社会工程学：如何对诈骗信息进行反渗透？

因为空间开放，收到不少诈骗信息，当然了，我并没有回他们，而是进行了大量的信息收集和反渗透，反侦察，利用信息，从一个网址查询到对方是一家壳子公司，同时掌握对方所有的服务器均在美国，正在进行赌博网站搭建，掌握了大量的证据，同时对其网站和服务器发动拒绝服务攻击，直接瘫痪了对方的服务，当然了，中间涉及到了一些简单的分析，我们可以看到对方是如何暴露信息，并沦为一个我眼中的“弱智”！

01

1

信息初探

一天早晨，我正想如何回学校找我的女朋友，突然发来个信息，看内容是如此老的套路，只能说一句：卧槽 傻B，查看空间，点开资料是一个单独申请的小号，很多色情QQ基本上都是小号，而且都是要钱付费，我已经调查过了，基本上上当的都是不懂的分辨的人上当受骗，还没出说理去，这种小号没什么利用价值，社工库都是搜不到的，自己查信息也很困难。

我顺着打开网站，发现这个网站做的简直是侮辱智商，打开后是一个Word，我也是醉了，一般骗子网站都会租个外国或者服务器（VPS和虚拟主机最多），一方面域名不用备案，另一方面不用实名认证，这个骗子骗人也太不认真了。这是奇葩之一，上图大家看。

然后打开了官网，网页是一张十分模糊的背景图，找个1080p的图片也不是很难啊，网站做的好看点，再不济找个源码改改也比这好看，至少做的精良一点，让别人信才行。

查看源代码，验证码并不是自动获取，竟然写死的，alert强制弹出，无论怎么验证都是这一个验证码，跪了。这是奇葩之二。

02

2

诱导深入

既然碰到了这种骗术，我们也装作受害者开始填写信息，有这种机会自然不能放过，和他们玩玩也不错，填写过程中我使用的是假信息，姓名，身份证还有银行卡号码都不用识别认证，直接就可以通过了，手机号码也是假的，我猜测肯定会打电话给这个手机号，需要手续费之类的话。

还有介绍。

信息填完保存。

03

3

顺藤摸瓜

紧接着，我对域名http://xxxx.cn/进行反查询，得到公司名和详细域名信息及注册人信息,，得到这些信息并不能确定就是这家公司，很多域名可以使用假的身份认证或者冒领，这时候我们不需要那么快下结论去确定就是这个公司，就现在来看，查询的信息并不是很完善。顺便建议在域名后面开启安全设置，隐藏不必要信息。

利用天眼查，查找公司泉州市XX网络科技有限公司，同时查找与其相关的公司并进行信息收集。

我们查询所在域名IP，发现IP未加入高仿，IP直接解析的服务器，通过延时推断服务器在国外，延迟时间大概220-400ms,均为美服，利用nmap扫描获取主机详细信息和开放的端口 ,同时利用高精度IP定位，获取服务器所在卫星地图。

nmap 扫描输出：

root@kali:~# nmap -O xxx.201.70.246

Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-14 20:11 CST

Stats: 0:00:23 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan

SYN Stealth Scan Timing: About 53.33% done; ETC: 20:11 (0:00:15 remaining)

Nmap scan report for xxx.201.70.246

Host is up (0.023s latency).

Not shown: 991 filtered ports

PORT STATE SERVICE

311/tcp open asip-webadmin

1042/tcp open afrog

1067/tcp open instl_boots

1092/tcp open obrpd

2710/tcp open sso-service

4003/tcp open pxc-splr-ft

5815/tcp open unknown

6789/tcp open ibm-db2-admin

8001/tcp open vcom-tunnel

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Aggressive OS guesses: Brother MFC-7820N printer (94%), Digi Connect ME serial-to-Ethernet bridge (94%), Netgear SC101 Storage Central NAS device (91%), ShoreTel ShoreGear-T1 VoIP switch (91%), Aastra 480i IP Phone or Sun Remote System Control (RSC) (91%), Aastra 6731i VoIP phone or Apple AirPort Express WAP (91%), Cisco Wireless IP Phone 7920-ETSI (91%), GoPro HERO3 camera (91%), Konica Minolta bizhub 250 printer (91%), OUYA game console (91%)

No exact OS matches for host (test conditions non-ideal).

我并没有对服务器某个服务器进行渗透或者入侵，我觉得意义不大，我的主要目标时瘫痪其业务，为此，我直接使用拒绝服务攻击，对网站进行大量模拟请求，开启了1000请求量。

04

4

我们可以看到虽然骗子用了很久前的套路，但是人然后人会上当，社交软件充斥大量情欲金钱交易，很多时候防不胜防，希望大家注意。到目前为止，网站仍无法打开。文章到这里也算结束了，可以看到对方在很多地方暴露出了自己。

“

1.套路低级，几年前的骗术。

2.网址制作粗糙，稍微留一下就知道是骗人。

3.代码差劲，辨别率高。

4.自己信息泄露过多。

5.域名安全未开启。

6.IP未做CDN隐藏或者加入高仿。

”

这就是我的反诈骗过程，希望大家对陌生人信息存有警惕之心。

孤独的hat

只写干货，只做原创!

如对文章有更好的建议和意见，可在下方留言互动讨论！