盜信用卡網站x1

megakotaro

hxxp://pre.asocs.info/wp-maill.php
輸入後會跳轉到：hxxps://hello.balderas.de/home/Twa/internet/Group/3c7a1/SSLAuthUI.html

這幾個月在台灣地區相當流行的詐騙網站，主要從垃圾郵件來，假冒中華郵政包裹收費，不只盜信用卡號，還有做信用卡一次性密碼的網頁要你輸入
台灣地區這幾個月網銀盜號也猖獗，許多民眾收到詐騙簡訊輸入帳密，錢就被轉光了


以下是這兩個網站的分析，Anyrun認為沒有任何威脅；crowdstrike只將有跳轉網頁的那個報可疑

http://pre.asocs.info/wp-maill.php - Interactive analysis - ANY.RUN
Free Automated Malware Analysis Service - powered by Falcon Sandbox (hybrid-analysis.com)

https://hello.balderas.de/home/Twa/internet/Group/3c7a1/SSLAuthUI.html - Interactive analysis - ANY.RUN
Free Automated Malware Analysis Service - powered by Falcon Sandbox (hybrid-analysis.com)

秋日之殇

卡巴miss，已上报
楼主有没有更详细的信息证明这是个钓鱼网站（或者有问题的网站）@megakotaro

諾言敵不過時間

趨勢

2221000789

syr000

趋势

megakotaro

秋日之殇 发表于 2021-3-2 16:02
卡巴miss，已上报
楼主有没有更详细的信息证明这是个钓鱼网站（或者有问题的网站）@megakotaro[/backcolor ...

同樣的釣魚網站，不同的釣魚地址。但網頁原始碼沒有變，可參考：竊取信用卡網站x1_网络安全（毒网分析）_病毒样本 分享&分析区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

正常的中華郵政網站：hxxps://www.post.gov.tw/post/internet/index.jsp

可以看到憑證欄位是由臺灣網路認證股份有限公司（TWCA）所核發
hxxps://www.twca.com.tw/Portal/Portal.aspx




用IP Tracker查詢IP可以證明來自中國台灣


點擊hxxps://thailandposth.info/tw2021網站後，網站會跳轉生成一個新的詐騙頁面
hxxps://post.gov.tw.thailandposth.info/post/internet/Group/XXXXX/SSLAuthUI.html
其中XXXXX亂數生成，我剛剛重新點擊後原貼的連結已經失效了，換成下列網址
hxxps://post.gov.tw.thailandposth.info/post/internet/Group/21361/SSLAuthUI.html

可以看到網域憑證，以及認證單位和真正的中華郵政不一樣，憑證由美國發的



用IP Tracker查詢IP來自美國


在頁面隨意輸入信用卡卡號和檢查碼後，會跳轉到接收刷卡驗證碼的頁面


隨便輸入就會出現錯誤，但其實驗證碼和信用卡卡號都已經被竊走


網頁代碼顯示會檢查輸入的數字和長度
<input type="tel" class="form-control pan-col-all" required="required" id="pan_num" name="Ecom_Payment_Card_Number" pattern="[0-9]{16}" placeholder="xxxx xxxx xxxx xxxx" maxlength="20">


以上說明應該很清楚了
可以請分析師輸入自己的信用卡看看會不會被盜刷

更新：我分析到新帖子的域名了

真正的中華郵政網站基本不變，憑證也一樣，我這裡增加分析這個舊貼的釣魚網站給你參考
在這裡釣魚的網站憑證頒發者是R3
且憑證只買三個月，騙完這一波就收工