记一次反诈骗

2016-09-10 21:00 家父收到陌生号码的短信,大致内容如下:

X(姓氏)家长,你好,为了不使家长错过学校的通知,请及时下载校园网 http://IP/path 逾期自负。

由于该短信破绽百出,家父没有第一时间下载,与我取得联系。

疑点

  1. 已外出实习,并不在学校。
  2. 学校从未使用过之类方式联系家长。
  3. 直接一个 IP,能不能走点心。
  4. 打开后连个页面都没有,直接下载了一个 apk。
  5. 站点是 IIS,目录直接显示出来了

请求的 URL http://103.255.61.169:80/
物理路径 d:\freehost\kankan123\web

应对

第一反应是骗子,妥妥的。然后刚好无聊,准备搞搞他。

查了一下 IP

  • IP:103.255.61.169
  • 本站数据:香港特别行政区
  • 参考数据1:香港
  • 参考数据2:APNIC

将计就计,下载他准备的 apk,并且反编译。

一般来说,这种情况是木马居多。主要针对用户的电话本和短信记录动手。
所以所有数据一定会有一种方式回传到 源头。

而最简单并且可靠的方式就是 —— 邮件!

果然,找到了我想要的东西。

一个静态类里,记录了一个189的邮箱和密码。
不过虽然是一个189邮箱,户主用个却是一个 湖南长沙 的移动号码。姓陈。
邮箱里躺着近600封邮件。

危害

先上图

想想看,对方知道了你所有的联系人和短信,最简单的,刷爆你银行卡/支付宝什么的。
再高级点,通过短信分析下谁和你比较熟,骗点钱啥的,嗯哼?

而且,查看其源码,发现还通过宿主机器的通讯录进行再传播。已具备了一定的扩散能力。

最后

技术本没有对错,善与恶都在用的人一念之间。

望大家都能 不忘初心

hxsf

继续阅读此作者的更多文章