揭秘伪装成交易学院的钓鱼骗局:从Reddit到滥用报告
一名初级安全研究员在Reddit上发现了一个关于可疑“交易教育”骗局的帖子,受害者被诱骗进行小额交易,随后骗子试图盗取其资金。调查目标是审计网站begini.ltd,收集其基础设施证据,并启动下架程序。使用的工具包括Kali Linux(Nmap、FFUF)、OSINT和Revoke.cash。
该骗局是典型的“杀猪盘”诈骗:
- 诱饵:虚假工作机会或“免费培训”。
- 预热:转移小额资金以模拟盈利。
- 陷阱:显示请求无限授权(ERC-20 Approve)的屏幕,授予骗子对钱包代币的无限访问权限。
前端分析:数据钓鱼
在网站的源代码中,发现了一个注册表单:
<form class="register-form" action="send.php" method="POST">
该表单通过POST以明文形式将全名、电话号码和Telegram账号发送到send.php。服务器响应302状态并立即重定向,以最小化受害者在页面上的停留时间。
在Network Tab(F12)中,cf-cache-status和cf-ray等标头表明使用了Cloudflare。数据收集未加密——典型的“数据收割器”。
主动侦察:Kali Linux上的Nmap和FFUF
转向Kali Linux工具进行端口扫描和目录模糊测试。
Nmap:端口和服务
nmap命令显示:
- 端口80(HTTP)和443(HTTPS)开放。
- 证书由Cloudflare Inc ECC CA-3于2026年2月签发。
- 端口8080和8443存在异常——可能是管理面板或代理。
横幅抓取显示“Crypto Trading Academy 2025”——在2026年已过时的模板。
FFUF:目录模糊测试
ffuf模糊测试器发现:
- success.php(200,约5KB)——一个带有JS脚本用于重定向的“终端”。
- PHP端点,确认了PHP后端。
- 被阻止的/admin/和/config/目录(来自Cloudflare的403响应)。
基础设施是标准的PHP钓鱼工具包,位于Cloudflare之后,具有非标准端口和仓促设置的迹象。
提交滥用报告和下架
整理了一份档案:截图、网络日志、Nmap/FFUF结果。向Cloudflare提交了报告(报告ID:6d27e144bc7f8061)。收到事件确认,基础设施开始被下架。
关键要点:
- ERC-20中的无限授权是代币盗窃的主要途径;通过Revoke.cash检查权限。
- Cloudflare不会自动阻止钓鱼——滥用报告是有效的。
- 异常端口(8080/8443)常揭示钓鱼工具包中的管理面板。
- FFUF和Nmap是逆向诈骗基础设施的基本工具栈。
- 过时的模板(横幅中的年份)是大规模活动的标志。
给中级/高级专家的建议
审计类似骗局时:
- 使用FFUF配合common.txt等词表进行目录测试。
- 使用Nmap的-sC -sV参数进行脚本和版本检测。
- 检查网络中的明文流量。
- 记录cf-ray以便在滥用报告中追踪。
总证据超过10MB的截图和日志,加速了服务提供商的响应。
— Editorial Team
暂无评论。