针对支付宝理赔的钓鱼网站分析 – 作者:Sampson

一、背景

最近在样本分析过程中发现针对支付宝理赔的钓鱼事件，人在很紧急的情况下很容易忽视网站的真实性，这样就给了黑客可乘之机。

网络钓鱼，是指攻击者通过垃圾邮件、即时通信、社交网络等信息载体，发布欺诈性消息，骗取网络用户访问其构建的虚假仿冒钓鱼网站，意图引诱用户泄露其敏感信息（如用户名、口令、账号ID或***卡详细信息）的一种网络犯罪行为。这种攻击方式已成为当前互联网最大的安全威胁之一。

钓鱼网站的基本特征是，其界面基本与真实网站一致，充满诱导性，通过表单交互来欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成各类知名邮箱、银行及电子商务、窃取用户提交的账号、密码等私密信息的网站。

二、攻击实例

钓鱼网站列表如下：

2.1 案例一

以其中的一个理赔钓鱼网站为例（www.czsanqing.com），访问支付宝申请理赔钓鱼界面如下，仅仅看页面完全不像是钓鱼网页的痕迹，还吓唬上钩的用户“欢迎进入理赔中心，请在理赔客服的指导下完成申请理赔，请勿中途中断操作，导致账户异常或冻结，确认申请，点击申请理赔。”；

点击申请理赔，提示输入用户名和密码，在此本人随便输入用户名111111和密码111，点击登录，显示可以进行下一步，输入***号；

紧接着就提示输入姓名、密码和电话号码；

然后让用户获取验证码并填写，一套流程下来把用户所有的信息都获取到手。

2.2案例二

钓鱼页面（xajdzlwx.com）直接显示申请理赔，用户点击理赔直接提示用户输入支付宝用户名和密码。

三、钓鱼网页分析

打开浏览器的开发者工具,输入用户名和密码，可以发现三个参数user、passwords和nametype，其中nametype固定不变，nametype=”支付宝”。

如果想恶意一下构建钓鱼网站的黑客，可以构造一组随机用户名和密码，构造多次POST请求；起到混淆视听的效果。

完成搜索信息收集之后点击提交按钮，会调用zdlclos(),这个函数的名称看着也着实有点业余，很大可能性是国人制作的钓鱼网站。

Burp抓包数据如下：

url解码后发现提交的是用户填写的所有信息，包括收款账户、**证信息、***卡号等用户隐私数据。

结束语

由于钓鱼网站不易察觉，最根本的预防办法是提高警惕，不登录不熟悉的网站，键入网站地址的时候要校对，细心就可以发现一些破绽，不要打开陌生人的电子邮件，更不要轻信他人说教，特别是即时通讯工具上的传来的消息，很有可能是发送钓鱼网站或病毒，不要轻信来历不明的信息，谨防电信诈骗。

来源：freebuf.com 2020-09-17 00:13:59 by: Sampson