[快递理赔诈骗]溯源分析,剁手党们都小心了!
1、概述
7月30号,在我的安全技术群里,有位学员(下面称为“小欧”)发了如下的截图:
“弄死他”
看到截图第一眼,就知道这个是一个[支付宝钓鱼网站],域名是 http://58xx.org,而不是支付宝官方的 http://alipay.com =>
所以便心照不宣回了一句:
“嫩!”
在群里面,小欧还放了诈骗分子给他打过来的两个电话号码,从归属地来看,分别来自吉林和北京。
接下来,小欧同学大概说了下经历=>
本以为这事可能就是他个人信息泄露了,诈骗分子偶然拿到他的信息,也就一个小概率事件,就让他先去折腾着。
结果第二天,也就是7月31号,人民日报就发了下面这篇10万+阅读量的微信推文,原文链接=>
https://mp.weixin.qq.com/s/wWI5Hep-xEpJ7750iKNQ2A
文章提到一位叫小罗的姑娘,同样也是网上购物,在没收到包裹之前,便收到“快递工作人员”的快递理赔电话,通知包裹已丢,只能走理赔渠道。之后诈骗分子引导加微信,要求在“支付宝理赔协议”链接里面,填写姓名、银行卡等信息。
期间还不断电话沟通,引导小罗进一步操作,差点被划走7万元!整个作案流程,跟前面小欧同学遇到的情况如出一辙,庆幸的是,这两位朋友都在最后瞬间发现破绽,及时止损了。当然,这里也可以说明一点:这诈骗团伙可能全国化了。
事儿就是这么个事儿,大家看完日报文章之后,基本也都学乖了一点,例如:
- 不要随便添加陌生人微信
- 不要点击陌生链接或扫描二维码
- 不要轻易填写个人敏感信息
……
作为一名半调子的技术黑客,隐约觉得这事儿有点不对路,稍微较真下,例如=>
①诈骗事件的背后,这个诈骗团伙分工很明细,至少有以下人员:
- 渠道人员:通过不可告人的方法,非法获取我们的快递隐私信息。
- 技术人员:搭建支付宝钓鱼网站,除了域名,整个页面跟支付宝官网几乎没区别。(而域名,在手机端访问的时候很难留意到。)
- 客服人员:充当快递理赔售后人员,通过微信和电话两个渠道,双管齐下,“套路”被受害者。
②为什么我们的网购快递信息,如此快就泄露了?从诈骗时间来看,基本是在被骗者下单之后及收件之前。
③小欧和小罗都算幸运,那么其他人呢,有没有已经被骗的呢?
顺着这个思路,我们下面慢慢来分析。
2、我们的钱是如何被划走的?揭秘快递理赔诈骗网站真面目。
根据上面小欧同学发过来的支付宝钓鱼网站链接,接下来我做个“小白”,做个亲身示范,给大家还原“被骗者是如何上当的”。
页面①:被骗者通过微信或短信收到钓鱼链接(一般是短链接或二维码),打开“支付宝客服中心”。
下面是用我的手机测试,默认没有显示网址信息,很有迷惑性(这里账号密码是随便填的)=>
为了方便技术溯源,这里我在电脑端再次打开这个链接=>
页面②:模拟受害者填写账号密码,进入“支付宝退款中心”。
注:其实,当看到这个"退款中心"的时候,被骗者的支付宝账号密码,已经发送到诈骗分子的网站服务器上面了。
页面③:接下来选择任意银行,点击[下一步],进入 “退款银行” 页面。
注:这个页面可以说做的相当用心了,基本覆盖了主流商业银行,满足大部分人的“退款需求”,通过“请选择退款银行”等文字来进一步套路被骗者。
接下来便进入银行卡表单页面,这里还贴心地提供了[储蓄卡]和[信用卡]两种“退款”方式。无论哪种卡,都要求被骗者填写姓名、身份证、卡号、网银密码、“退款”密码等敏感信息。
这里还有 “退款密码即银行卡取款密码”等“温馨提示”。
可以这么说吧,如果被骗者把这些敏感信息告知诈骗分子,那么卡里的钱分分钟可以被划走。
当然,如果银行卡或支付宝开启了手机二次验证,那么诈骗分子再结合电话沟通获取到验证码,便可实现“完美犯罪”。
除了钓鱼网站的“长相”,通过服务器地址和域名备案信息,可以看到这些服务器主要在海外,技术实现也非常简单粗暴,大体采用Windows Server部署。
小结:
①这个快递理赔钓鱼网站,其实最核心的就是[客户中心] [退款中心] [银行卡信息]三个页面,通过一层套一层的“钓鱼”,不仅仅套取被骗者的支付宝账号密码,还可以拿到储蓄卡或银行卡的账号密码,属于典型的“连环诈骗”。
②诈骗团伙有一定的技术能力,例如通过国外购买的服务器和域名,规避国内监管。另外,在通过微信发送[快递理赔]链接时,采用短链接方式而不是完整域名,引诱被骗人更大机会点击。(这里先不详细展开)
3、到底有多少人被[快递理赔]诈骗了?他们能否追回款项?
上面我们提到,小欧和小罗都算比较幸运的,那么其他人呢,有没有已经被骗的呢?尤其当诈骗分子提前拿到我们的快递个人信息,再结合比较有诱导力的钓鱼网站进行精准诈骗时。
通过相关关键词,我们可以找到很多2018年甚至往年被同样诈骗的案例:
这里以时间、报道源/链接、地区、被骗者、涉案金额、相关快递 等信息做一下整理,得到下面这张表,这里仅截取一部分=>
根据我的简单整理,主要找到了2018和2017年相关诈骗案例,仔细阅读这些报道,我们可以得到=>
①快递理赔诈骗很猖狂,早在2017年甚至更早就在全国各地就不断上演了,到现在“愈演愈烈”。
②大部分涉案金额较大,被骗者只能选择报警或者网上求助,但讨回来几率不大。
③各个快递企业已经被诈骗分子“盯上”,被“冒名”用来对网购者实施诈骗。
4、除了防骗,我们还能做什么?
关于如何防骗?人民日报文章中给出的“八个凡是”和“六个一律”,已经足够清晰有力了。但是这里还是抛一个观点:
[快递理赔防诈骗],面向普通民众做更多安全普及固然是重要的,毕竟提高大家的安全意识,便可以降低被诈骗的几率。在以往的这么多报道中,我们动用了公安、反诈骗中心、媒体等各个社会组织,一次又一次的将诈骗案件剖析开来,一次又一次地输出详细的防骗指南。
可一旦过了今天,明天必定又有受害者上钩,看看上面的新闻案件时间线就知道了,几乎每个月每个季度全国都在发生同样的网络诈骗案。
所以,我们需要更理性地思考:大家的关注点或者发力点是不是有点儿搞偏了?
举例,绝大部分时候,大家在讨论和传播的话题范畴,几乎都是:“当信息泄露之后,我们如何进行防御或防骗?”
其实,我们不应该更加关注下面这些问题吗?
- 我们的快递信息到底是怎么泄露的?如何防止?
- 作为网购者,连我都还没收到快递,诈骗分子电话就过来了。他们是如何知道这个事儿,并对我实施精准诈骗?
- 当我网购时,唯二能知道我快递信息的,无非就是网购平台和快递公司,那么,可能是在哪个环节泄露的?
- 不管是谁有意或者无意泄露的,如果我不幸被精准诈骗了,谁应该承担责任,我该找谁追回这笔债?有法律专家解答下吗?
总而言之:
绝大部分诈骗案例中,被骗者为什么被骗了,关键不是因为点击了什么莫名的链接,也不是扫描了什么二维码,又或者是填写了什么表单。
最最最关键在于:当“客服小姐姐”能精准叫出被骗者的真实名字、买了啥东西、用了什么快递、从哪里收货,当这些隐私信息一字不差得匹配时,再聪明的人,大部分的戒备都会放下,这才有了后面被骗的事。
因此,[快递理赔诈骗]等类似的网络诈骗伎俩,我们要真正有效地防御,不仅仅要做后端的公民信息安全普及,更应该做前端的公民隐私信息保护。
最后,问题就来了:谁应该来保护我的个人隐私信息?
【了解更多】
知乎专栏: 跟杰哥学网络与安全
新浪微博: @拼客学院陈鑫杰
微信公众号:拼客院长陈鑫杰(搜索"pingsec"即可关注,大牛都在看)
拼客学院: http://www.pinginglab.net(专注网络|安全|运维的IT学院)
【相关文章】
网络安全入坑指南
[冇眼睇]揭秘地下色情诱导网站,上车吧!
拼客学院陈鑫杰:图解ARP协议(三)ARP防御篇-如何揪出"内鬼"并"优雅的还手"?
【视频教程】
5天速成白帽子黑客
一周入门Linux运维