隨著二手交易市場的興起,越來越多的人通過二手平臺轉賣閒置物品,而這也讓黑灰產人員嗅到「商機」。一方面利用仿冒的二手交易平臺釣魚網站以低價商品吸引「魚兒」上鉤,一方面販賣含後門的釣魚網站源碼,套取他人「詐騙「果實。
近期收錄到一款仿冒二手電商平臺的釣魚網站源碼進行詐騙的案件,復現過程發現了釣魚網站的原理(盜取個人身份信息的同時騙取資金),同時還發現其源碼存在「黑吃黑「的現象。
詐騙流程還原
通過釣魚網站管理後臺的「商品採集「功能,抓取指定的電商平臺商品信息,生成釣魚網站商品頁面。
將商品的釣魚連結發給受害人,用戶訪問後會跳轉至假冒的二手平臺帳號登錄頁面。
點擊「登錄「後,跳轉至微信登錄界面,登錄微信後跳轉至訂單支付頁面。
釣魚網站後臺的管理功能
通過對釣魚網站的管理後臺功能分析發現,生成仿冒商品的釣魚頁面非常簡單,只需輸入需採集的商品連結,抓取指定連結內的商品內容進行配置。更嚴重的是,後臺有收集記錄手機用戶在釣魚網站填寫的收貨人等信息。
網站源碼藏「暗箭」,植入木馬「黑吃黑」
在對網站源碼分析的過程中發現,該釣魚網站存在webshell,可以看出源碼供應商存在「黑吃黑「的行為。webshell是以asp、php、jsp等網頁文件形式存在的一種代碼執行環境。黑客在入侵一個網站後,通常會將asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起。然後就可以使用瀏覽器來訪問asp或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。
可以簡單理解為:
入侵者通過入侵的方式,將大馬(木馬)寫入到網站內,木馬可以理解為網站的另一個隱藏的管理後臺,此時入侵者訪問該木馬文件的網址,登錄後就可實現對網站的基礎控制,如:查看伺服器文件列表、文件、伺服器版本的功能等。進一步,通過提權實現對整個電腦的控制權。
木馬文件的後臺功能
通過該大馬文件的源碼,發現其登錄密碼,登錄頁面後看到了其全貌的內容。其主要包含本地硬碟、信息操作、提權工具、批量操作四個板塊。
l本地硬碟
查看伺服器C、D等硬碟的文件列表、文件名
l信息操作
上傳文件至伺服器中、查看伺服器版本信息
l提權工具
部分Webshell網馬僅有查看伺服器文件列表、文件、伺服器版本的功能,想要獲得伺服器的控制權限需要進行提升權限的操作。獲取伺服器的控制權後,伺服器就變成了「肉雞」,可以用來進行刷流量、挖礦等黑灰產行為。
l批量操作
指的是批量掛馬清馬、批量替換內容等操作。即在網頁內批次上傳網馬(利用漏洞製作的網頁木馬),當受訪者訪問含有網馬文件的網站頁面時。若電腦存在對應的網馬漏洞或未安裝殺毒軟體,木馬文件會在電腦中執行。
目前,發現此類源碼在網絡仍有出售,同時隨著免籤支付、四方支付的興起,此類詐騙源碼還提供了支付功能,又進一步降低此類詐騙的進入門檻。
避免損失遠比賺錢容易,隨手轉發,幫助他人遠離詐騙!
(來源:網絡偵查研究院)
—END—