当IT从业者遇到诈骗信息
2022-03-02 by dongnan
问题描述
最近连续收到诈骗短信,内容如下:
【河北医疗保障局】您的医疗卡已停,请03月1日进 www.arvu.fun 在线重新激活!
根据职业经验判断,发现这个短信大概率是钓鱼短信,决定一探究竟。
蛛丝马迹
首先发现域名有问题,www.arvu.fun 初步判断不是正常短信,正常的国家政府部门绝大部分使用的是以 gov.cn 结尾的这种域名,
而是不会使用 .fun 结尾的域名。
例如:
- 河北省政府网站
www.hebei.gov.cn。 - 河北省医疗保障局的官网地址
ylbzj.hebei.gov.cn。
巧合的是 河北省医疗保障局官网 也发出了通知 ,看来收到诈骗信息的人可不少:
诈骗目的
接下来看下它到底要如何进行诈骗活动:
首先检查下域名注册信息,发现竟然是 2022-02-28 刚刚注册的。
whois arvu.fun
Domain Name: ARVU.FUN
Registry Domain ID: D278671982-CNIC
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com
Updated Date: 2022-02-28T13:46:39.0Z
Creation Date: 2022-02-28T13:38:42.0Z
Registry Expiry Date: 2023-02-28T23:59:59.0Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant Organization: See PrivacyGuardian.org
Registrant State/Province: AZ
Registrant Country: US
然后检查下了服务器的地址, 服务器的IP地址在中国香港:
dig +nocmd +nocomment www.arvu.fun
;www.arvu.fun. IN A
www.arvu.fun. 2938 IN A 45.116.165.235
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Mar 01 10:28:52 CST 2022
;; MSG SIZE rcvd: 57
尝试使用浏览器访问,提示请使用手机移动端端访问,看来骗取手机上的信息:
模拟成手机再次访问诈骗网站:
发现原来是要骗取身份信息:
这里没有填写真实的身份证信息,所以没有进行下一步的测试,也许会要求下载APP进一步收集数据,
但综合上所种种信息,这是一个骗取个人信息的诈骗网站是可以确定的。
后续
避免其诈骗更多的人,将这个诈骗网站到12321网络不良与垃圾信息举报受理中心 进行举报。
小结
由于从事互联网相关工作,能够识别一些骗短伎俩,但是对于没有相关经验的朋友上建议牢记以下几个点:
- 保持警惕性,先不要急于点击短信内的连接,避免被骗。
- 查看短信的发信人地址,这条短信的发信地址是韩国,其诈骗目性质不攻自破。
- 检查网站的ICP备案信息,到工信部对核对ICP备案号码与网站是否一致。
- 当需要收集你的个人身份信息,或者给你的手机安装未知的
APP软件,务必提醒一下自己,先去互联网搜索一下内容,看看是否有诈骗的可能性。 - 发现被骗时及时报警。
注解
中国对于网站有严格的规定,要求国内网站必须先经过 工信部备案 才能使用, 备案过程需要提交验证相关的资料信息,这也能杜绝部分的诈骗网站。