按上一篇博文中提到的计划,我应该在这篇博文中叙述电信手机号卡带给我的恶劣体验。但是,最近遇到了一件事,涉及到二维码“钓鱼”,我决定先把这件事情写出来,以警示大家,二维码不一定安全,请不要轻信。如何进行断定?请看下文。
首先,我讲述一下这起二维码“钓鱼”事件的经过。
在一个QQ群中,有人发了一张所谓“联通青春卡”的广告,酷似以往联通宣传的风格,下方有一个二维码。扫码进去之后,会弹出所谓的套餐介绍页面,点击“立即申请并邮寄到家”会进入个人信息填写页面,下方有要求上传身份证正反面照片的选项。网页外观与联通官方申请新号码的页面极其相似。
一开始引起我警觉的有两点:第一,联通官方申请新号码,是可以选择号码归属地及号码的,从未有过号码与归属地随机发放的情况;第二,联通官方申请新号码时,在手机网页端不需要上传身份证正反面,而是收到卡以后按程序激活时才会上传身份证正反面,外加手持身份证照片。后来又改成了持卡人亲自前往营业厅或代理点激活。
几个小时后,我又研究了一下这个所谓的“青春卡”。我用Firefox手机浏览器扫码,发现打开的网址并不是联通的官方域名,其域名也与联通不相吻合。而是一个叫“快付”的名字。我直接进入这个二级域名,或进入根域名,发现打开的页面都是“快付”的登录页面,且没有注册功能。这说明它与联通没有任何关系。
图1:广告页面(1)
图2:模仿联通的页面
类似的,在这个QQ群中,还有人发布多个类似的广告。我再找出其中的一个典型进行分析。
图3:广告页面(2)
打开之后的页面,与“青春卡”的申请页面完全一致(见图2)。其域名,与上面那个域名不一样,但是,它与联通同样没有任何关系。
甚至,还有一个更神奇的网站。它会让你先选号,而且号码看起来都不错,选中号码以后,再进入填写信息页面。该页面与上述页面对比,除了归属地和号码显示的为事先选择的号码,其他页面元素均完全一致。
再看它们的“入网协议”,文字叙述笼统,甚至还有错别字。图4中可以看到明显的问题,截图范围外的区域也有问题。
图4:所谓的“入网协议”
至此可断定,这些页面均为假冒的,很有可能是用来收集真实身份证正反面的钓鱼网站,甚至还收集真实的收件地址及电话号码。这些信息如果拿到黑市去卖,如果收集的信息足够多,是可以卖到好价钱的。曾经与某些人讨论信息被卖的事情时,有些人不屑一顾的说:“你的信息能值多少钱?谁能卖你的信息?”如果按价格算,平均每个信息的价格可能不高。但是,它的拷贝成本很低,可以重复被卖;而且,买信息的人,如果将其用作不当途径,给你带来的损失可不是用金钱能够衡量的。
为何很多人不容易鉴别它是个虚假网站呢?
二维码不是人发明的,但在特殊的网络(隔开)管(隔开)制之下,在把二维码推广开来的,却是的威信。一开始威信有了扫码功能,很多人便用威信扫码。这些人将此写入潜意识,并执着的认为,只有它才能扫二维码。后来,和它有同一个爹的软件也有了扫码功能,某宝也有扫码功能。其他软件,如部分浏览器,也有扫码功能。但是,在这些人的世界里,只有威信和它的亲兄弟才能扫码。
这便出现了一个严重的问题。威信及其兄弟,以及某宝,扫了二维码之后,会利用其内置的浏览器打开二维码中的网址,并且:无法看到这个网址的具体地址,只是显示了这个网页的标题。有独立博客建设经验的博主应该知道,这就是<title>
和</title>
之间那部分。因此,通过这种方式,无法根据具体的网址判断网页的真实性。
用浏览器扫码就不一样了,它可以看到真实的网址,可根据域名来判断网页是否真实。如果某些域名,无法直接看出是否是官方域名,也可以根据域名的拼写来判断。当然,有些钓鱼网站的作者会注册与官方域名拼写类似的域名,此时可根据域名的whois信息来判断。如果这些域名是在的注册商注册,由于的注册商几乎全部下线了隐私保护服务,因此可根据whois信息来判断该域名是否是官方域名。
举例说明一下。移动花卡宝藏版,在wx的官方号里,设置的申请地址的根域名是cmicrwx.cn。通过whois信息,该域名注册人是“中移互联网有限公司”,邮箱是“手机号@139.com”。于是可以判定,该域名是移动的官方域名。而那些所谓的联通号码申请页面对应的根域名均非联通的官方域名。
可是,说了这么多,还是无法改变很多人“只能用威信及其兄弟扫二维码”的潜意识。因此,注定还会有更多的人被骗。
除了这个因素,还有一个因素也是导致被骗的原因:贪图小便宜。这些所谓的联通互联网套餐,名字为“青春卡”、“冰神卡”、“疯牛卡”等,看起来月租低、流量多,确实吸引眼球。实际上都是被虚构出来的套餐。我是不是也可以虚构一个:联通大象卡,月租29.9元,流量29.99T/月。(斜眼笑)图小便宜吃大亏,这句话永远不要忘记。
74 条回复
我大概推断一下,这个不是联通官网的宣传
这个应该是联通某代理商自己做的一个
当然不排除钓鱼的嫌疑
一般陌生二维码还是不要去扫的好
代理商这个我推测过。这个不太可能,因为代理商的话用自己的系统就可以,或者由联通提供页面,不太可能尽可能模仿联通官方页面还这么粗糙。
我没写进文章中的一个更搞笑的事,就是:所谓的电信日租卡,点进去以后的申请页面还和文中图2一样,给你来个“联通保障你的……”
那估计就是钓鱼网站
有可能。
不明确的二维码要用浏览器去扫,以便看到真实的网址;短网址要复制到浏览器打开,或者利用还原工具还原。这样才能保证安全。
主要还是大部分上网者缺乏基本的网络信息辨识能力,再加上网络服务提供者的愚民理念,那么悲剧的故事就有了发生的可能。
是的,说的很对。因此,还是要利用我提到的方法来保护自己。吐槽一下那些软件的内置浏览器,隐藏网址只能助纣为虐。
就是,还是要眼见为实才行!毕竟国产app的作风实在不敢恭维,搞不好就成了网络巨头的肉鸡。
我的建议是,关注公众号申请,或者工信部直接投诉换套餐。另外这样的知名卡所使用的域名多为公司域的二级域。
查了一下截图中的域名,都和联通没关系,因此这种就没有可信度了。
这几年见识了太多的套路,所以现在我比较极端干脆不用不理不看。唯一使用的功能是用微信在商店超市里面付款(微信聊天群聊什么的我是不用的),这个确实方便,但不认识的二维码坚决不扫。很早我就知道他们会收集用户信息,所以手机主卡我现在都不使用了,改用副卡了…世界从此安静。
这样太好了。我们的信息不仅成为精准营销、让我们多花钱少得到实惠的工具,而且成为了让我们沉迷于网络的利器。某些人的人心不可谓不毒啊。
微信扫码出来的页面下拉可以看到真实网址的,像这种一般是CPA性质的单子,通过他的邀请二维码成功开卡能获得一些收入提成。不过不排除收割信息的,不过我没见过,办新卡太麻烦,现在套餐10G高速流量,用完限速但不收费,约等于无限流量
这种应该不是代理商的吧,我的截图中有网址,一看什么快付,什么wifi伴侣,我没截图的还有什么韭黄科技。如果是代理商,可以利用自己的跳转码,跳转到官网申请,而他们明显是伪造了页面。
二维码不过是一段信息。写个网址在那里,估计90%的人一看域名不对劲根本就不会点。换成二维码就有了隐蔽性。工信部既然管那么宽,我觉得它应该出手,对各种公共的收费的企事业单位进行白名单保护。移动运营商只有三个,水电气采暖公积金什么的更是国有的,不存在保护不过来的情况。就是不作为!
不过呢,这种饵也是针对很多人不满自己的套餐而下的。像我笃定了市面上不会有比自己用的更便宜的套餐的,就不会上这种当了。
有些东西,即便是真的,你看起来便宜,用起来发现并没有省下钱,反而被“培养”并改变了使用习惯,这种改变只是对商人有利,很多人为他们高唱赞歌,殊不知是被卖了还帮人数钱。于是乎,这种假冒的页面也诞生了,如今身份证正反面能做的事情太多了。这也直指人心。
感谢提醒。这个玩意儿估计能骗到不少人。
不客气,小心为是,买手机号码、修改套餐,还是要去官方渠道。
29.99T/月,我看笑了,就算是真实运营商的活动我也不相信
哈哈哈,我是讽刺一下某些人的“贪欲”
就担心长辈不懂这些。
长辈可能对手机套餐没啥感觉,然而以二维码打掩护的其他骗人方式,他们可能就会中招了,前提是会用智能手机。
我看到过很多这种的,一般我会习惯用浏览器再打开看看链接。
这样做是对的。
嗯。现在有些钓鱼网站做的真的逼真,之前还看到一个就是QQ网址的钓鱼网站,这个真的就以假乱真了。
我记得只有在QQ中打开才会让你填写密码,其他地方打开则是其他页面,这是针对特定的UA了,这种就防不胜防了。