前几天被发了一个定向诈骗短信，这两天闲了，写个警示吧

这两天收到一条诈骗短信，这个套路说实话做的是有点隐蔽的，稍微不注意可能中招。
注意看，域名开头是https，也就是说，这个域名是加了SSL连接的，也就是加密。

[img]https://img.nga.178.com/attachments/mon_202006/28/-7Q5-j742K1oT3cSow-sg.jpg.medium.jpg[/img]


如果你用电脑访问这个域名，会自动跳转至速通卡ETC的真实主页，注意看红圈位置，有锁标志，证明SSL证书有效，因为它本来就是真实的，当然有效。

[img]https://img.nga.178.com/attachments/mon_202006/28/-7Q5-8koyK2hT3cSsg-l3.jpg.medium.jpg[/img]

但是你把浏览器伪装为移动端，也就是手机访问这个域名，你会看到这个页面，可以看到，域名上的锁没有了，显示为不安全，但是依然是https协议，依旧嵌套了SSL证书，只是这个证书是自签发的，浏览器并不认这个证书。

[img]https://img.nga.178.com/attachments/mon_202006/28/-7Q5-h4leK17T3cSns-sg.jpg.medium.jpg[/img]

点击立即认证，会显示这个界面，要求你提供你整套可以从网上银行重制密码的资料，如果你递交了认证，你所有的信息就被套走了。

[img]https://img.nga.178.com/attachments/mon_202006/28/-7Q5-1ciuZoT3cSgu-wu.jpg.medium.jpg[/img]

追踪了两个域名，诈骗网站的域名指向了一个香港服务器，IP归属绕到了南非，而速通卡的网站服务器地址归属地为北京，有备案。

[img]https://img.nga.178.com/attachments/mon_202006/28/-7Q5-l9wkK1sT3cSsg-h9.jpg.medium.jpg[/img]
[img]https://img.nga.178.com/attachments/mon_202006/28/-7Q5-2ex9K28T3cSsg-ie.jpg.medium.jpg[/img]

当时我在手机操作点击认证之后看到要填的信息有点怀疑，按说ETC绑定一般并不需要银行卡密码，只是签署电子代扣协议，就在电脑上打开这个域名去验证了一下，结果发现打开的是速通卡官网。
问题在于，我办理的ETC确实是速通卡这家公司提供的，也就是这是一个定点诈骗，骗子不只是知道了我的电话号码，还知道了我办理的ETC的厂家，至于信息是从哪泄漏出去的，无法确认，等有空了去追一下香港这个服务器的背后注册人，这台服务器并没有更改远程连接的默认端口，我准备直接XSS去搞他一下。