夜雨聆风前言:该文章去年大哥很早给我了,由于太懒一直未发。现在学习ai,感觉ai发展的太快稍微不注意就会落后了好多,把去年存的笔记都给发出来,后续再发些关于ai的文章。
起初只是随手在小红书评论某只股票,没想到竟引来“股神”私信——号称带我发财,还附赠"财富密码"。点开链接,赫然是仿冒的证券交易APP下载页,图标、名称高度雷同,连用户协议字体都刻意模仿。
期初说不方便加微信,要换聊天软件,好,这个聊天App也是漏洞百出——安装后未经授权便读取设备信息,抓包发现其明文传输手机号 173xxxxxxx。其他身份信息未暴露,但结合上下文,极大概率是伪造号码。几天后对方称需在“XX金融App”实操,发来一个短链。点击跳转至非官方分发页,市面上根本搜不到该App,连基础合规检测都未通过。
进入正题,随便输个手机号码,等等,这验证码竟然不是以短信的形式返回的,而是直接返回——说明后端未对接运营商短信平台,验证码逻辑完全由前端或弱校验服务生成。好的,先用个假手机号注册下,任意账户注册。
先注册看看,假装对这个软件一无所知,操作全靠她指导。 一边装懵,等她真发来截图,保持“小白”人设,不露破绽,才能诱她暴露更多攻击链路。
得到手机号为136*****806 张xx
先用自己注册的账号登上去,发现可以通过手机号越权查询别人的信息,一点点fuzz得到该名小仙女的信息,其中数据包中还返回了登录密码,交易密码,可惜没有身份证信息。
于是利用登录之
好家伙,这是真的吗?仔细翻找、查看,发现这根本不是真实交易系统,而是个彻头彻尾的“模拟仓”——界面炫酷,数据浮动,但所有盈亏、持仓、资金变动全由前端或后端随意渲染。输入任意金额,点击“充值”,余额即刻翻倍;下任意单,K线随之“精准”匹配。无真实资金对接,无券商接口,甚至连基础的风控校验都形同虚设。所谓“带单盈利”,不过是用预设脚本操控的数字幻觉。诈骗者借此制造“轻松赚钱”假象,诱导用户追加“保证金”或下载“升级版”木马App。
提现也是提不出来的,就是诱惑小白,充值,然后杀猪。整个平台从注册、充值到交易,全程闭环伪造:验证码前端生成、资金余额随意篡改、K线走势按需渲染,所有“盈利”均为预设脚本驱动。用户充值后,资金并未进入任何真实账户,而是直接落入黑产钱包;所谓“提现失败”,实为后台硬编码拦截——输入任意银行卡号,均返回“风控审核中”或“手续费不足”,根本无真实出金通道。
且资金无法提现
可惜看不到实名认证信息,查不到,就算查到了也是假的,至此渗透告一段落,提醒大家,不要轻信相信高收益理财炒股等信息,提高自己的反诈意识。
