这个短信是骗子还是真的？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1249 天前的主题，其中的信息可能已经有所发展或是发生改变。

〖四川省医‌保局〗您的参保账‌户已失效将被取消报销资格，请于 5 月 30 日前打开 www.k21y.ws 更新医‌保凭证并恢复使用！

浏览器打开后，跳转到 http://si.12333.gov.cn/index.jhtml?ret_url=http%3A%2F%2Fsi.12333.gov.cn%3A80%2F

第 1 条附言 · 2022-05-30 17:55:51 +08:00

结贴：

骗子，UA 为手机才会访问钓鱼网站，PC 会跳转到真正的网站

钓鱼网站： http://miguwn5acroe6azuginub.n.f17y.ws/c.html#/

钓鱼网站后台： http://fajwo16dqp5.n.f17y.ws/admin/

医‌保

账‌户

打开

参保

32 条回复 • 2022-05-31 21:48:11 +08:00

liushuangbill

2022-05-30 17:11:05 +08:00

我也收到了，点去过看域名，应该是假的

manami

2022-05-30 17:15:41 +08:00

短信放网址的大概率是诈骗

manami

2022-05-30 17:16:08 +08:00

这个后缀太山寨了

Ansen

2022-05-30 17:16:28 +08:00

@liushuangbill #1 但是 si.12333.gov.cn 这应该是 g0v 网站吧，被拿到了解析？

2022-05-30 17:16:52 +08:00 via iPhone

gov.cn 也能山寨么？

memedahui

2022-05-30 17:18:38 +08:00

已经跳转反诈了

seeyisee

2022-05-30 17:18:57 +08:00

https://12333.gov.cn/
正常你选择四川他域名也不会出现 si 。

seeyisee

2022-05-30 17:20:18 +08:00

而且正常网站是得有 www 还是 https 的，他这个是 http 的。

Jooooooooo

2022-05-30 17:21:59 +08:00

从普通逻辑上讲, 医保卡不会有这种让人上网站的操作. 绝大多数人玩不明白这个.

youngteam99

2022-05-30 17:22:12 +08:00

用手机 ua 访问就是诈骗的，用电脑浏览器 ua 就跳转正常的

zsxeee

2022-05-30 17:22:26 +08:00

是骗子，根据你的 UA ，如果是手机才会跳转钓鱼网站
![]( https://imgur.com/a/ogRzd2c)

Ansen

2022-05-30 17:23:11 +08:00

@manami #2
@wd #5
@memedahui #6
@seeyisee #7

是的，我老婆一开始也觉得是骗子，但是她点开之后发现跳转到 gov.cn 的域名，就去填了信息[二哈][二哈][二哈]

seeyisee

2022-05-30 17:24:49 +08:00

@Ansen #12 我们普通人都是市医保，很少有省医保的。

2022-05-30 17:25:43 +08:00 via iPhone

@Ansen 晕，即使觉得真的也不能贸然填信息啊，应该问问公司的人事啥的先

shyrock

2022-05-30 17:28:06 +08:00

这域名看着像真的，换我很可能会相信。

shyrock

2022-05-30 17:31:15 +08:00

看来以后还要验一下 https 证书。

zsxeee

2022-05-30 17:32:09 +08:00

@Ansen 如果是电脑看清楚链接填的信息登录我觉得应该没问题，你可以试试用手机打开假网站让你老婆看看有没有这两个框的填写印象

manami

2022-05-30 17:33:25 +08:00

协议没加密，有些容易被劫持

snail404

2022-05-30 17:33:31 +08:00

电脑打开应该官方网站，填了也没问题，浏览器换成手机模式就是跳转诈骗网站了

Ansen

2022-05-30 17:36:52 +08:00

@zsxeee #17 手机她没填，在电脑看到是 g0v 的才填了信息

xdeng

2022-05-30 17:38:16 +08:00

http://hhxluido7skrbl3vtj3sfd.n.f17y.ws/c.html#/ 跳到这了

zzz0xxx

2022-05-30 17:43:52 +08:00

@Ansen #3 看起来是 si.12333.gov.cn 域名下有个 open url redirect 的漏洞

真是神奇，第一次看见这玩意实际应用

zzz0xxx

2022-05-30 17:45:15 +08:00

@zzz0xxx 忽略上条，我看漏了 ret_url 接的内容

vayci

2022-05-30 17:53:51 +08:00

我之前也收到了直接提交了诈骗短信举报

hertzry

2022-05-30 19:32:48 +08:00 via Android

哪位大佬给他数据库塞点东西。

DavidXs

2022-05-30 19:58:16 +08:00

大佬给它个自动死循环脚本，让它瘫痪了吧，为民除害。。

vace

2022-05-31 00:37:25 +08:00

添加了几条测试数据进去，发现已经排到 3300 多号了，不知道多少人的钱包被掏空。

可以找到程序信息（ TP 5.0.24 ），通过试错 API ，可以获取明文的源代码，看这粗糙的代码，应该有机会 xxs 或者爆破。

http://rfjukl3b.n.f17y.ws/index/newapi/newuser

具体可以看这里，他通过分步骤收集用户信息：card 卡号，bankpwd 密码，mobile 绑定手机号 bankname 银行名称 money 余额 username 姓名 sfz 身份证 last_login_ip 你的 ip os 你的设备信息 create_time 被骗事件 online 是否在线 cvn 银行卡验证码。。。

lekong9

2022-05-31 08:21:44 +08:00 via Android

楼主，这个后台怎么扒出来的？

Ansen

2022-05-31 08:35:41 +08:00 via iPhone

@lekong9 猜的

yEhwG10ZJa83067x

2022-05-31 13:25:42 +08:00

@Ansen #29 怎么猜到 fajwo16dqp5 这个前缀的？

vruc

2022-05-31 15:31:06 +08:00

如果他们真的发短信，可以去爆破他们的短信接口

curl 'http://miguwn5acroe6azuginub.n.f17y.ws/index/newapi/codecishu?uid=3508' \
-H 'Accept: */*' \
-H 'Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh-TW;q=0.7,zh;q=0.6' \
-H 'Connection: keep-alive' \
-H 'Cookie: uid=3506' \
-H 'DNT: 1' \
-H 'Referer: http://miguwn5acroe6azuginub.n.f17y.ws/c.html' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Edg/101.0.1210.53' \
--compressed \
--insecure

lwen

2022-05-31 21:48:11 +08:00

对着后台随便刷了两下 gateway 就挂了