2014年5月18日 星期日

智慧手機簡訊詐騙再進化!

今晚我也接到一封詐騙簡訊(如下圖),他很清楚我的名字,也知道我的手機號碼,一般人應該不疑有他吧! (詐騙很用心,直接顯示名字,好讓我鬆懈戒心!)
能用正確的名字發到我的手機,應該有我的個資
(我懷疑個資是從黑貓流出去的)
只是簡訊內容讓人覺得有點不合理,所以照「關於手機簡訊的短址詐騙(社交工程) 」的方法上網查看,在 IE 轉入「 http://goo.gl/GUDnpT」,咦! 它還真的連到黑貓宅急便,不是直接出現 ~~.apk 的網址,看來行騙的道行又進化了,改了程式,會判斷:若用電腦連網就自動導到黑貓,看起來就像是黑貓發的簡訊,讓我們無法查證是否為惡意程式,這是障眼法,因為真的把包裹號輸入查詢,黑貓會告訴你「非有效單號」!
當然,如果有照「關於手機簡訊的短址詐騙(社交工程) 」所教的取消「設定-->安全性-->未知的來源」勾選,就算不小心按下連結,也不過是下載惡意的檔案,並不會直接安裝,所以沒有危害。
(發現下載的是「*.apk」類型的檔案,記得不要安裝它!)
未知的來源 不要勾選,單純下載就不會有危害!

拜託! 請大家轉發這則訊息,讓更多的人知道詐騙的手法,同時要記得取消勾選「未知的來源」,只要大家不上當,騙子就白作工!


底下是比較技術性的說明,如果對技術沒興趣的朋友可以直接跳過(就此結束)!


我如何判斷是惡意程式:
這次行騙用的網址,如果用電腦連線,它會自動轉址到黑貓的官網,但是透過簡單的工具(我是用 OWASP ZAP)攔截往來的資訊,仍能清楚它的行為。
首先開啟 Local Proxy,並啟用 IE 的代理伺服器設定,讓它指向 ZAP,接著在IE輸入 http://goo.gl/GUDnpT,IE 會正常顯示黑貓官網。但從 ZAP 攔到的內容,可看到它是被轉成 http://211.44.3.186/33/indexshow.php !同時網址列顯示 http://www.t-cat.com.tw/inquire/explain.aspx ,擺明用網頁轉址的障眼法。

基於好奇心,直接輸入 http://211.44.3.186/33/ (直接查詢錄),哈!哈! 這個騙子也太不小心了,竟然暴露出目錄結構:
心想,即然用 33 做目錄,是不是還有  /22/, /11/, /44/,我試到 /66/ 就不想再試了,顯然這個騙子設了很多詐騙情境,而每個目錄裡都有   .php 及 .apk,這個  .apk 就是手機(平板)上的應用程式!

即是詐騙網站,當然想查查看是設在什麼地方,一查卻設在韓國,唉! 韓國(仁川),那我就沒能力繼續追查下去了! 不知有那位大大可以發揮濟世救人的精神,破解這個害人的網站!


沒有留言:

張貼留言