收到“网络诈骗短信”怎么办?盘它!

玄蜂安全实验室的宅男小伙收到了网络诈骗短信,一顿骚操作,拿下诈骗站点的服务器权限,发现是一种新型诈骗,不到一个月受骗人数已经达到了17302个,虽然我们不专注在网络犯罪打击,但是遇到了也决不手软。截止发稿,联系了工商银行,但是工商家大业大,对此事不予理睬。惊呆了老铁!!!该事件已上报至警方处理。

短信内容如下:(主要短信丢失了)

点击短信中的链接后发现跳转到一个APP下载处:

发现该APP模仿的事工商银行,下载好APP进行安装,发现图标为工商银行,名称为纯净版。

打开APP,发现需要登录或注册,经过测试,发现对注册没有任何限制,随便输入一个手机号进行注册登录:

通过对APP进行抓包,发现其服务器域名地址,于是尝试在其后面添加admin,发现其成功跳转到了后台登录页面:

尝试弱口令,发现限制了后台访问地址:

但从抓包信息中识别出了其使用的是thinkadmin部署的,于是使用了一波Thinkadmin历史漏洞,没有一个成功,最后在上传身份证处发现存在任意文件上传,立即上传Webshell:

成功拿下目标服务器(www)权限,存在较严的disable_functions,于是从数据库下手,翻找服务器web目录文件,寻找到了数据库连接密码,立即上传adminer进行连接:

翻找数据库信息:

发现其中之运行三个IP地址登录后台,通过查询地址IP位置,发现其位于缅甸:

由于在数据库日志中发现其管理员在不定时登录,为了不让管理员发觉,于是尝试破解管理员的密文密码,奈何没有解出来,于是想着创建一个新账号,并添加上我们的IP地址,成功登录后台:

经过对整个诈骗进行流程分析

1、模拟工商发送贷款短信,让用户下载其恶意APP,并需要受害者上传身份证与个人手写签名进行贷款;(如下图)

2、然后会说贷款发放失败:(如下图)

3、最后伪造银监会下发的贷款账户认证及解冻贷款账户说明,需要受害者提交20%的贷款保障金才行,以此达到骗取受害者资金,就算这时受害者意识到被骗,其个人敏感信息也被获取,诈骗人员可利用其信息前往一些非正规贷款地方进行贷款或从事恶意行为。(如下图)

温馨提示:

大家应注重防骗意识,不要轻信第三方短信,不下载不明网站的应用(注意访问网站的域名地址),下载应用应到正规网站进行下载,不轻易将个人敏感信息(如身份证、手机号等)随意在第三方网站进行填写。

正确的识别目标网站的域名地址:(如下面百度的域名地址)

或前往国家备案查询网站进行查询:https://beian.miit.gov.cn/#/Integrated/recordQuery

如需技术交流,可与团队联系:Lab@Xsec.Team(仅供技术研究使用)。