社会工程学:如何对诈骗信息进行反渗透?

因为空间开放,收到不少诈骗信息,当然了,我并没有回他们,而是进行了大量的信息收集和反渗透,反侦察,利用信息,从一个网址查询到对方是一家壳子公司,同时掌握对方所有的服务器均在美国,正在进行赌博网站搭建,掌握了大量的证据,同时对其网站和服务器发动拒绝服务攻击,直接瘫痪了对方的服务,当然了,中间涉及到了一些简单的分析,我们可以看到对方是如何暴露信息,并沦为一个我眼中的“弱智”!

01

1

信息初探

一天早晨,我正想如何回学校找我的女朋友,突然发来个信息,看内容是如此老的套路,只能说一句:卧槽 傻B,查看空间,点开资料是一个单独申请的小号,很多色情QQ基本上都是小号,而且都是要钱付费,我已经调查过了,基本上上当的都是不懂的分辨的人上当受骗,还没出说理去,这种小号没什么利用价值,社工库都是搜不到的,自己查信息也很困难。

我顺着打开网站,发现这个网站做的简直是侮辱智商,打开后是一个Word,我也是醉了,一般骗子网站都会租个外国或者服务器(VPS和虚拟主机最多),一方面域名不用备案,另一方面不用实名认证,这个骗子骗人也太不认真了。这是奇葩之一,上图大家看。

然后打开了官网,网页是一张十分模糊的背景图,找个1080p的图片也不是很难啊,网站做的好看点,再不济找个源码改改也比这好看,至少做的精良一点,让别人信才行。

查看源代码,验证码并不是自动获取,竟然写死的,alert强制弹出,无论怎么验证都是这一个验证码,跪了。这是奇葩之二。

02

2

诱导深入

既然碰到了这种骗术,我们也装作受害者开始填写信息,有这种机会自然不能放过,和他们玩玩也不错,填写过程中我使用的是假信息,姓名,身份证还有银行卡号码都不用识别认证,直接就可以通过了,手机号码也是假的,我猜测肯定会打电话给这个手机号,需要手续费之类的话。

还有介绍。

信息填完保存。

03

3

顺藤摸瓜

紧接着,我对域名http://xxxx.cn/进行反查询,得到公司名和详细域名信息及注册人信息,,得到这些信息并不能确定就是这家公司,很多域名可以使用假的身份认证或者冒领,这时候我们不需要那么快下结论去确定就是这个公司,就现在来看,查询的信息并不是很完善。顺便建议在域名后面开启安全设置,隐藏不必要信息。

利用天眼查,查找公司泉州市XX网络科技有限公司,同时查找与其相关的公司并进行信息收集。

我们查询所在域名IP,发现IP未加入高仿,IP直接解析的服务器,通过延时推断服务器在国外,延迟时间大概220-400ms,均为美服,利用nmap扫描获取主机详细信息和开放的端口 ,同时利用高精度IP定位,获取服务器所在卫星地图。

nmap 扫描输出:

root@kali:~# nmap -O xxx.201.70.246

Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-14 20:11 CST

Stats: 0:00:23 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 53.33% done; ETC: 20:11 (0:00:15 remaining)

Nmap scan report for xxx.201.70.246

Host is up (0.023s latency).

Not shown: 991 filtered ports

PORT STATE SERVICE

311/tcp open asip-webadmin

1042/tcp open afrog

1067/tcp open instl_boots

1092/tcp open obrpd

2710/tcp open sso-service

4003/tcp open pxc-splr-ft

5815/tcp open unknown

6789/tcp open ibm-db2-admin

8001/tcp open vcom-tunnel

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Aggressive OS guesses: Brother MFC-7820N printer (94%), Digi Connect ME serial-to-Ethernet bridge (94%), Netgear SC101 Storage Central NAS device (91%), ShoreTel ShoreGear-T1 VoIP switch (91%), Aastra 480i IP Phone or Sun Remote System Control (RSC) (91%), Aastra 6731i VoIP phone or Apple AirPort Express WAP (91%), Cisco Wireless IP Phone 7920-ETSI (91%), GoPro HERO3 camera (91%), Konica Minolta bizhub 250 printer (91%), OUYA game console (91%)

No exact OS matches for host (test conditions non-ideal).

我并没有对服务器某个服务器进行渗透或者入侵,我觉得意义不大,我的主要目标时瘫痪其业务,为此,我直接使用拒绝服务攻击,对网站进行大量模拟请求,开启了1000请求量。

04

4

我们可以看到虽然骗子用了很久前的套路,但是人然后人会上当,社交软件充斥大量情欲金钱交易,很多时候防不胜防,希望大家注意。到目前为止,网站仍无法打开。文章到这里也算结束了,可以看到对方在很多地方暴露出了自己。

1.套路低级,几年前的骗术。

2.网址制作粗糙,稍微留一下就知道是骗人。

3.代码差劲,辨别率高。

4.自己信息泄露过多。

5.域名安全未开启。

6.IP未做CDN隐藏或者加入高仿。

这就是我的反诈骗过程,希望大家对陌生人信息存有警惕之心。

孤独的hat

只写干货,只做原创!

如对文章有更好的建议和意见,可在下方留言互动讨论!

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180113G0NUC300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券