freebuf
近期,各大电商平台大促之后,不少用户都会陆续收到商家发送的“确认收货”的短信,然而,360手机先赔收到用户反馈,因添加了陌生号码发来的短信中的微信,在领取所谓的“红包”过程中,被骗在赌bo平台充值,被骗几千元。如何辨别这些藏有“暗语”的风险短信?短信里引导添加的“微信号/公众号”,真的可以领到所谓的“红包”或“免费送xx”吗?其中套路卫士妹给您说一说~
案例经过
- 用户收到兼职短信内容显示“确认收货,可以送早餐机”,便添加了短信内的微信账号,骗子确认用户是通过短信添加后,邀请用户进微信群领礼品。
- 用户进群后,按照任务要求关注了公众号并回复截图,群主给用户发了50元红包佣金。随后,群主称述该礼品赞助商的应用需要下载量和注册量,用户下载应用可再获得18.8元奖励金。然而,实际上,用户下载的应用内嵌的是赌bo平台聊天软件。
- 下载应用后,用户在应用内添加了指定的奖励金结算员账号,在结算员的指引下,参与了新的佣金任务,在聊天软件内嵌的赌bo平台进行充值投注。前几次按照对方提供的计划投注,对方进行了返金;后期多次投注上千元后,对方未返金而得知受骗。
诈骗点分析
此类诈骗短信特征
- 短信发送者号码“0060”开头,为境外发送号码;
- 短信正文没有关于电商平台商家的名称;
- 以“免费送”我噱头,诱导用户添加微信;
诈骗流程梳理
涉诈应用分析
区别于以往利用子域名生成不同聊天软件的手法,本次聊天软件进行了明显的攻防升级,通过抓包获取的域名是API形式,而非子域名形式,直接访问会显示“请求方式错误”。通过对抓包数据的多次梳理后,发现几个频繁出现的网址,经过分析后发现如下特征:
当在应用界面注册时,对应的为api.xxx.com/kkrp/member/register,此时可以看到看到注册账号和密码;
当注册完登录时,对应的为api.xxx.com/kkrp/member/select_member_money,同时可以看到登录用户名、密码。
点击页面中的“发现”,通过界面来看,为聊天软件内嵌的赌bo平台。
通过对APP网络请求频繁出现的网址分析,推测诈骗团伙使用第三方IM-SDK、新加坡服务器制作了App server,服务器绑定至指定域名。当用户在应用登录时,首先与APP的服务器产生数据校验,再与第三方IM-SDK服务器产生数据校验
APP server应用服务器:客户自己的服务器,部署运行业务代码,由客户开发团队自行管理维护,用来对接第三方 IM 服务。
安全课堂
此类诈骗,骗子通过群发短信,以“免费送”礼品为幌子,诱导用户添加微信;以兼职做任务+得佣金的形式,让用户下载风险APP,不断的邀请用户做任务,引导用户在赌bo平台投注。可见这种在聊天软件内嵌诈骗平台的手法,或可成为更具迷惑性的诈骗形式。
转载请注明来自网盾网络安全培训,本文标题:《预警!聊天软件内嵌诈骗平台或成更诈骗新手法》
