这个短信是骗子还是真的？

我也收到了，点去过看域名，应该是假的

短信放网址的大概率是诈骗

这个后缀太山寨了

@liushuangbill #1 但是 si.12333.gov.cn 这应该是 g0v 网站吧，被拿到了解析？

gov.cn 也能山寨么？

已经跳转反诈了

https://12333.gov.cn/
正常你选择四川他域名也不会出现 si 。

而且正常网站是得有 www 还是 https 的，他这个是 http 的。

从普通逻辑上讲, 医保卡不会有这种让人上网站的操作. 绝大多数人玩不明白这个.

用手机 ua 访问就是诈骗的，用电脑浏览器 ua 就跳转正常的

@manami #2
@wd #5
@memedahui #6
@seeyisee #7

是的，我老婆一开始也觉得是骗子，但是她点开之后 发现跳转到 gov.cn 的域名，就去填了信息[二哈][二哈][二哈]

@Ansen #12 我们普通人都是市医保，很少有省医保的。

@Ansen 晕，即使觉得真的也不能贸然填信息啊，应该问问公司的人事啥的先

这域名看着像真的，换我很可能会相信。

看来以后还要验一下 https 证书。

@Ansen 如果是电脑看清楚链接填的信息登录我觉得应该没问题，你可以试试用手机打开假网站让你老婆看看有没有这两个框的填写印象

协议没加密，有些容易被劫持

电脑打开应该官方网站，填了也没问题，浏览器换成手机模式就是跳转诈骗网站了

@zsxeee #17 手机她没填，在电脑看到是 g0v 的才填了信息

http://hhxluido7skrbl3vtj3sfd.n.f17y.ws/c.html#/ 跳到这了

@Ansen #3 看起来是 si.12333.gov.cn 域名下有个 open url redirect 的漏洞

真是神奇，第一次看见这玩意实际应用

@zzz0xxx 忽略上条，我看漏了 ret_url 接的内容

我之前也收到了 直接提交了诈骗短信举报

哪位大佬给他数据库塞点东西。

大佬给它个自动死循环脚本，让它瘫痪了吧，为民除害。。

添加了几条测试数据进去，发现已经排到 3300 多号了，不知道多少人的钱包被掏空。

可以找到程序信息（ TP 5.0.24 ），通过试错 API ，可以获取明文的源代码，看这粗糙的代码，应该有机会 xxs 或者爆破。

http://rfjukl3b.n.f17y.ws/index/newapi/newuser

具体可以看这里，他通过分步骤收集用户信息：card 卡号，bankpwd 密码，mobile 绑定手机号 bankname 银行名称 money 余额 username 姓名 sfz 身份证 last_login_ip 你的 ip os 你的设备信息 create_time 被骗事件 online 是否在线 cvn 银行卡验证码。。。

楼主，这个后台怎么扒出来的？

@lekong9 猜的

@Ansen #29 怎么猜到 fajwo16dqp5 这个前缀的？

如果他们真的发短信，可以去爆破他们的短信接口

curl 'http://miguwn5acroe6azuginub.n.f17y.ws/index/newapi/codecishu?uid=3508' \
-H 'Accept: */*' \
-H 'Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh-TW;q=0.7,zh;q=0.6' \
-H 'Connection: keep-alive' \
-H 'Cookie: uid=3506' \
-H 'DNT: 1' \
-H 'Referer: http://miguwn5acroe6azuginub.n.f17y.ws/c.html' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Edg/101.0.1210.53' \
--compressed \
--insecure

对着后台随便刷了两下 gateway 就挂了