今天晚上,在宿舍里看OWASP Top10呢,手机来电话了,是一个陌生的号码,接通之后对面说自己是某某厂家,问我昨晚上是不是在当当购买了,我说是。然后她就在说我的个人信息,电话号码,收件地址等等,还在说我几点几分下的单。每一点都说的非常准确,可以肯定,我的订单他手里是有的。然后说昨天晚上他们的系统出现问题,我的账单没有进入数据库什么云云,之后说为了按时发货,会给我的手机上发送一个重新提交订单的信息什么的。这个时候我就开始警觉起来了,我问:是不是需要我取消订单,然后重新提交订单。骗子说,不是,然后又开始说我的个人信息,住到哪里,问我是不是学生什么的。这个时候我能感觉到骗子有点着急了。然后说,他们是某某厂商,都是合法,可以查到的。然后我问骗子,好,我相信你,能证明一下你的身份吗?比如说身份证号什么的。她很爽快的答应了,然后这中间有两秒的时间吧,他一直在说,您方便记吗?我说方便,然后她又重复了一下,方便吗?我说方便,你说吧。这两秒钟,显然骗子是在找东西,也就是准备好的假的身份信息(当时猜的,当时还不确定是不是骗子)。然后骗子就说自己叫韩红,强调了一下,就是那个明星的韩红,(强调的这段时间是给自己思考的时间)我说继续就是了,我知道。然后她开始说身份证号:440102197110194021,这个时候我确实是在记录的。注意这个过程中,我一直在追问她,按照我的思路来。这个过程中,骗子有两个思考的时间,一个是说了两遍“方便吗”,一个是说自己是韩红的名字。然后几下来她的身份信息,我说,好,你说一下你多大了,(其实电话里声音也就是20-26岁之间的女性声音),她停顿了一下,说71年的,然后说34,其中没有直接说年龄,而是停顿了大概不到一秒钟,然后强调了一下是71年的,这个时间能明显的感觉到她在算年龄。已经才到十有八有是骗子了,为了确认一下,我说你属什么的啊?然后对面又是停顿一下,说属猴的。我说好,谢谢!挂掉电话后我会去处理我的订单的。后来我查了一下71年是猪年。。。
挂掉电话后,我查了一下对方的电话:18867134117 , 浙江 杭州 中国移动。然后我看了一下自己的订单,福建厂家。
然后查了一下身份证号:440102197110194021前6位“440102”是广东省东山区,然后查看自己订单物流信息,确实查不到信息,后来在官网咨询客服,客服解释是暂时查不到,可能是昨天晚上深夜提交的订单,物流还没登记。在他们发货单上可以查到,证明我的订单没有问题。至此,证明,刚才是电话属于订单钓鱼。
总结整个过程,攻击者掌握的两个信息,一个是客户订单详细信息。说明当当系统存在漏洞,用户订单被盗取。一个是抓住空当,一天之内的订单,在物流那还没进行登记,在网上查不到物流信息,所以骗子说订单出问题,然后一般客户查不到自己物流信息就会相信骗子的话,这也是整场对话中最致命的点。
搞清这一切后,找了个短信轰炸脚本把骗子的手机号输入进去,开启短信轰炸,大概一分钟发送200条的样子。呵呵
网上骗人的手段越来越多了,也越来越复杂,你的某些信息,在网上一查就查到,你的信息可能对方比你知道的还详细…所以还是加强自己的防范意识,不要跟着骗子的思路走。。。
最后调查了一下,最近在当当买东西的,你们收到这样的电话了吗?
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
