烟斗汪

脑洞清奇的邮箱诈骗

前言:谈起骗术,大部分人都深恶痛绝。在古代,明朝张应俞的《骗经》就已经揭露了世间各种骗术;如今随着互联网的产生,骗术更加多样化。随着科技的发展,未来的网络骗局将更加难以识别。但是无论骗术如何进化,其本质是不会变的··· 这篇文章要告诉你:如何用正经大公司的官方邮箱进行网络诈骗! 这个脑洞清奇的诈骗邮件亮瞎了我的眼,从中烟斗汪可以看到骗子出人意料的聪明才智。这个诈骗邮件表面上看似平平无奇,在某种意义上非常独特,严格来说算是垃圾引流邮件,但是有与传统的垃圾邮件有所不同。我主要谈骗术的设计,而不是教你如何防骗。防骗其实很简单——不要相信陌生人,而骗术的设计却是凝聚了人类的各种智慧,有趣至极。

1、事件描述: 这天,我绑定qq邮箱的微信连续发来了两份邮件。第一份是验证Autodesk账户的邮件;第二份是Autodesk账户的密码重置。两者间隔时间大概不到几秒钟。第二份邮件里出现了色情广告内容。

2、骗术解析 烟斗汪从三个方面分析骗术:预期行为、骗术目的、骗术设计。

(1)预期行为:看到诈骗邮件我们会做出什么反应? 首先,我希望读者判断一下,这是什么类型的诈骗邮件。通过获取邮件的信息,我们会产生什么想法并作出什么行为? 这两份邮件传递了两种信息:你的邮箱被盗、色情垃圾广告。 首先,第一个问题:为什么我们会产生“邮箱被盗、色情广告”的想法? 色情垃圾广告很容易理解,“全国各地白領模特學生妹外围女护士”这些字眼一看便知,还留了招嫖QQ。 重点在于为什么会产生邮箱被盗的想法! 即便你不知道Autodesk是什么网站,当你收到“验证账户“和”重置密码”邮件时,下意识的会认为邮箱或者账号被盗了。在我们的经验里,一般情况下只有异常登录等特殊情况才会发送验证账户的邮件,而再加上“有人正在修改你的密码”的提示,一般人会怎么想? 因为如今大部分网站都有这样一套登录注册、忘记密码的系统,而且这个系统逻辑严密,发送验证账户、重置密码邮件其实就是为了多次确认、保证用户的账号安全。正是因为如今大部分网站都有这样一套安全完善的系统,我们才形成了“验证账户“和”重置密码”邮件跟账户安全有关系的认知。 第二个问题:这两种信息同时发送给你,会产生怎么样的化学反应? 一般情况下伪装成账户被盗的邮件,其目的是希望你点击邮件里的钓鱼网站链接;色情广告邮件的目的是让你浏览其网站或者添加其联系方式。这是两种目的的骗术相结合,则会产生疑惑。 但是骗子要的恰恰是你的疑惑! 网络小白可能就傻傻相信自己被盗号了,但是老网民会去确认其真实性。但是无论如何,共同的特点就是引起了注意! 如果你的安全意识非常好,会先判断这邮件是否为伪造的假邮件,并查询邮件的发件人以及邮件的链接,结果会发现这确确实实是Autodesk官方发送给你的邮件。并且实际上,Autodesk是一家美国牛逼的软件设计大公司,与Adobe公司齐名。

(发件人是Autodesk官方邮件)

(邮件中的链接是官方链接,非钓鱼网站)

你的邮箱收到了一家美国软件设计巨头公司的“验证账户“和”重置密码”邮件,而且邮件还是真的,那么你的邮箱是否被盗了? 答案是没有。

(2)骗术目的:骗子心里怎么想的? 在解答上面的问题之前,我们先谈谈诈骗邮件一般都是怎么骗人的吧。一般的垃圾诈骗邮件我相信如今大部分人都见多了,很多人看到色情、投资、信用卡、赌博之类的邮件基本都能断定这是垃圾诈骗邮件,其实邮件诈骗只有两种方式: 方式一:绞尽脑汁让你点击邮件里的不明链接。这个链接可能是病毒、可能是为了增加网站流量、可能是为了窃取你的账号密码等等,从而衍生出一系列的诈骗方式。 方式二:绞尽脑汁让你添加邮件里的联系方式。通过邮件内容中你所获取的微信/QQ等信息,你主动联系骗子,从而进行下一步各式各样的骗局。让受骗者主动添加骗子,其实意味着受骗者对邮件的内容是感兴趣,这也是骗子筛选用户的一种方式。 但是如今大家都见多了垃圾邮件,假设邮箱中有一份色情垃圾邮件想引起你的注意,你可能根本不会注意到,因为垃圾邮件太多了!现在都2019年了,骗子都转战微信、微博等其他移动流量平台了,垃圾邮件早已经是一片红海,不,都快成死海了!

(邮箱里各式各样的垃圾邮件,大部分人根本不会理会)

而烟斗汪所遇到的这两份邮件成功地解决了这个问题。事实上这两份邮件单纯是色情广告邮件,我并没有被盗号。邮件的目的就是为了制造盗号的假象,让你在各种垃圾邮件中注意到他发送的垃圾色情广告信息,增加了垃圾邮件的曝光率。 本质上,这是色情广告的邮件引流,只不过骗子考虑到如今垃圾邮件的泛滥,用传统的方式很可能用户在垃圾邮件的海洋里根本不会注意到自己的垃圾广告。而通过伪装盗号的邮件能够吸引用户的注意,增加色情广告的曝光率。至于注意到信息之后加不加骗子QQ是另一个问题了。 (3)骗术设计:骗子是怎么实现骗术的? 这个骗术看起来平平无奇,脑洞清奇的部分体现在其设计上。可能到现在,你依然不明白自己并没有盗号,为什么Autodesk官方会给你发送验证账户和重置密码邮件呢? 问题就出在我们对“验证账户”和”重置密码“的认知上!

我们来注册一下Autodesk这个网站吧。

通过上图,可以惊讶的看到,如今都2019年了,Autodesk的注册系统竟然如此落后!只要输入不经验证的邮箱和密码,就可以成功注册一个账号。 更有趣的是——我成功注册了autodesksb@sb.com的账户,注册之后才可以验证邮箱,即便这个邮箱是根本不存在的!也就是说,点击验证邮箱后,Autodesk会向你的邮箱发送一份邮件,让你验证是否注册了这个网站。要是邮箱是假的,自然也收不到邮件了。(如果之前注册的时候输错邮箱,可以修改邮箱)

那么重置密码邮件呢?只要点击忘记密码,Autodesk就会向你发送一份重置密码的邮件。 而骗子就是利用了Autodesk网站落后的登录注册系统,免费利用Autodesk邮箱系统,通过连续两份邮件伪造了被盗号的假象,并可以向任意一个未注册Autodesk账户的邮箱发送广告信息。 但是这里还涉及到一个知识点。这广告信息内容怎么发的?

“您好,hmat全国各地白領模特學生妹外围女护士等高端个人联系方式資料伽QQ1915456xxx ===mat20=少妇厂妹个人联系方式资料联系客服QQ”这么多中文是哪里来的? 这玩意他喵了个咪的竟然是用户的姓和名··· 因为我通过自己的邮箱登录了Autodesk账户,结果发现我的账户信息是这样的——

原来,姓名可以容纳那么多字节···并且国外的网站基本上没有敏感字之类的审核,你拥有瞎几把写的权利··· 利用Autodesk落后的登录注册系统、通过用户姓名这一栏去传递色情广告信息,这种水平思考的能力也就是黑色产业从业者想得出来了!但是,不仅仅是这种程度,在骗术设计上,骗子还非常注重细节。 根据我推测,骗子应该是设计了这样一个自动脚本。首先注册Autodesk的时候,输入受害者的邮件和任意密码,并不输入姓名 (因为我们可以看到第一份邮件姓名是空的),注册之后点击验证邮箱,于是拥有邮箱的我就莫名收到了验证邮件;随后修改姓名为色情垃圾广告信息(我们甚至还可以看到hmat之类的代码痕迹),修改后再退出登录,点击忘记密码,于是我们几秒之后就收到了带广告的重置密码邮件。很可能,为了批量发送邮件,这个脚本还会不断修改IP或者其他操作。

这里有一个细节。第一份邮件事实上是可以直接在姓名栏输入广告内容的,为什么第二份才出现?因为骗子非常重视用户体验。第一份邮件的目的是引起用户注意,迷惑用户。如果直接显示广告,很可能被用户判断为垃圾信息不再浏览。 除此之外,最让烟斗汪佩服的是,骗子非常注重行骗成本。因为发送邮件其实是要钱的,搭建一个邮件系统是要一定成本的,而使用QQ、网易等第三方邮箱不利于行骗,借助Autodesk的邮箱系统发送广告简直是毫无成本。这相当于是免费用他人的官方邮箱系统给自己的色情广告引流,并且可以指向任何邮箱。骗子需要的只是一个脚本以及一堆受害者邮箱,甚至可能是随机的邮箱···当然,我也承认可能是过去注册了某色情网站的缘故。 到这里,精彩的邮件引流完成了,随后有需要的用户注意到了这份邮件,并添加其QQ,开始了正常的骗局套路。

3、如何防骗 因为这个邮件的目的是为了让你注意到其色情广告信息,也就是说只要你懂点网络安全,你就会被骗,防不了!当然这个被骗并不会损失任何东西,只不过有效地传递给你色情广告信息,你加不加骗子那是另一个值得深究的话题。 意外的结尾 可能你对这种无聊的骗术嗤之以鼻,但是实际上效果拔群。 但是当我写完这篇文章,想添加QQ的时候,发现—— 其实被大量举报也就意味着有大量的流量,以及有人被骗!写完文章已经半夜,然而第二天发布文章之前,我又试图加了一次,结果竟然可以加了。于是便有了这样的对话··· 原来这个骗子是卖全国嫖娼信息的,资料介绍文档里的内容极为搞笑,排版简陋,甚至还有下面这样的图片,并且支付需要通过微信或支付宝支付,并不能直接QQ赚钱,这就规避了QQ封号的风险。

(骗子编辑的资料截图)

而单单是骗子的QQ空间访客,就已经达到了上万人,今天上午就有40余人访问了骗子的空间,可见伪装盗号邮件的引流效果非常显著··· (为避免麻烦,隐藏所有联系方式,谈骗术不攻击骗子)

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »