重要提醒:最近新型钓鱼短信,有车一族一定要看看
2020-07-06
“您有新的消息,请注意查收。”打开一看,心里不禁一阵颤抖。
什么?我的ETC异常了,赶紧进去确认一下,以免ETC设备系统故障导致上高速出现麻烦情况。
一般情况下,人们都会填写好信息进行提交。作为从事多年安全攻防的我发现了有点不对劲的地方:“需要输入银行卡卡号和密码”!基于零信任的情况下,针对网站先分析一下,看看有什么猫腻。
果然不出所料,是一个钓鱼网站,攻击针对的目标群体为移动终端用户。
移动终端用户点击会进入到钓鱼网站内部,要求填写个人敏感信息,而如果是使用PC进行访问,则会跳转到ETC速通卡的官方网站(https://www.bjetc.cn/)。
作为钓鱼网站,应该有管理员的访问入口,以便查看被钓鱼到的敏感信息以及对异常的访问进行管控。
基于经验输入地址为 https://ericken.com/admin果然重定向到了管理页面(https://ericken.com/admin/login.asp):
通过对网站进行分析,发现了102条的敏感信息,涉及银行卡卡号、银行卡密码、姓名、身份证号、手机号、信用卡安全码以及用户访问IP等敏感信息。
从网站功能结构分析看,钓鱼者还是有一定的防范意识的,其中有一个页面可以针对异常访问的IP地址设定禁止策略,避免自己的网站数据被脱库或者网站被跟踪。
针对易受攻击人群分析发现80年代占比最高,达到39%。
其次分别是70年代(28%)和90年代(23%)。
本次钓鱼事件攻击流程如下:
针对域名进行IP地址解析(目前该网站已经无法访问):
% nslookup ericken.com
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: ericken.com
Address: 104.31.83.113
Name: ericken.com
Address: 172.67.145.215
Name: ericken.comAddress: 104.31.82.113
发现3个IP地址并对IP进行定位:
针对钓鱼事件就分析到这里了,下面说一下怎样防范这一类的钓鱼攻击以供参考:
1. 核实短消息发送者的号码,可以通过百度等网站进行查询,如果发现“+”或者“00”开头的短信,很大程度上都是钓鱼短信。
2. 短信中如果有需要点击的链接地址,则可判定为广告推送或者钓鱼网站。
3. 打开链接,所有要求填入如下组合信息的基本上都是钓鱼攻击了(不局限于一种,有可能是多种组合)。
● 银行卡卡号+银行卡密码
● 信用卡卡号+CVV2安全码(这种情况用于签单消费)
● 姓名+身份证号码+手机号码(个人信息更改使用)
● 身份证照片+银行卡照片+个人照片
4. 同一个地址,移动终端和PC端打开的内容不同(这种情况攻击主要针对移动终端用户,如果攻击目标不分用户群体,则使用移动终端和PC端打开后内容相同,均需要用户填写个人隐私信息)。
未知短信藏隐患,打开链接需谨慎,个人信息要保密,安全从生活开始,一刻也不能放松警惕。