预警！聊天软件内嵌诈骗平台或成更诈骗新手法 – 作者:360手机卫士部

近期，各大电商平台大促之后，不少用户都会陆续收到商家发送的“确认收货”的短信，然而，360手机先赔收到用户反馈，因添加了陌生号码发来的短信中的微信，在领取所谓的“红包”过程中，被骗在赌bo平台充值，被骗几千元。如何辨别这些藏有“暗语”的风险短信？短信里引导添加的“微信号/公众号”，真的可以领到所谓的“红包”或“免费送xx”吗？其中套路卫士妹给您说一说~

案例经过

• 用户收到兼职短信内容显示“确认收货，可以送早餐机”，便添加了短信内的微信账号，骗子确认用户是通过短信添加后，邀请用户进微信群领礼品。

• 用户进群后，按照任务要求关注了公众号并回复截图，群主给用户发了50元红包佣金。随后，群主称述该礼品赞助商的应用需要下载量和注册量，用户下载应用可再获得18.8元奖励金。然而，实际上，用户下载的应用内嵌的是赌bo平台聊天软件。
• 下载应用后，用户在应用内添加了指定的奖励金结算员账号，在结算员的指引下，参与了新的佣金任务，在聊天软件内嵌的赌bo平台进行充值投注。前几次按照对方提供的计划投注，对方进行了返金；后期多次投注上千元后，对方未返金而得知受骗。

诈骗点分析

此类诈骗短信特征

1. 短信发送者号码“0060”开头，为境外发送号码；
2. 短信正文没有关于电商平台商家的名称；
3. 以“免费送”我噱头，诱导用户添加微信；

诈骗流程梳理

涉诈应用分析

区别于以往利用子域名生成不同聊天软件的手法，本次聊天软件进行了明显的攻防升级，通过抓包获取的域名是API形式，而非子域名形式，直接访问会显示“请求方式错误”。通过对抓包数据的多次梳理后，发现几个频繁出现的网址，经过分析后发现如下特征：

当在应用界面注册时，对应的为api.xxx.com/kkrp/member/register，此时可以看到看到注册账号和密码；

当注册完登录时，对应的为api.xxx.com/kkrp/member/select_member_money，同时可以看到登录用户名、密码。

点击页面中的“发现”，通过界面来看，为聊天软件内嵌的赌bo平台。

通过对APP网络请求频繁出现的网址分析，推测诈骗团伙使用第三方IM-SDK、新加坡服务器制作了App server，服务器绑定至指定域名。当用户在应用登录时，首先与APP的服务器产生数据校验，再与第三方IM-SDK服务器产生数据校验

APP server应用服务器：客户自己的服务器，部署运行业务代码，由客户开发团队自行管理维护，用来对接第三方 IM 服务。

安全课堂

此类诈骗，骗子通过群发短信，以“免费送”礼品为幌子，诱导用户添加微信；以兼职做任务+得佣金的形式，让用户下载风险APP，不断的邀请用户做任务，引导用户在赌bo平台投注。可见这种在聊天软件内嵌诈骗平台的手法，或可成为更具迷惑性的诈骗形式。

来源：freebuf.com 2021-06-07 18:48:58 by: 360手机卫士部