说到伪造95188支付宝官方号码发送虚假短信,套取银行卡密码的诈骗方式,今天我们要说到的另一种:更加低门槛、低科技、低成本的 —— 伪造来自支付宝的官方邮件,让你见识,如今成为一个诈骗份子是如何的轻而易举。
本文为安全警示文章,请勿用于非法用途!
先来看一封邮件,这是我们模拟诈骗份子发出的,注意“发件人”已经伪装成了来自“支付宝”官方。
尊敬的用户xxx您好:
系统检测到您的账户刚刚在异地(广东,广州)登陆,请确认是否为您本人操作,如非您本人登陆,请及时修改密码!点击以下链接立即修改密码:http://www.alipay.com/security/changePass/ * “修改密码”的链接网址,也就是劫持用户的虚假网址,表面上可以确实是alipay的官方域名,但点击后实际链向一个高仿的山寨域名,例如a1ipay.com等的诈骗链接地址。 假装是阿里巴巴客服
2020年4月1日 * 以上是一封伪造来自“支付宝”官方邮箱地址的测试邮件!
如果警惕性不高,轻信了发件人信息上“[email protected]”或是“[email protected]”的字样,就信以为真,以为真是来自阿里巴巴支付宝官方的提醒邮件,那么就危险了!
同时,邮件中让你修改密码的链接地址,完全可以是真真确确支付宝的域名,然而背后的链接却是可以任意修改的隐向跳链。
如果它跳链到一个叫 a1ipay.com 的山寨网址,相信没有很仔细的人,也不会注意到a之后是数字1,而不是字母l,鱼目混了珠。
如果打开的这个页面,完全100%高仿,跟付宝官网长得一模一样的界面,那么你可能也不会注意到是一个山寨的页面。
而当你往输入框里填入“原始密码”、“确认原始密码”、“修改后密码”之后,那么你的密码这时候才真的是危险了。
当然,以上举例支付宝只是随意做个比方,因为昨天我们介绍的短信诈骗,对象也是支付宝。
注意发件人的邮箱地址“[email protected]”,只要不法份子愿意,他们还可以改成任意他们想要伪装的邮箱,@cctv.com也可以,或是这其它银行的、民航的、铁路的……
其它的电子邮件诈骗场景,你也可以随意想象得到几个,伪装Apple官方的,伪装公司领导给小王小张发邮件要机密信息的……
而这其中所需要的
“技术”门槛实在是低得可怜,以至于我们今天犹豫再三,是否需要要把这么小儿科的骗术专门写出来?修改电子邮件的发件人信息,甚至不需要任何软件,直接一段代码就可以。
老编把完整代码也附上,有兴趣的可以自行研究了解一下,详见第二篇,还是那句话, 请勿用于非法用途。
愚人节到了,如果世界上的欺骗都是这么毫无恶意的,那该多好啊!
閱讀更多 吉安公安 的文章
