黑貓宅急便詐騙簡訊

今天早上才剛在某店買了書，傍晚簡訊就寄過來了。通知簽收的簡訊內文似乎很正常，我一開始不疑有他，就用電腦開了連結，也真的連到黑貓宅急便的首頁，直到查了單號沒結果才驚覺中了招，稍微深入了一下發現這詐騙其實很聰明啊…

注意：請勿開啟內文所有連結以免中毒。

首先看看詐騙簡訊各種細節。

• 內文：
  

  ○○○您有一件包裹簽收單電子憑證請查收。包裹號：0000000000 黑貓宅急便 http://goo.gl/fgBJgK

  沒有提到要錢、還是信用卡等等問題，似乎是很正常的到貨簡訊？

• 發訊人：國內手機門號 +8860933XXXXXX

我於是檢查 http://goo.gl/fgBJgK 究竟會轉址到哪去，結果得出 http://211.44.3.186/44/index.php (位在韓國的IP位址)，而這個網址會看 User Agent，我分別拿了電腦與手機的瀏覽器 UA 進行測試。

電腦版：直接轉址到黑貓網站。

wget --user-agent="Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)" http://211.44.3.186/44/index.php
--2014-04-27 18:44:02-- http://211.44.3.186/44/index.php
Connecting to 211.44.3.186:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.t-cat.com.tw/ [following]
--2014-04-27 18:44:02-- http://www.t-cat.com.tw/
Resolving www.t-cat.com.tw... 61.57.227.173
Connecting to www.t-cat.com.tw|61.57.227.173|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified
Saving to: `index.html'

[ <=> ] 57,521 --.-K/s in 0.06s

2014-04-27 18:44:03 (952 KB/s) - `index.html' saved [57521]

手機版：直接送上一隻 Android/TrojanSMS.Agent.ADK 的 APK。

wget --user-agent="Mozilla/5.0 (Linux; U; Android 2.3.3; zh-tw; HTC_Pyramid Build/GRI40) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" http://211.44.3.186/44/index.php
--2014-04-27 19:13:57-- http://211.44.3.186/44/index.php
Connecting to 211.44.3.186:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: /44/show.php [following]
--2014-04-27 19:13:57-- http://211.44.3.186/44/show.php
Reusing existing connection to 211.44.3.186:80.
HTTP request sent, awaiting response... 200 OK
Length: 236823 (231K) [application/octet-stream]
Saving to: `show.php'

100%[======================================>] 236,823 255K/s in 0.9s

2014-04-27 19:13:58 (255 KB/s) - `show.php' saved [236823/236823]

MD5: show.php 68bae1335c8bbefb3bb21877e05258d3

所以這是一隻專打 Android 的詐騙手法，沒用 Android 手機還讓你以為簡訊通知很正常。

這是告訴我要繼續死守 GSM 的意思嗎… XD

現在黑貓的首頁已經有警告「提醒您！由於黑貓宅急便發出的簡訊通知皆不會有任何連結…」，對照 ESET Virus Radar 的初次偵測時間落在 2014-04-25，算是反應很快？

相關報導：上網繳電費ing？新款詐騙簡訊正流行 | 即時新聞 | 20140421 | 蘋果日報