十年安全老鸟差点被一万移动积分忽悠诈骗

-- 开始 --

8月最后一天，夏日明媚，一整片蓝天挂在头顶，心里头放松愉悦，又是幸福的一天。

上午9点54分，赶在上班迟到最后几分钟坐到了工位上，嘿，又没迟到，真棒。

习惯性拿起手机，趁着最后几分钟，收拾一下心情，打开抖音，准备好迎接新一天的工作。

突然，久未出现的短信，突然弹出了消息，晃眼的数字一万，像闪电一样射入我的视网膜，还有这好事？

“12800”，“最后一天”，“全部失效”，“尽快点”等充满诱导性的词汇，差点让我打开心防，点开链接。

幸好，安全从业者的底线拦住了我， 不要随便点开未知链接 。

所以，我稳了一手，找到了移动app，输入账号，发现，靠，哪来的一万的积分啊，骗子！

好的，基本已经确认了，诈骗网站。

虽然已经收到很多类似的短信，但这真的是我第一次差点信了。

哦，其实，开始我是真信了。

...

所以这次，我准备看看这个网站究竟是搞什么的，neng它。

当然，我不是web安全方向（黑客）的，我干不掉它，我只能找找它的底。

-- 然后 --

首先打开电脑，打开浏览器，打开隐身模式，输入网站3g1.cn/3McUbc，打开了，还真像那么回事，做的挺精致。

简单浏览了一下，产品页面、兑换页面、地址、支付页面，非常全面。

（不建议普通用户打开看，谁也不知道网站是不是会利用一个漏洞来进行攻击，打开可能就中招）

看下方还有订单管理、个人中心等等，甚至还有客服。

支持微信和支付宝支付，抓包可以拿到两个公司的支付相关的id，进而应该可以找到对方身份。

当然我肯定找不到。

网站做的这么好，别真是移动公司的啊，为了确认这一点，我查看了网站证书。

然后找了移动网站的证书。

颁发者不同，但都是真的，也不能说a.3g5g.cn不是移动网站吧，所以这个好像也确认不了啥。

那继续，我找客服聊聊。

应该接入的第三方客服系统，感觉很专业。

问我要电话、订单。你不知道我是谁吗？

嗯，她肯定不知道，因为网站我没有登录，没有身份，另外抓包发现我填的地址等信息也没有发到后台，应该是暂存在本地的，所以后台也有我的记录。

既然你要，我就给你吧，我随便找了个靓号，发给了她。

哈哈，玩嘛。

看到这个网站叫做今日兑，找度娘看看有啥信息。嗯，好像我不是第一个人。

然后搜索网站域名：a.3g5g.cn，看到了这样的信息。

回答中第一条说不是诈骗网站，严重怀疑是他们网站自己刷的。

看看其他回答是啥样的，群众里还是有很多有识之士的。

然后也有V2ex的讨论。

通过站长工具搜索域名，找到相关注册信息。

居然还是有名有姓的注册公司，公司信息如下：

我只能说够专业，难怪网站做得那么好，别人就是专业做这个的。

谷歌可以搜索到不打码的联系信息，有兴趣的专业人士可以再挖挖。

根据公司名，又搜到一些其他信息，黑猫投诉、其他博主揭秘。

搜索引擎大概也就能找到这么多东西了，性质也基本可以确定了。

也尝试了一下其他方法，看看能不能做更多的，但是目标团队很专业，服务器是阿里云，我这半吊子web水平，作罢。

最后啊，啰里啰唆这么多，除了想确认这个短信算诈骗（至少是虚假）短信外，其实就是想总结这么几点，希望对大家有帮助，也是老生常谈：

1. 但凡短信让打开链接，不管多么像，多么专业，多么诱惑，千万别去弄。如果确实想知道有没有这回事，打相关客服电话咨询，不要打短信中的电话。

2. 如果万一打开网站，需要输入账号、密码、银行卡等，想都不要想，关了。

3. 现在各个公司都有专门的官方网站、app，如果任何东西想确认，直接手机自带应用商店下载公司app，或者百度搜索官网，后缀会提示官网，如果百度不可信，尝试使用必应或者谷歌。

4. 不贪小便宜，不遇大骗子 。

如果觉得文章有用，欢迎转发给更多人看到，帮助他们避坑，谢谢。

最后的最后，还有点疑问，这样的公司怎么能够存在？明目张胆的注册了，难道管不了吗？有懂的朋友解解惑。

诱导消费、虚假积分...难道不算问题？

（完）