查看: 2438|回复: 5
收起左侧

[已鉴定] 盜信用卡網站x1

[复制链接]
megakotaro
发表于 2021-3-2 14:58:42 | 显示全部楼层 |阅读模式
本帖最后由 megakotaro 于 2021-3-2 15:12 编辑

hxxp://pre.asocs.info/wp-maill.php
輸入後會跳轉到:hxxps://hello.balderas.de/home/Twa/internet/Group/3c7a1/SSLAuthUI.html

這幾個月在台灣地區相當流行的詐騙網站,主要從垃圾郵件來,假冒中華郵政包裹收費,不只盜信用卡號,還有做信用卡一次性密碼的網頁要你輸入
台灣地區這幾個月網銀盜號也猖獗,許多民眾收到詐騙簡訊輸入帳密,錢就被轉光了
Image 242.png

以下是這兩個網站的分析,Anyrun認為沒有任何威脅;crowdstrike只將有跳轉網頁的那個報可疑

http://pre.asocs.info/wp-maill.php - Interactive analysis - ANY.RUN
Free Automated Malware Analysis Service - powered by Falcon Sandbox (hybrid-analysis.com)

https://hello.balderas.de/home/Twa/internet/Group/3c7a1/SSLAuthUI.html - Interactive analysis - ANY.RUN
Free Automated Malware Analysis Service - powered by Falcon Sandbox (hybrid-analysis.com)


秋日之殇
发表于 2021-3-2 16:02:02 | 显示全部楼层
本帖最后由 秋日之殇 于 2021-3-2 19:33 编辑

卡巴miss,已上报
楼主有没有更详细的信息证明这是个钓鱼网站(或者有问题的网站)@megakotaro

諾言敵不過時間
发表于 2021-3-2 20:33:11 | 显示全部楼层
趨勢
1614688353647.jpg
2221000789
发表于 2021-3-2 20:38:43 | 显示全部楼层
捕获.PNG
syr000
发表于 2021-3-3 21:08:31 | 显示全部楼层
趋势

华硕路由

华硕路由
megakotaro
 楼主| 发表于 2021-3-6 15:09:52 | 显示全部楼层
本帖最后由 megakotaro 于 2021-3-6 16:36 编辑
秋日之殇 发表于 2021-3-2 16:02
卡巴miss,已上报
楼主有没有更详细的信息证明这是个钓鱼网站(或者有问题的网站)@megakotaro[/backcolor ...

同樣的釣魚網站,不同的釣魚地址。但網頁原始碼沒有變,可參考:竊取信用卡網站x1_网络安全(毒网分析)_病毒样本 分享&分析区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

正常的中華郵政網站:hxxps://www.post.gov.tw/post/internet/index.jsp

可以看到憑證欄位是由臺灣網路認證股份有限公司(TWCA)所核發
hxxps://www.twca.com.tw/Portal/Portal.aspx

Image 002.jpg
Image 003.jpg

用IP Tracker查詢IP可以證明來自中國台灣
Image 004.jpg

點擊hxxps://thailandposth.info/tw2021網站後,網站會跳轉生成一個新的詐騙頁面
hxxps://post.gov.tw.thailandposth.info/post/internet/Group/XXXXX/SSLAuthUI.html
其中XXXXX亂數生成,我剛剛重新點擊後原貼的連結已經失效了,換成下列網址
hxxps://post.gov.tw.thailandposth.info/post/internet/Group/21361/SSLAuthUI.html

可以看到網域憑證,以及認證單位和真正的中華郵政不一樣,憑證由美國發的
Image 005.jpg
Image 006.jpg

用IP Tracker查詢IP來自美國
Image 007.jpg

在頁面隨意輸入信用卡卡號和檢查碼後,會跳轉到接收刷卡驗證碼的頁面
Image 009.jpg

隨便輸入就會出現錯誤,但其實驗證碼和信用卡卡號都已經被竊走
Image 010.jpg

網頁代碼顯示會檢查輸入的數字和長度
<input type="tel" class="form-control pan-col-all" required="required" id="pan_num" name="Ecom_Payment_Card_Number" pattern="[0-9]{16}" placeholder="xxxx xxxx xxxx xxxx" maxlength="20">
Image 011.jpg

以上說明應該很清楚了
可以請分析師輸入自己的信用卡看看會不會被盜刷

更新:我分析到新帖子的域名了

真正的中華郵政網站基本不變,憑證也一樣,我這裡增加分析這個舊貼的釣魚網站給你參考
在這裡釣魚的網站憑證頒發者是R3
且憑證只買三個月,騙完這一波就收工

Image 014.jpg

Image 015.jpg

Image 016.jpg

评分

参与人数 1人气 +3 收起 理由
秋日之殇 + 3 感谢解答: ) 补上!

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-16 16:49 , Processed in 0.135530 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表