ZAC安全
#2023#
其实很早就想写关于反诈反赌这方面的文章,但迟迟不能下笔第一点是遇不见好的案例,哪怕遇到一些好案例,但因为敏感原因也不方便公开文章出来,其次是一些手法是大部分专业的反诈团队在用的,如果公开出来反而会让犯罪分子有戒备心,所以本文只是简单剖析一下诈骗的手法,不涉及任何0day,社工钓鱼或者奇技淫巧等
01
网赌/彩票/投资/兼职
我们先来说下最常规也是最典型的网络诈骗手法,网络赌博,彩票诈骗等
一般的骗术流程:
1 找一些客服进行大规模短信钓鱼,诸如“亚博”,“新葡京”等字眼找赌客
2 推荐线上赌博平台
3 受害者在平台充值交易等
4 由于平台后台可以随意更改结果,所以只要将钱充值进去就相当于丢失了
可以看到彩票和网赌类的流水是非常高的,这是之前跟团队大哥们一起打下来的一个平台,这篇的渗透过程就不发到公众号了避免反诈手法传的太多。该平台最高可达几百万甚至上亿的流水,由此也可以看出来BC类的诈骗是多么暴利。
(下图是一些该团伙话术及平台流水截图等)
02
杀猪盘/luo聊/约pao/游戏/涩情网站等等
这些也是比较常见的诈骗手法,常规中杀猪盘针对的是女性,luo聊和约pao等都是针对男性多一些。
这几个类一般会有一个专门的交友平台或者通讯聊天平台,然后利用大规模撒网拉进平台,小型团伙可能就只是赚取充值平台的钱或者利用私密照来勒索(luo聊),大型一点会根据你的家庭背景和贷款都手法彻底榨干你的所有价值(杀猪盘等)。下图用圈子里的一个师傅发的小洞来做案例,进入后台可以看到充满大量受害者的举报投诉记录,一次上当可能就是倾家荡产,后悔终生啊。
还有这种luo聊和约pao系列的,之前跟团队做项目的时候钓鱼控到了一个客服电脑,截屏桌面可以看到这些都是一个人操控大量客服账号进行钓鱼,通过不同女生的私密照以及话术来对应不同的目标受害者来进行诈骗。
03
新型手法(咸鱼收货)
这个点是最近新出来的手法,看某师傅已经发了公众号,于是找他要了份源码分析
在开始的时候会先get一下ddh.txt文件中的内容
而这个内容是在admin.php中调用了update.php写入的
这里会先判断是不是支付宝,如果不是支付宝的话就弹出f5.png这个图
F5.png
判断完成后会使用支付宝快捷调用AlipayJSBridge.call(“tradePay”)实现咸鱼客户端外确认收货,最后输出订单号,闭合整个链环,并且相比于安卓,苹果的危害更加的大,因为ios系统中开启FaceID后,自动面容验证会让人反应不过来直接确认。
这里简单复现下流程
1 受害者在咸鱼上拍下商品
2 骗子以各种理由索要受害者的订单号
3 骗子利用程序生成二维码,发送给受害者
4 受害者扫描二维码
5 咸鱼自动确认收货
这是受害者的被骗流程
https://zhuanlan.zhihu.com/p/62523070404
新型手法(针对iPhone的webview诈骗)
下文来自微博:BugOS技术组
“家里人在 App Store 下载看上去很正常的应用,Apple ID 开启了双重验证,但仍然被骗钱。
这个建议所有人都看一下,挺难防的
原理:受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,扫个脸即可,开发商直接在账号中添加新的手机号,但这一步必须输入密码,App 用假的对话框骗取密码,然后就有了你 Apple ID 的所有权限,直接远程抹掉设备,使用户无法接收扣款信息,然后就开始盗刷。
我试了一遍流程,没有问题。
你可能觉得会弹出双重验证窗口,但我写了代码试验,真的不会弹窗。
这个 App 如果在审核的时候搞阴阳版本,是查不出来的。
在第三方应用中的 WebView 访问 Apple ID 设置网页,在这种不可靠场景中居然不需要双重验证,苹果这个安全漏洞太严重了。
别说家里的长辈了,这一套操作下来,对于不太懂数码的年轻人估计也会中招。
鉴于不少人看不懂,更详细解释
到底是怎么绕过双重验证的:
第三方应用里边,开发商可以打开一个你看不见的网页,比如在界面下层放一个名叫 WKWebView 的控件,用其他图片啊按钮啊把这个控件挡住,你就看不到下边这个网页了对吧。这个控件可以访问任何网页,而且可以控制网页上的任何操作,以及获取网页上的各种信息。于是开发商用这个看不见的控件打开 Apple ID 设置网页,重点来了,如果你的手机是 Apple ID 的受信设备,打开网页时是不需要进行双重验证的,只需要扫个脸就可以顺利登录。”
这里简单阐述一下诈骗流程,诈骗者利用一个换皮的APP在苹果商店上架,比如本次案例的“菜谱大全”
绕过苹果商店审核后,通过模仿苹果的登录框在伪造一个获取密码的界面
这样苹果id密码就已经被获取到了,但是通过这些还远远不够,因为苹果本身有双重审核,需要盗取苹果账号的步骤依旧很繁琐
诈骗者利用手机自带的webview组件中拉起了一个登录apple id官网的请求
(图片来自公众号“差评”)
而点击继续后,苹果的高性能会快速通过人脸认证,导致账号被攻击者登录,而登录的情况下,只需要输入刚开始获取的苹果账号密码即可添加新的手机号,那么添加手机号之后苹果的账号就彻底的被盗取了
我看完这整个流程也被震撼到了,全程除了开始伪造的钓鱼界面,剩下的一切都是通过手机自带的功能来进行,防不胜防
这种手法说实话没有什么好的应对策略,一些建议就是手机尽量只要用默认的功能,像是免密支付这种高危功能最好不要开启,并且关于账号登录等敏感操作,尽量看好每一步的处理
先简单写一些吧,诈骗手法有很多,未完待续……
(文章如有侵权请联系我修改or删除)
宣传页
ZAC安全
本人微信:zacaq999
公众号:ZAC安全
文章内容如有任何错误或者对不上号的,可以加我微信,感谢各位大佬们的指点
安全宝典欢迎各位大佬以投稿方式免费进入!
原文始发于微信公众号(ZAC安全):浅析诈骗手法
