@Mr-13
2020-03-24T00:49:53.000000Z
字数 1464
阅读 245
【鱼骨】签名钓鱼
钓鱼投诉案例
1. 先说结果
- 2018.05:浙江高信发送鱼骨签名钓鱼内容,造成供应商(北京中商盛达/云掌通)通道被江苏移动关停端口,并处罚金10万元。
- 当月约定政策为:
X > 1亿条,结算2.0
X < 1亿条,结算2.1
因关停导致保底未完成(最终7000万+),导致全部结算亏本。亏损整体5万元,并承担云掌通5万元罚金。损失10万。- 发送内容:
【鱼骨】代幵増值禾兑一微.信KC9988555一请您使用鱼骨工作平台,账号104414,密码974609。到www.yugusoft.com 登录,无需注册。- 同类型其他内容:
【爱客】需-要-增-值-禾兑-嘌++(微-信:KC9988555)为你开通了爱客CRM帐号为:15959383422,初始密码为:589817。快来体验吧:http://ikcrm.com/e
备注:以上短信内容中的微信号,真实有效,确实是代开发票的,也是醉了。
2. 分析钓鱼方式
1) 溯源查看签名真实性
首先溯源查看签名真实性:www.yugusoft.com 该网站为真实有效的协同办公软件。网站截图如下:
2) 分析短信场景
下发的短信内容如下:
【鱼骨】代幵増值禾兑一微.信KC9988555一请您使用鱼骨工作平台,账号104414,密码974609。到www.yugusoft.com 登录,无需注册。
如果以企业OA短信的形式处理为短信模板,可以整理为:
【鱼骨】
$昵称$请您使用鱼骨工作平台,账号$登陆账号$,密码$初始密码$。到www.yugusoft.com 登录,无需注册。
我们把下发的短信内容和模板变量一一对应:
- $昵称$:
代幵増值禾兑一微.信KC9988555一- $登陆账号$: 104414
- $初始密码$: 974609
问题出来了,我们已经知道鱼骨软件是类似于钉钉办公的协同软件;钓鱼可能是利用了注册账号时,鱼骨系统没有对使用者的“昵称”内容进行敏感内容筛查的漏洞。
在团队初始账号为其他手机号创建了默认用户账号后,可以通过系统提醒( 发送短信 )的方式,通知到员工。
分析找到了可能的待遇方式,下面我们来验证!
2) 场景验证
基于上面的分析,如果成立的话,那么下发短信内容中的账号密码应该是真实有效的。那我们提取账号密码,下载好鱼骨软件的客户端,直接登陆:
WTF!登录上来了,而且在组织架构下,可以看到还真就是有这个昵称的账号存在。不急,还没完。那我们尝试注册一下看看是否能成功。
我要吐槽!!!
我之前的截图找不到了,微信啊!!
我就没办法又上鱼骨注册了一遍,本来不抱什么希望了,因为这都半年了,这个问题预估早就应该修复了吧。
结果。。。。贼鸡儿扯!!!
居然还这个样,啥都没变,WTF!!!上图(昵称我就写的今天的日期)
然后,没收到短信。估计应该是被拦截了。
3. 总结
上面我的分析,已经验证了,总结一下:
- 企业OA、协同办公签名的短信,我们一直认为是安全、没有营销、零投诉的,现在看,都不保险;
- 没有什么特别的客户可以完全不设置风控策略!
代幵、禾兑敏感词库、多词规则、正则等风控策略,必须持续更新!!- 不是别人出事儿,我们没出事儿就看热闹;所有同行、供应商、运营商,只要是能要到投诉表/内容/号码的,都最大程度努力拿到,降低风控风险。谁家不小心中招了,虚心请教下什么内容、来源是谁(这个是阿里系出来的)。
