最近看到一篇关于淘宝钓鱼木马的文章:网购被盗案件频发,谁是幕后黑手?,膜拜以后整理了以下的东东。下总结为“两个凡是,两个警惕”:凡是淘宝交易过程中文件传输都拒绝接受,凡是淘宝交易过程中的链接都拒绝点击;在交易过程中时刻警惕不要相信卖家的巧言令色不慎运行不明程序后出现错误提示或程序消失活不出现操作界面应该马上中止交易,输入支付密码应警惕输入支付密码前务必检查订单详情(确认商家,宝贝名称,卖家ID,价格等)尽量使用支付宝进行代付,区别商家名称(印象中淘宝站内的绝大多数都可以使用支付宝代付功能,可能手机费等业务是直接到账。而外部商家一般是直接到账,最危险的就是这个直接到账)。
在下收集的淘宝钓鱼木马文件关键词:
“宝贝详情”、“价格实物图”、“说明详细”、“商品细节图”、“实拍图”、“实物图”、“实物图详细介绍”、“实物细节图片”、“细节图”、“优惠码注册”、“淘宝优惠码”、“优惠码购物”、“购物优惠码”、“专柜实物图”、“秒杀活动介绍”、“宝贝明细”和“售后协议”、“代购声明”、“库存清单”、“三包服务政策”
错误提示关键词:
“文件已损坏”、“打开失败,不支持此格式”、“无法查看该文件,获得更多帮助请查看windows帮助!”
Part I: 淘宝钓鱼木马案例篇
1.新建淘宝店铺藏污纳垢,北极光的上当(这种我看是骗子专门注册用来钓鱼的)。
网民北极光最近在商场里看上了某著名品牌的羽绒服,标价1480元。为了节省开支想到网上代购,在淘宝网她看到一个用户名叫“guobingron”的卖家可以代购这件羽绒服(淘宝店是新开的,各种信息也比较详细),价格只要576 元。和卖家取得联系后,卖家发给“北极光”一个名为“实物图.rar”的文件,说里面有衣服的详细说明和商标照片。接收件打开,电脑提示“文件已损坏”。
次日登录淘宝网发现,交易未完成,但是银行卡少了576 元,联系卖家时,卖家和店铺已经“人间蒸发”。
关键词:新建网店,网上代购,1480->576(便宜近千元),实物图.rar
2.消失的卖家,潜伏在电脑中的钓鱼恶贼(这种主要是用来传播钓鱼木马潜伏到用户电脑)
李女士在淘宝网上欲购买服装,通过淘宝网搜索引擎找到一家价格较优惠的卖家,并与店主在网上聊天咨询。卖家提出要发产品的细节图给我看,我接收了,打开时发现图片有损坏,无法打开,她说我的电脑没有装ISEE文件,看不到图片。由于交流不顺,我选择了另外一个卖家”。 她通过网上银行给另一个卖家付完钱后,刷新交易,发现状态仍然是等待买家付款。经查看,3000元被划入一家网络技术公司。
关键词:价格较优惠,细节图,图片有损坏,交流不顺
3.三钻卖家“藏祸心”,网友泣爆新骗术(这种在我看来似乎是店主的淘宝被盗号了)
淘宝用户hellocicicat 看中一件欧时力的毛衣,店主圣装部落是三钻卖家。这个卖家以近三折的超低价吸引客户,当时也是鬼迷心窍明知不可能那么便宜,于是询问卖家相关情况,我才问了一句关于这个商品的话。卖家马上说我发细节图给你看,当时就有些怀疑,接受后发过来的是压缩文件,图片打不开,发来的是个程序,于是发给我朋友的电脑上让她看看,她也打不开。卖家说打不开就算了,只要货号没错就没关系。
于是我马上跟卖家说我不买了,他马上将该物品下架。我朋友听见我打了招行电话,马上查询她的账户,她今天晚上正好在支付宝有一笔交易,但由于我把图片发给了她,其实她所有交易都是打入ID为圣装部落发来的病毒所设置的账户。她查询后发现,钱没有打入支付宝而是直接打到了中国移动通讯集团湖南有限公司,可能是买了手机卡。245块钱,但该商品仍然显示未付款。
关键词:超低价,细节图,打不开
Part II 淘宝钓鱼木马滔天骗局篇
1.钓鱼木马撒网:找卖家过程中那无法抵御的诱惑
搜索看了一些案例每个例子似乎都告诉我们一点,发生情况的店铺似乎都很慷慨,近千元的优惠,超值三折等等,相信很多人都无法拒绝如此的优惠(比如在光棍节的时候,因为忍受不住5折的优惠在下也买了一双鞋满足下自己的捡便宜的欲望)正是因为牢牢抓住了我们贪图便宜的心理,骗子们迎合我们的心理,在淘宝无数店铺中撒下大网,专门勾引我这种可怜人。
2.钓鱼木马入侵:与淘宝卖家交流过程中那些虚无的花言巧语
对于掉入网中的小鱼儿,骗子们通过各种借口(更详细的宝贝细节要不要了解下,宝贝实物图片让你有实际抚摸的感觉,你看我们可是有商品专业授权的要不要欣赏,我不相信爷的货是真假货,上专柜正品证书,我这里有优惠码要不要?)以各种方式进入你我电脑,然后千方百计要求我们运行,它们的最终目的只是我的钱包。
(1)它们都有一个理直气壮的好名字
“宝贝详情”、“价格实物图”、“说明详细”、“商品细节图”、“实拍图”、“实物图”、“实物图详细介绍”、“实物细节图片”、“细节图”、“优惠码注册”、“淘宝优惠码”、“优惠码购物”、“购物优惠码”、“专柜实物图”、“秒杀活动介绍”、“宝贝明细“和“售后协议”、“代购声明”、“库存清单”、“三包服务政策”...一个个看上去童叟无欺的文件名称
(2)它们都有一副好皮囊
一般淘宝钓鱼木马后缀名都打包成rar,zip之类的压缩文件,解压以后里面包含scr、exe可执行文件,值得注意的是这些钓鱼木马为了迷惑我们的眼睛一般采用gif,bmp,jpg等默认图片格式图标作为程序图标,一不小心你就中招了。
(3)以错误的名义掩盖真相
运行这些淘宝钓鱼木马以后,如果看不到真相(比如宝贝图)买家可能就心生疑惑不再进行交易,试了下绝大多数样本运行以后都会提示“文件已损坏”,“打开失败,不支持此格式”,“无法查看该文件,获得更多帮助请查看windows帮助!”等错误提示。一般这种情况下我们可能就放松警惕,中招就理所当然。
3.偷梁换柱之计:支付过程中商家被替换
淘宝钓鱼木马入侵系统以后,会监控你的浏览器是否正在进行淘宝交易,一旦发现你正在进行淘宝交易直接后台篡改商家名称,将其转移到上海新华传媒电子商务,中国移动通信,网之易等三方交易平台,从而将你的钱变成钓鱼者自己的钱(通常他们通过游戏点卡,充值卡之类的方式进行洗钱)。
(1)入侵以后马上进行工作
(2)创建启动项目开机常驻系统后台监控(小样除非你不要网购)
Part III 淘宝钓鱼木马防御篇
1.抵御诱惑
始终相信天上不会掉馅饼,购物的时候可以搜索下卖家的风评(建议淘宝论坛,百度搜索双管齐下)。如果单纯的说拒绝优惠,拒绝打折不太现实,不过对于超级优惠,超级便宜,超级打折的就请留个神吧。
2.交易过程中拒绝任何文件传输,任何的网址点击从上面的案例中我们清楚的看到,所有骗局必须通过一种手段将病毒木马引入电脑,因此在交易过程中拒绝接受任意文件是必须的。
3.谨慎检查订单详情
从目前我看到的案例看淘宝钓鱼木马的主要目的是破坏交易流程将原始商家篡改成自己自定义的商家,因此在最后支付过程中确认下订单是否正常是必须的,同时交易尽可能使用支付宝代付功能,如果可能请开启支付宝手机服务 。
4.开启安全软件保护功能
可以减少风险。