事件背景
近期频繁收到借贷短信,且均为不同借贷平台短信头
怀疑为诈骗钓鱼网站。搜索引擎发现有类似的案例
文章的结论是:在发送初期,链接可能指向诈骗分子的虚假页面,而随后则可能改为正规平台的链接,以此混淆视听,使受害者难以分辨
那么我们也来简单分析一波,看看“诈骗分子”的“诈骗”逻辑
分析过程
对最新收到的十余条短信里链接进行手机访问
发现均跳转了到官方借贷平台,未发现跳转至诈骗分子的钓鱼页面
整理下借贷短信中出现的域名
通过whois查询和情报分析网站综合分析,发现都有以下共同点:
1.域名都是3位cn域名,2个字母加1个数字
2.域名whois注册人名称均为某相同地级市h市科技公司
3.域名whois查询注册人邮箱都是jm**@**ang. cn,此域名同样为h市的科技公司
4.域名均为X云注册
因此可确定,不同借贷短信跳转链接的域名均为同一注册公司
既然域名均为在X云注册,我们尝试查询域名相关注册邮箱
发现十余个域名在X云上,均为hou**@**eng. com邮箱注册
至此发现关键信息,**eng. com域名为h市大数据营销公司
且官网首页明确介绍,主要业务为用户画像、精准营销等
此公司客户为各大yh,各大金融借贷公司
分析结论
此类型借贷短信跳转链接并不是钓鱼网站
在收到此类短信前,我刚申请了xyk,没过几天就收到了大量借贷平台短信(此前从未注册过以上借贷平台)
大概率是h市大数据营销公司与yh、借贷平台合作,较强针对性的批量短信营销行为
啊