022/0905/20220905130919799.xmlhttp://****.jl.gov.cn/u/cms/swcx/202209/08092103g0xe.html?Q3yw=

查询备案是某市政府机关域名，怀疑是漏洞被利用了，被上传了.html和.xml等文件。

.html、.xml这类文件中被嵌入了恶意的JS，只能用微信访问，用浏览器访问会跳转。

通过Burpsuite抓包修改UA头，这时可以看到包含的恶意JS链接为：http://liink.cn/dfjrj 。

这个域名的解析IP为：125.77.168.209，是福建泉州【电信】的一个IP地址，胆真大...。

恶意JS链接会识别你的平台是Windows还是Mac，如果都不是将会跳转到一个新的链接。

http://fanyi.youdao.com/server/webtrans/share?fileID=e01bceae5c8d439fbf192749774a83ee&salt=1662522510039&product=fanyiguan&entid=dfjrj&njmtnb=bc2209b4b19c99f2f00e817513a9e989

这是有道翻译对外提供页面的服务，直接访问会出现以下提示，简单的一句话完事，官方都不带审核的，着实让人有些无语......。

但是这里进不去相关页面，因为有道翻译的第三方服务是直接解析的诈骗网页源码，里边还会判断平台，也会根据以下网址获取到的IP判断地区。

https://only-72244-222-188-46-25.nstool.netease.com/info.js

因为这里也判断了平台，所以只有通过微信扫码才会跳转到有道翻译这个链接进入“小米客服”聊天页面。

当你按要求转发完朋友圈后他会向你索要姓名，电话，住址等个人信息，最后再给你发一张快递单的截图来博取你的信任，很多不懂的人就会上当了。

本以为是他给你打印的单号糊弄你，没成想后面发现居然是网页生成的这快递单图片，真是零成本钓鱼。

而且他会引流到QQ群，注：必须进群后才能安排发货......，至于这个QQ群具体是用来干什么就不细研究了，肯定不是用来做啥“好”事的！！！

https://c.liink.cn/code.php?dir=KF 这个链接中有这样一段代码，看着像是经过反转的QQ群链接，应该还需要拼接下，没有再去验证了，有兴趣的可以看下。

{"data":{"url":"f3MfNeyQZTGfscQm1PYMVjgplw=k?rq/mq/nib-igc/moc.qq.mq//:sptthiICgjMpypNlmpOuo1iDGm8BYih131Sn1H8ReD77o=yeKhtua&DBrenz0=ecruos_edocrq_lanosrep&0=yfirevon&LY2WPSPhh4tou5yyXcCemJPT"},"code":0}

到这里整个分析过程就算结束了，估计后面就会出现电信诈骗了，例如：你的某某快递被拦截，需要交保证金才能放行，或者带你兼职刷单、投资理财等诈骗方式。

天下没有免费的午餐，不要想着天上掉馅饼！！！

星球免费福利

转发公众号本文到朋友圈

截图到公众号后台第1、3、5名获取免费进入星球

星球的最近主题和星球内部工具一些展示

欢迎加入星球！

关注有礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247493063&idx=2&sn=5d8c23e3d7fcfedb6b7e76acc0884280&chksm=c1761868f601917e72d41488ba7ed24799c1b56189d64b7468ef237b83a0be40ed571ab40437#rd
如有侵权请联系:admin#unsafe.sh