“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
前言
前段时间周末在家喝着肥仔水打着游戏听着歌时,一位表哥截图和我说,问我前几天才办理的营业执照怎么又要上报了,问我咋回事呀。
看了一眼图,我跟他说这个是钓鱼网站,假的,不要信。
表哥半信半疑的和我说哪里假了,这看着也没啥问题呀,已经打开上报了,不会有什么事吧?
我宽心的安慰表哥说:“放心吧,可能后续每天有垃圾短信或者哪天打电话诈骗你下,多留心就好了。”
表哥一时之间不知道是在安慰他还是在恐吓他,问我能不能上去帮他删除下他的信息,担心后面会被骚扰,信息一旦泄露出去,一传十十传百,当时很多打电话办不办保险、办不办信用卡啥的就烦死了。
本着三好青年的原则,想着拒绝表哥的,但是想到这种诈骗肯定很多人受骗,便想着写篇文章揭示下这种诈骗手法提供一些素材,提高大家的安全意识。
当渗透做多了越来越对”渗透就是信息收集”这句话感同身受。
一顿操作猛如虎,展示出我2年半的渗透实习生的实力还没进去时,一时感觉给老师傅们丢脸了,瞬间脸火辣辣的。
但,作为全村的希望,怎么可以空手铩羽而归。
重新回去浏览网页,仔细看看有什么可以利用的点,当看见有框时,想起半夜老师傅们教我的,看到框最简单粗暴的办法—见框X框。
立马去网上找一个xss接收平台注册。
当X进那一刻时,以为没戏了,想重新找个突破口时,突然窗口一阵抖动,Bingo,起飞,运气好的一批,鱼儿居然上钩了。
修改cookie进入后台,看到一堆受害人的信息,账号密码、身份证银行卡余额什么都泄露了。
尝试写我喜爱的马儿尝试getshell,发现无法写进去,一直报500的错。遂弃。
把后台截图给表哥,表哥愿意才相信这不是一个ZF网站,而是钓鱼网站。
搜索到表哥信息,删除,下机。
总结
提醒一下各位,遇到这种诈骗信息,千万千万不要信。
尤其是伪装成官方的,识别官方网站有一个最简单的办法,官方网站后缀是gov。
如:真实的市场监管。网址是带gov后缀的,实在不会分辨,可以将网址放到某度上直接查询,右边是会显示官方的。
保护好自己的隐私,擦亮自己的眼睛。
网上诈骗很难追回。遇到这些请三思。也可以去官网看看是否真的有这种通告等消息。
