近日，360安全大腦收到1688電商平臺賣家反饋，稱有人偽裝成平臺客服，打著交易的幌子盜取資金，短短几分鐘內被盜金額就高達49000元，經過排查，幕後黑手竟是一款偽裝成“啟用工具”的木馬。

一般我們網上購物時，一旦填錯地址或購買數量，會跟賣家溝通要求更換新地址或者取消之後重新下單。這原本只是一個正常的交易往來過程，但卻正是本次支付木馬事件的源頭。

①盤踞在買賣交易中間的“官方客服”

在上述買賣交易過程中，拍錯商品的買家在二次下單時，會聯絡賣家說下單失敗，顯示錯誤。同時，黑產團伙的另一個賬號偽裝成1688電商平臺的“客服人員”來聯絡賣家，並欺騙賣家其關閉交易的行為導致店鋪賬戶和買家賬戶均被鎖定，需要新增“客服人員”的QQ來處理。

“關閉交易的行為導致店鋪賬戶和買家賬戶均被鎖定，請自行新增工作人員進行解除”

​

前腳關閉了顧客交易訂單，並且還收到了來自使用者的“無法下單“反饋，“客服人員“後腳就來通知賬號鎖定情況，經過這樣一番裡應外合的”釣魚操作“，賣家自然信以為真，接下來便一步一步的落入了圈套。

新增“客服”QQ號後，“客服”一般會要求賣家通過QQ語音電話交流，這樣就可以不留下任何文字性的聊天證據，之後“客服”再提出通過QQ遠端協助的方式，“幫助”賣家解鎖賬號。

​

“客服”在QQ發來一個所謂的“啟用工具”，告訴賣家需要通過“啟用工具”來解鎖賬戶，事實上這個啟用工具就是導致受害者上當被盜超額資產的關鍵木馬。

②駐守在虛假網站上的“支付木馬”

當信以為真的賣家在電腦上執行該“啟用工具”之後，首先會顯示支付寶登入頁面，黑產團伙引導賣家退出已登入賬號並用手機掃碼重新登入。

​

登入支付寶賬戶後，“啟用工具”會顯示賬戶資訊，黑產團伙則會引導受害賣家點選工具左上角的啟用按鈕開始進行支付跳轉。

點選完啟用後，“啟用工具”會彈出一個提示，催促賣家儘快完成支付進行賬戶啟用：

​

接著“啟用工具”會跳轉到一個付款介面，該介面的支付訂單連結實際上是程式剛啟動時就從遠端伺服器生成並獲取得到的，此時由於視窗大小的限制無法看到具體付款產品的資訊，只能看到待支付金額1元，此金額並不是實際訂單金額，而是“啟用工具”的障眼法，通過顯示虛假的小額支付資訊迷惑受害者，使其放鬆警惕進行支付，實際上受害者支付的訂單金額可以上千甚至上萬。

從下面的支付連結我們就能看到該訂單的實際支付金額為“20000.00”（2萬）元。

​

③迷失在釣魚詐騙中的受害者

就在我們對“啟用工具”分析的期間，該黑產團伙仍然還在實施詐騙，並且不斷有新的受害者出現。如下所示是兩例從“啟用工具”訪問的遠端伺服器發現的已支付交易連結。

​

黑產團伙屢屢得手，並非沒有緣由。從假意購買到偽裝客服，受害者上鉤之後，明修棧道、暗度陳倉，利用虛假網頁誘騙賣家主動支付鉅額費用，整個詐騙過程可謂環環相扣，幾乎毫無破綻。

為了掩人耳目預防萬一，黑產團伙並不會直接向自己的支付寶進行轉賬，而是會購買各大購物平臺的虛擬儲值卡（如噹噹、網易嚴選等）和網路遊戲貨幣（如網龍遊戲幣、光宇幣等），並生成隨機的大金額支付寶訂單。下圖是“啟用工具”遠端生成的其中一個噹噹禮品卡付款連結，該交易訂單實際上需要使用者付款9000.00（9千）元。

​

此外，平臺賣家缺乏安全意識也是黑產團伙屢騙屢勝的一個重要原因。其實，若受害賣家在輸入密碼前更加慎重一些，比如檢視一下手機支付寶的賬單，也能夠發現此交易訂單背後的陷阱，下圖為上述訂單對應在手機支付寶上的實際賬單。

​

在此，360安全大腦提醒廣大使用者，遇到自稱官方人員主動聯絡自己的時候，首先要通過官方聯絡方式去確認對方的身份，切勿輕易相信；同時可下載安裝360安全衛士，攔截各類釣魚網站病毒木馬，保護個人隱私及財產安全。

當下，網路技術激盪全球，世界發展的底層邏輯正在重構，物理世界與網路世界的邊界逐漸消失，高速發展的網路在給人們提供無限便捷的同時，也成了新威脅的沃土，網路犯罪、網路詐騙正藉此機會野蠻生長，網路安全正在面臨全所未有的挑戰。360作為國內最大的安全廠商，憑藉過硬的技術實力與資料積累，正在不遺餘力為萬物智聯的大安全時代保駕護航。

附錄

SHA256

C&C