集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

警惕!有人打着“预约新冠疫苗”幌子电信诈骗

2021-01-09

在全网关注新冠疫苗怎么打的当下,网络犯罪分子再次“趁机搅局”。近日,360互联网安全中心接到用户反馈,称收到仿冒新冠疫苗预约接种的诈骗短信。随即,360安全大脑第一时间做出响应,并对此次假冒新冠疫苗接种的诈骗短信进行技术分析,再现网络犯罪分子诡诈行动。

360安全大脑复现“接种新冠疫苗”短信诈骗全过程:

第一步:骗子假冒疾控中心向普通民众发送短信,假称新冠疫苗政策开放预约,并强调名额有限迷惑目标;

第二步:诱导目标点击信息中伪造的中国疾病预防控制中心网站链接,进行相关注册,并要求提供身份证、银行卡、信用卡预留手机号码、短信验证码等个人信息;

第三步:获得个人信息后,实施转账、盗刷等操作。

需要注意的是,伪造的中国疾病预防控制中心的网站与官网十分相似,再加上人们目前有迫切的新冠疫苗接种需求,导致受影响人群不在少数。


undefined

undefined

假冒疾管中心发送的短信

 

根据360安全大脑分析发现,页面中用于套取个人信息的js进行了混淆,对其解码后可以看到,操作上会通过UserAgent判断访问设备类型,以展示不同页面:


undefined


要求受害者填写银行卡和预留手机、余额等信息:


undefined


诱导受害者提供收到的6位数短信验证码:

 undefined

 

骗取受害人输入银行卡密码部分:

undefined


骗取信用卡卡号、CNV码、有效期等信息:一般的信用卡有了这些信息,则可以直接进行支付。

undefined

 

通过不断提示受害者审核未通过,从而让受害者银行卡余额保持在5000、10000、15000元,以便于进行非法转账操作。

 undefined

 

值得注意的是,360网络安全研究院(360netlab)的DNSMon系统利用对海量的DNS请求数据进行准实时的多维度关联分析,能够及时发现在大网范围内的恶意行为,钓鱼域名也不例外。事实上,除了公开报道的gtlcz.cc之外,DNSMon系统还发现1月8日下午,另外两个carbuq.cc和gtxaq.cc也在仿冒中国疾病预防控制中心网站钓鱼。

undefined


在360netlab开发的图系统中,对上述域名使用的IP地址和数字证书进行关联查询,我们发现了大量已经注册,但还未上线或者已经使用并且快速下线的废弃域名,他们和这次事件中出现的钓鱼域名在网络基础设施方面有非常紧密的关联。如下图:

 undefined


对这些新发现的域名在DNSMon中进行确认,发现他们是在针对某个财会系统进行钓鱼。如下:


undefined


可见这个钓鱼幕后的黑客是一个非常老道,并且专门干钓鱼欺诈的黑产团队。

对于疫情防控出现反复的当下,借势新冠疫苗进行网络诈骗实在可恶至极。在360安全大脑的强势赋能下,360手机卫士、360安全浏览器等系列产品,可快速识别并拦截各类假冒网站,避免广大用户落入网络犯罪分子的骗局。同时,针对各类诡诈多变的网络安全威胁,360安全大脑给出如下安全建议:


1、请安装使用360安全浏览器,能够识别危险链接、拦截钓鱼网站,保护企业及个人的数据和财产安全;

2、切勿轻信此类利用新冠疫情进行诈骗的短信,对于安全软件拦截的网站不要继续访问;

3、任何情况下都不要将手机验证码告知他人,银行工作人员和客服人员均无权索要持卡人密码、余额、交易验证码等信息,切记:凡是以各种理由索要验证码的,都是诈骗!

4、若不慎遭遇网络诈骗,应保留好证据并及时拨打110报警。




undefined