安全马克

安全马克 - 记录一下所走过的安全之路。
蜀道之难,难于上青天,侧身西望长咨嗟!

办完信用卡竟然被诈骗了数万元?揪出幕后黑手!

办完信用卡竟然被诈骗了数万元?揪出幕后黑手!

起因是笔者的同学打电话给我,告诉我他一个战友被骗了2w了,大概过程是头一天有工商银行的去他们单位组织办信用卡,第二天他战友收到了一条信用卡提额的诈骗短信,钓鱼网站竟然也打着工商银行的旗号,这也太巧了?

打开短链接指向 http://m.lcdbcit.cc
打开一看就是一个钓鱼网站,有俩个入口,一个是申请信用卡,一个是信用卡提额

点击了信用卡提额后,发现需要填写持卡人信息后和信用卡的cvv和有效期,骗子一旦掌握了这些信息后就可以直接去盗刷你的卡了。

先尝试了xss,但是无果,后来分析发现这个域名指向的ip是
154.48.228.254 一台美国的服务器,只开放了web和3389

查询了lcdbcit.cc的whois信息发现是在阿里云注册的,但是开了隐私保护,只得到了注册地是广西,呵 诈骗根据地。

通过分析发现154的ip上还绑定了另外几个域名

c10166.com
c11568.com
c61855.com

查询这个whois有所发现

Registry Registrant ID: Not Available From Registry 
Registrant Name: gueijuan xu 
Registrant Organization: 
Registrant Street: 197hao,kanlecuen,wujianqu 
Registrant City: shaoguanshi 
Registrant State/Province: Guangdong 
Registrant Postal Code: 512026 
Registrant Country: CN 
Registrant Phone: +86.07518700707 
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: Bodfeo@hotmail.com 

通过对这个email进行查询,发现其名下注册的域名有几万个,内容很杂,方向也都不一样,判断可能是一个域名贩子

图为随机扫描了一些他注册的域名,查看域名所绑定的ip和开启的服务

但是仔细一想,如果只是一个域名贩子,那么不可能三个域名都指向诈骗者的服务器,如果诈骗者买域名,也不会碰巧都在同一个人那里买,而且这个邮箱下所注册的域名,不是赌博就是诈骗,抱着这样的疑问笔者猜测,这个邮箱的主人要么就是诈骗团伙的一员,要么就是和诈骗团伙有合作。

通过后续的信息收集发现facebook上有一则文章,大概是说有人在香港的网站上打广告号称有海关滞留的低价劳力士,移动硬盘等信息,然后大量的人中招,看来香港同胞也难逃“小便宜”的诱惑,然后广告所指向的域名刚好也是这个邮箱注册的,只不过hotmail变成了163,注册者的名字也是一样的,到这里笔者越发能确定邮箱的主人绝对不干净。


谷歌也布满了该邮箱所注册的域名架设各种诈骗网站的曝光贴,从理财到手机,手表,u盘,甚至还有cpu,针对各路人群,不怕没人上钩


最后发现是一家代注册godaddy域名的公司

通过他们业务所留的qq,笔者决定试试能不能从他们手里要到域名所有者的信息

等了半个小时后终于给我了另一个qq号,让我明天加他
qq 102930516

结果这个技术态度很屌,表示只愿意和警察联系

本来想吓吓他,看看是不是帮凶,结果油盐不进,估计和骗子还是有所认识的,毕竟便宜在他手里至少买了成百上千个域名了,油盐不进。


君子坦荡荡的都说出来了。。互相试探。

预知后事如何,且听下回分解。

未经允许不得转载:安全马克 » 办完信用卡竟然被诈骗了数万元?揪出幕后黑手!

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址