# 關於最近DC常出現的釣魚網站調查 ## 事件起因 前幾天就有朋友因為帳號被盜所以廣發了似乎有問題的DC群連結被我小調侃一下 然後今天!! 就是今天2024/2/27號又給我遇到一次，但這次真的太生氣了 我本來好好的在溫暖的床上做著美夢逃避上班的現實的時候，就在早上6點有個大聰明tag everyone群發釣魚連結 我直接被20則訊息提醒給震醒，沒錯，是震醒╰（‵□′）╯ >千萬不要在睡覺的時候把手機放在枕頭邊🫠 >[name=羽澤] 直接強制起來面對現實 真的太氣了，反正有個免費樣本送上門來，基於職業病所以決定來小調查一下 ## steam假50美禮券網站調查 就是這大聰明 發了一個看起來挺正常的steam網址  但滑鼠移上去後可以看到顯示真正的網址  因為DC支援markdown語法，所以可以透過幫網址命名的方式來對釣魚網站進行偽造 markdown語法如下 ``` 50$ from steam [steamcommunity.com/gift/765614019083521115](https://go-link.ru/mp6NV) @everyone ``` 取得釣魚網址後丟到any run讓他跑看看 可以看到假的steam登入頁面，然後祝你新年快樂送你錢 還很貼心的放QR給你掃描登入  真的是處處透漏著詭異 然後仔細查看網址可以發現他網址裡面多混雜了一些不該有的字 網址如下： `steamcommujity.com/gift/765614019083521115` 正確的網址應該是 `steamcommunity.com` 沒錯 他把`n`換成了`j` 這是釣魚網站常用的手法，讓使用者不能一眼就發現異常，進而直接上當 這是釣魚網站所連線的IP  這兩組IP都是Cloudflare的反向代理CDN   >可惡又是這種託管的伺服器嗎，沒辦法追蹤反打(X >[name=羽澤] 不管點頁面上哪個連結都會出現新的彈跳視窗叫你登入  >啊啊啊 被擋了，我真的謝謝 >看來這個網站背後的人還是有在看嘛，他知道我是用沙箱了 > > >還敢用nginx 1.18啊╰（‵□′）╯ >直接開始怒找exploit(X --- 這邊為了方便分析封包所以轉用虛擬機了 Burp走起 他彈出登入的新視窗後，如果隨意點擊畫面上其他連結都會讓網站壞掉  大概就像這樣  因為他這頁面的連結導向是導到正版steam的，但steam並沒允許他導過去，所以出現refused to connect  然後我這邊用了隨便打的帳號密碼看看他是怎麼運作的 但是被說帳號密碼錯誤  其實我一開始以為就是那種拙劣的工具包釣魚網站，讓他抓使用者輸入過來的帳號密碼而已 >沒錯我說的就是你 [setoolkit](https://blog.51cto.com/u_12633149/3700121) >[name=羽澤] 但發現抓他的封包，可以看到他有透過OpenID去做帳號驗證  對封包進行URL Decode的結果  >OpenID是一個去中心化的網上身分認證系統。對於支援OpenID的網站，使用者不需要記住像使用者名稱和密碼這樣的傳統驗證標記。取而代之的是，他們只需要預先在一個作為OpenID身分提供者（identity provider, IdP）的網站上註冊。OpenID是去中心化的，任何網站都可以使用OpenID來作為使用者登入的一種方式，任何網站也都可以作為OpenID身分提供者。OpenID既解決了問題而又不需要依賴於中心性的網站來確認數位身分。 > >[OpenID Wiki](https://zh.wikipedia.org/zh-tw/OpenID) 寫的蠻詳細的，這邊簡略帶過 這邊的重點是他帶入了 * `checkid_setup`：使用者使用訪問依賴方站點的同一個瀏覽器窗口與身分提供者伺服器互動。 推測是因為這樣所以他才會彈出一個額外的視窗 然後我就去用免洗信箱搞了一支新的steam帳號看他在搞甚麼鬼 輸入了之後過他的驗證就登入成功了 信箱收到來自莫斯科的登入訊息  接著畫面跳轉到了steam guard的驗證 正常使用二步驟驗證是要用steam guard登入沒錯  這邊看信箱收到了steam guard的驗證代碼 但其實仔細看看他的英文怪怪的  翻譯後原來是荷蘭文啊 然後可以看到這是修改steam登入資訊的驗證碼  輸入之後就進入了一個說連線有問題的頁面，叫你稍後再試 好狠 那個Retry還是假的，點爽的，連封包都沒送出去  之後發現信箱收到steam帳戶被改email地址了  然後就登入不進去了LUL  >又有多少個天真無邪的小朋友從此失去了他們的遊戲帳號ㄋ😏 >[name=羽澤] ## 結語 現在釣魚網站騙帳號的狠心程度刷新了我的認知，要不然就是我以前碰到的太溫和了(X 也是啦，因為這種直接把你東西改光光的方式就是為了防止你把你的帳號拿回去 帳號接下來的歸屬，我猜應該就拿去做販賣或是用來開外掛之類的吧，看帳號內有的遊戲類型 然後很多人會一組信箱、帳號密碼用在很多地方，所以被盜走會牽連到很多其他平台 出事了記得要把全部有在用的東西密碼都改一改 結論，人還是不要太貪心，然後點任何連結記得要好好查看是否怪怪的哦😘 啊 還要記得多看看信箱信件，如果是習慣用手機的同胞我覺得應該是不會顯示這麼詳細 ## 同場加映. 上班不可以看的壞壞Discord連結(未完成) 順便連朋友那時候傳的東西一起調查好了 所以我又辦了一支新的Discord帳號 但非到萬不得已是先不會去用到他 這是這次的樣本連結  其實他是真的網址沒錯，看了所有的封包及做對比之後並沒有發現怪怪的地方 惡意DC連結  正常DC連結，謝我大餐哥(X  >不要把一些東西隨便公布出來，就是有我這種拿別人東西做實驗的壞人(X >[name=羽澤] 覺得DC很奇怪，我明明沒有登入帳號，他卻要我用手機做驗證 算了，先直接登帳號試看看 對於他是真正的DC邀請連結我挺困擾的 現在是上班RRR，我怕真的出現怪東西啊 驗證了兩次之後出現了無法接受邀請的提示 其實他跳第二次驗證我就覺得怪怪的了，但抓封包感覺連結都沒問題  然後我的DC就跳要驗證email的訊息了，可是我驗證不了啊 不知道為啥他官方寄給我的網址都不能導向  ㄇㄉ Discord  我不會要在我的虛擬機裝DC吧，但他是Linux啊( 身邊又剛好沒有windows虛擬機 結果好像是outlook的問題 我..用免洗10分鐘信箱再註冊一隻好了... 看看過不過的去 `-------------------重辦了不知道多少隻帳號之後-------------------` 辦一隻帳號他讓我驗證機器人不下5次了 到底是我分不清楚蘋果跟兔子，還是recaptcha分不清楚蘋果跟兔子(  >那換我幫你辦帳號看看 >`---用10分鐘信箱辦帳號後---` >靠背他是要我點多少次蘋果跟兔子 >[name=被困在蘋果兔子牢籠中的BR] >結論，不要用10分鐘信箱辦帳號，好像會被暫時歸類成免洗帳號機器人( >[name=再過了兩天後辦帳號成功的羽澤] 目前我無法利用任何手段註冊discord，所以只能先暫時看看這名reddit用戶所給的分析  https://www.reddit.com/user/Discord_QR_PSA/comments/vre9mv/qr_code_psa/ `-------------------放了個假之後------------------` 結果知道為啥不能驗證帳號的問題了，原來是被AdGuard擋住了... 不要亂擋啊喂( 反正現在可以繼續了 好的我們現在成功混進來了，結果他連結怪怪的，要直接在DC裡面貼連結加入才行  進來之後他就會跟你說要看瑟瑟圖要驗證，然後下面有個Captcha.bot的機器人給你驗證 但這個機器人跟正常官方認證機器人之間有貓膩，從下面兩張圖可以分辨得出來 這是他提供的假霸  這是通過官方認證的真霸  差別在於他有沒有勾勾 被認證的機器人是有勾的，在這以另一個知名機器人MEE6再做一次展示 他是有勾勾的  然後這邊的對照組是我自己無聊寫的拉機BOT  可以看到自己寫的BOT並沒有驗證，所以不會有那個勾勾 好的，下面我們繼續 這機器人會跟你說點擊驗證來證明你是人類 笑死我還不能跟他Why?，你程式沒寫好啊喂:)  那我們只好驗證了 等等他兩個按鈕都交互失敗，WTF? 他是程式掛了哦 我不會要裝他的應用程式吧😐 還好Linux可以裝DC `sudo dpkg -i discord-0.0.43.deb` 還是不行，才發現他的BOT現在是關的，不是，你要騙人也起碼讓他運作吧 可惡，只能被迫在這裡終止了嗎，虧爛 好吧，看來剩下只能等我找到另一個一模一樣手法的假伺服器，或是等人送樣本上門了