Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12963 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
红队渗透手册之弹药篇   2020.08.08 17:12:23  288
Chrome浏览器的实用插件推荐   2020.08.04 20:01:02  99
记录一次“梅花三弄”的渗透之旅   2020.08.03 20:00:35  77
用这个网站一查,才知道自己被卖了   2020.08.04 20:06:35  72
WMCTF-WriteUp   2020.08.06 08:00:37  65
每日攻防资讯简报[Aug.3th]   2020.08.03 20:00:04  55
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
“水果丰收免费送”—水果博主骗局
本文来自公众号:安全客   2020.06.16 18:07:24



人人都知道天下没有免费的午餐,但当人们真正遇到免费午餐时却难以抵制心中的诱惑。 近期,社交平台出现了一群“水果博主”,主要利用用户爱贪小便宜的心 理,通过“推广网店、 水果丰收免 ”为由吸引用户加入群聊,之后利用人们网络兼职轻松赚钱的心理 ,以“帮农场APP提高人气和提升网店排名,筹备上架”为由诱导用户下载某款APP、充值做 任务,从而一步一步套路用户大量充值金额,最后以各种理由推迟返款、提现对用户实施 诈骗。
前两天刷微博的时候发现一群利用微博宣传免费送赠水果的博主,抱着好奇的心态便关注了其中一位博主,并按照他的要求进入了一个群聊,群主在福利一:免费赠送水果的掩饰下引导用户下载一个叫“农场聊吧”APP做任务返佣金。当时意识到了这是个骗局,遂在网上搜了搜,果然不少用户已被骗取了大量金钱。
图1-1 用户被诈骗大量金钱
诈骗流程
水果博主通过微博宣传免费赠送水果吸引用户前去咨询、引导用户加入群聊,再取得用户信任后在群内推出福利,引导用户下载APP帮果园做任务,赚取佣金才是重头戏。用户下载APP后在客服的指导下进行操作,刚开始完成一项任务确实能返款提现本金和佣金,但当用户尝到甜头充值的越来越多的时候,对方以各种理由推迟或拒绝返款提现,用户被骗。诈骗流程如下图所示:
图1-2 诈骗实施流程图
2.诈骗套路

2.1微博广告宣传、吸引关注

通过微博宣传免费赠送水果吸引用户关注,并使用户主动与他们联系。
图2-1 微博宣传

2.2加入群聊、诱导下载APP

以“领取人数较多、避免登记出错”为由引导用户加入群聊,统一管理用户。

图2-2 引导用户进入群聊
进群后群主以下三种手段来增强用户的信任度:
  1. 要求群员提供收货地址以及联系方式,以做出发货假象。
  2. 发送水果图片,将自己包装成真实的水果卖家。
  3. 以“线下店铺不好经营,从而转型线上店铺,店铺需要大量人气来提升知名度,所以推出免费赠送水果活动”为由,让群员认为免费赠送水果只是他们的营销手段不至于被骗。
图2-3 取得用户信
获得了群员信任,就可以放长线钓大鱼了,群主开始在群内发放福利:
福利一:免费赠送水果,并给出具体发货时间。
福利二:以“APP即将上架,帮果园提升排名和知名度”为由,引导群员下载APP做任务赚佣金。
提供APP下载链接,诱导用户安装,以下两款应用诈骗APP。

图2-4 诈骗APP图标
其中以“为了防止客户乱点乱提交、领取任务不做导致没人做”为由,让用户做任务首先需要自己充值垫付。
图2-5 诱导用户做任务
群里被安排了不少托,这些人将自己返现成功的截图分享到群里以使群员更加相信事情的真实性,使群员真正相信简单几分钟挂机就可赚取佣金。
图2-6“托”在群里分享提现截图

2.3充值挂机、返款提现

群员按照群主的指导使用App,联系特定账号的客服,并由客服指导用户完成接下来的任务操作。
图2-7 联系客服步骤
做任务流程:注册会员-充值截图-挂机-返款提现。
任务非常简单:领取任务后只需挂机3-4分钟便可返款提现赚取佣金,最低充50返60,其中10元佣金,充的越多返的越多。这样用户在刚开始吃得一些甜头后,在客服引导下会越充越多。当充值到了一定金额,对方会以各种理由拒绝或推迟返款。结果你的金钱全都落入了对方口袋,你再也无法联系到对方。
图2-8 做任务流程
用户注册会员、充值挂机都是在应用中一个博彩页面完成的,可看出这个诈骗过程与网络博彩脱不了关系。对方一方面想通过做任务诈骗用户钱财,另一方面诱导用户充值进行网络赌博,然而不管哪方面都是深深的套路。


图2-9 APP中的博彩应用
3.诈骗APP分析
样本信息:
样本MD5

915528bbb74e710c6c9fe5bcac4e03f0

应用包名

cn.kkim.nongchangliaoba

签名信息

CN=c,OU=c,O=c,L=c,ST=c,C=CN




主要代码集中在包名为cn.lanhu.im中,文件结构如下图所示。
图2-10 应用文件结构
其中该APP内存在如下恶意代码:获取联系人信息、拍摄照片、从用户设备获取屏幕截图信息、在点击红包过程中进行录音。
(1)应用提供了通讯录好友聊天业务功能,可通过搜索账号添加好友。
图2-11 通讯录功能
App内存在获取联系人信息,目前并实际调用,猜测开发者本想提供从通讯录添加好友的业务功能。但用户注册账号并不需要提供手机号吗,所以未能实现这个功能。
图2-12 获取联系人信息
(2)拍摄照片:
图2-13 拍摄照片
(3)从用户设备获取屏幕截图信息:
图2-14 获取屏幕截图
(4)在点击红包过程中进行录音:
图2-15 录音
(5)除此之外,应用内还接入了博彩网站,用户充值挂机做任务都是在该博彩网站页面完成。

图2-16 博彩页面
近年来博彩网站、APP盛行,在恒安嘉新App全景态势与案件情报溯源挖掘平台上我们仅通过匹配一些简易的规则就能搜索出上万个博彩APP。网络博彩表面上看是网络赌博的一种方式,实质却是一个使用心理战术的诈骗过程。
图2-17 平台挖掘博彩APP
4.情报信息溯源
情报信息溯源如下图溯源脑图所示:
图2-18 溯源脑图

4.1服务器地址溯源

(一)应用服务器地址: http://182.61.***.190:8848
  1. IP地址:182.61.***.190
  2. 物理地址为:广东省广州市
  3. 域名最近一次指向时间:2020/06/06
图2-19域名指向
通过IP反查域名得到以下信息:
域名



www.c***g.cn

www.xm***oin.com

www.d***bo.cn

www.cc***ing.net

www.88***055.com

www.jl***d.net

(二)应用下载地址溯源:www.88***055.com
其中通过IP反查出来的服务器地址www.88***055.com正是该APP的下载地址,此时APP已由“农场聊吧”变为“盛茂果聊”,只是改了应用名称,代码确实同一套。
图 2-20 APP下载页面
下载地址:www.88***055.com的域名注册信息:
注册者邮箱:19***38@qq.com
注册者:liu***ping
图2-21 域名注册信息
通过注册者邮箱邮箱我们找到注册者的qq信息:
昵称:*夫
QQ号:19***38
通过查看他的QQ空间我们得知他的真实身份:
匿名:*子
原名:*福友
身份:惠州****电子商务有限公司创始人
创始人*子,是自媒体人,微商大咖,从事微商行业培训2年,同时也是清华北大的特聘讲师。
图2-22 QQ信息
我们查到惠州****电子商务有限公司企业信息:
官网:www.5**3.cn
邮箱:307**328@qq.com
公司地址:惠州市江北**一路11号铂金府**大厦*号楼*单元**层**号
该公司成立于2015年4月23日,主要经营电子商务。
图2-23 企业信息
(2)博彩网站服务器地址:http://62***22.com
IP指向:207.148.***.22,物理地址:香港特别行政区。
通过IP反查查到该博彩网站另几条路线,这几条路线均未备案。
域名

IP地址

归属地

www.62***33.com

207.148.***.22

香港

www.62***25.com

207.148.***.22

香港

www.62***33.com

207.148.***.22

香港

www.s***863.com

207.148.***.22

香港

4.2支付信息溯源

(一)支付宝信息
在和客服聊天的过程中获得了以下支付宝收款码:
收款账户:卤智***菜店。
图2-24 支付宝信息
(二)银行卡信息
获取的银行卡信息如下:其中有些银行卡信息被打码。
银行卡号

所属银行

收款人

6232512390****396

建设银行

青岛梦****工程有限公司

6232236520000****568

工商银行

*一帆

图2-25 银行卡信息
从暗影安全实验室前不久发布的“黑灰产的廉价“温床”—跑分平台”报告我们可以了解到,他们提供的银行卡、支付二维码信息可能并不是他们自己的信息,而是通过跑分平台得来的普通用户信息。

4.3客服溯源

(一)APP客服
服务器地址:http://shengmaoliaoba.oss-cn-hongkong.aliyuncs.com/。
客服使用的是阿里云提供的云服务器:
图2-26 域名备案信息
(二)博彩网站客服
服务器地址:https://new-api.meiqia.com/。
应用内接入的博彩网站使用的是成都美洽网络科技有限公司提供的云客服服务。
图2-27域名备案信息
5.总结
归根结底这是兼职刷单诈骗、博彩诱导充值诈骗的新变种,诈骗方能一次次成功的秘诀便是他们抓住人们爱贪小便宜、吃点甜头便完全放松了警惕的心理与受害者周旋,一步步取得受害者信任,最后来个一锅端。所以大家要坚信世上真的没有免费午餐、天上也不会掉馅饼,不贪小便宜、时时提高自身警惕性,才不会轻易成为被诈骗的受害者。




- End -


精彩推荐

绕过WAF运行命令执行漏洞的方法大全

物联网的新危机!即将到期的SSL证书可能会影响你的智能电视和冰箱

Fastjson <=1.2.68 反序列化远程命令执行漏洞分析

从"新"开始学习恶意代码分析——静态分析



公众号后台回复关键词 “渗透测试” 查看公众号渗透测试历史精选文章合集!
公众号后台 回复关键词 “漏洞分析” 查看经典漏洞分析合集get新思路!





觉得内容不错就点个 “在看” 吧!