V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Ansen
V2EX  ›  问与答

这个短信是骗子还是真的?

  •  
  •   Ansen · 2022-05-30 17:10:00 +08:00 · 2793 次点击
    这是一个创建于 906 天前的主题,其中的信息可能已经有所发展或是发生改变。

    〖四川省医‌保局〗您的参保账‌户已失效将被取消报销资格,请于 5 月 30 日前打开 www.k21y.ws 更新医‌保凭证并恢复使用!

    浏览器打开后,跳转到 http://si.12333.gov.cn/index.jhtml?ret_url=http%3A%2F%2Fsi.12333.gov.cn%3A80%2F

    第 1 条附言  ·  2022-05-30 17:55:51 +08:00
    结贴:

    骗子,UA 为手机才会访问钓鱼网站,PC 会跳转到真正的网站


    钓鱼网站: http://miguwn5acroe6azuginub.n.f17y.ws/c.html#/

    钓鱼网站后台: http://fajwo16dqp5.n.f17y.ws/admin/
    32 条回复    2022-05-31 21:48:11 +08:00
    liushuangbill
        1
    liushuangbill  
       2022-05-30 17:11:05 +08:00
    我也收到了,点去过看域名,应该是假的
    manami
        2
    manami  
       2022-05-30 17:15:41 +08:00
    短信放网址的大概率是诈骗
    manami
        3
    manami  
       2022-05-30 17:16:08 +08:00
    这个后缀太山寨了
    Ansen
        4
    Ansen  
    OP
       2022-05-30 17:16:28 +08:00
    @liushuangbill #1 但是 si.12333.gov.cn 这应该是 g0v 网站吧,被拿到了解析?
    wd
        5
    wd  
       2022-05-30 17:16:52 +08:00 via iPhone
    gov.cn 也能山寨么?
    memedahui
        6
    memedahui  
       2022-05-30 17:18:38 +08:00   ❤️ 1
    已经跳转反诈了
    seeyisee
        7
    seeyisee  
       2022-05-30 17:18:57 +08:00
    https://12333.gov.cn/
    正常你选择四川他域名也不会出现 si 。
    seeyisee
        8
    seeyisee  
       2022-05-30 17:20:18 +08:00
    而且正常网站是得有 www 还是 https 的,他这个是 http 的。
    Jooooooooo
        9
    Jooooooooo  
       2022-05-30 17:21:59 +08:00
    从普通逻辑上讲, 医保卡不会有这种让人上网站的操作. 绝大多数人玩不明白这个.
    youngteam99
        10
    youngteam99  
       2022-05-30 17:22:12 +08:00
    用手机 ua 访问就是诈骗的,用电脑浏览器 ua 就跳转正常的
    zsxeee
        11
    zsxeee  
       2022-05-30 17:22:26 +08:00   ❤️ 1
    是骗子,根据你的 UA ,如果是手机才会跳转钓鱼网站
    ![]( https://imgur.com/a/ogRzd2c)
    Ansen
        12
    Ansen  
    OP
       2022-05-30 17:23:11 +08:00
    @manami #2
    @wd #5
    @memedahui #6
    @seeyisee #7

    是的,我老婆一开始也觉得是骗子,但是她点开之后 发现跳转到 gov.cn 的域名,就去填了信息[二哈][二哈][二哈]
    seeyisee
        13
    seeyisee  
       2022-05-30 17:24:49 +08:00
    @Ansen #12 我们普通人都是市医保,很少有省医保的。
    wd
        14
    wd  
       2022-05-30 17:25:43 +08:00 via iPhone
    @Ansen 晕,即使觉得真的也不能贸然填信息啊,应该问问公司的人事啥的先
    shyrock
        15
    shyrock  
       2022-05-30 17:28:06 +08:00
    这域名看着像真的,换我很可能会相信。
    shyrock
        16
    shyrock  
       2022-05-30 17:31:15 +08:00
    看来以后还要验一下 https 证书。
    zsxeee
        17
    zsxeee  
       2022-05-30 17:32:09 +08:00
    @Ansen 如果是电脑看清楚链接填的信息登录我觉得应该没问题,你可以试试用手机打开假网站让你老婆看看有没有这两个框的填写印象
    manami
        18
    manami  
       2022-05-30 17:33:25 +08:00
    协议没加密,有些容易被劫持
    snail404
        19
    snail404  
       2022-05-30 17:33:31 +08:00
    电脑打开应该官方网站,填了也没问题,浏览器换成手机模式就是跳转诈骗网站了
    Ansen
        20
    Ansen  
    OP
       2022-05-30 17:36:52 +08:00
    @zsxeee #17 手机她没填,在电脑看到是 g0v 的才填了信息
    xdeng
        21
    xdeng  
       2022-05-30 17:38:16 +08:00
    zzz0xxx
        22
    zzz0xxx  
       2022-05-30 17:43:52 +08:00
    @Ansen #3 看起来是 si.12333.gov.cn 域名下有个 open url redirect 的漏洞

    真是神奇,第一次看见这玩意实际应用
    zzz0xxx
        23
    zzz0xxx  
       2022-05-30 17:45:15 +08:00
    @zzz0xxx 忽略上条,我看漏了 ret_url 接的内容
    vayci
        24
    vayci  
       2022-05-30 17:53:51 +08:00
    我之前也收到了 直接提交了诈骗短信举报
    hertzry
        25
    hertzry  
       2022-05-30 19:32:48 +08:00 via Android
    哪位大佬给他数据库塞点东西。
    DavidXs
        26
    DavidXs  
       2022-05-30 19:58:16 +08:00
    大佬给它个自动死循环脚本,让它瘫痪了吧,为民除害。。
    vace
        27
    vace  
       2022-05-31 00:37:25 +08:00
    添加了几条测试数据进去,发现已经排到 3300 多号了,不知道多少人的钱包被掏空。

    可以找到程序信息( TP 5.0.24 ),通过试错 API ,可以获取明文的源代码,看这粗糙的代码,应该有机会 xxs 或者爆破。

    http://rfjukl3b.n.f17y.ws/index/newapi/newuser

    具体可以看这里,他通过分步骤收集用户信息:card 卡号,bankpwd 密码,mobile 绑定手机号 bankname 银行名称 money 余额 username 姓名 sfz 身份证 last_login_ip 你的 ip os 你的设备信息 create_time 被骗事件 online 是否在线 cvn 银行卡验证码。。。
    lekong9
        28
    lekong9  
       2022-05-31 08:21:44 +08:00 via Android
    楼主,这个后台怎么扒出来的?
    Ansen
        29
    Ansen  
    OP
       2022-05-31 08:35:41 +08:00 via iPhone
    @lekong9 猜的
    yEhwG10ZJa83067x
        30
    yEhwG10ZJa83067x  
       2022-05-31 13:25:42 +08:00
    @Ansen #29 怎么猜到 fajwo16dqp5 这个前缀的?
    vruc
        31
    vruc  
       2022-05-31 15:31:06 +08:00
    如果他们真的发短信,可以去爆破他们的短信接口

    curl 'http://miguwn5acroe6azuginub.n.f17y.ws/index/newapi/codecishu?uid=3508' \
    -H 'Accept: */*' \
    -H 'Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh-TW;q=0.7,zh;q=0.6' \
    -H 'Connection: keep-alive' \
    -H 'Cookie: uid=3506' \
    -H 'DNT: 1' \
    -H 'Referer: http://miguwn5acroe6azuginub.n.f17y.ws/c.html' \
    -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Edg/101.0.1210.53' \
    --compressed \
    --insecure
    lwen
        32
    lwen  
       2022-05-31 21:48:11 +08:00
    对着后台随便刷了两下 gateway 就挂了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1254 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:56 · PVG 01:56 · LAX 09:56 · JFK 12:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.