【IT168信息化】新年将至，大众消费逐渐频繁，网络不法分子的欺诈行为也开始猖獗。近日有客户举报，某网站以“我要上春晚真情回馈双重大礼包”为名发送欺诈短信，窃取用户私密信息。中国软件评测中心智能移动终端测试实验室第一时间对该事件进行了初步分析。

　　被举报的短信来源号码为18939527671，短信全文如下：

　　“您好!此号码被抽为《我要.上.春晚》场.外观众号，我们将赠送您电脑一台及现.金，请电脑访问www.cntvbb.com领取，领取码5688”

　　提示：短信中的句点可能是为了规避运营商的内容过滤。

　　直观再现行骗过程

　　短信提到网站www.cntvbb.com界面如下，它在显著位置要求用户输入“领奖验证号”：

▲图1

　　在文本框中输入短信提供的领取码5688后，点击“验证领奖”按钮，页面将跳转至身份验证页面(www.cntvbb.com/ok.htm)，并显示“验证幸运身份”进度条：

▲图2

　　浏览器随即自动转至中奖页面(www.cntvbb.com/index2.htm)，并弹出两个提示框：

▲图3

▲图4

　　中奖页面底部要求用户填写领奖资料，并一再强调该活动的合法性：

▲图5

　　点击中奖页面的“填写领奖资料”按钮，转向填写资料页面(www.cntvbb.com/txzl.htm)，其中要求用户填写手机尾号、姓名、证件号、银行帐号等多项私密信息：

▲图6

　　至此已经可以初步判断该网站意图：通过发布虚假中奖短信骗取用户银行卡号、持卡人姓名等关键信息，并根据证件号码、手机尾号等个人信息进行账户密码猜测或其它攻击行为，进而窃取用户财产。

　　在所有文本框中填入任意非空内容(如全填“1”)，点击“提交表格”按钮，即转至保存资料页面(www.cntvbb.com/bczl.asp)，显示与上文类似的进度条;计数至100后弹出“您的资料系统已成功保存”对话框，并自动跳转到领奖页面(www.cntvbb.com/index4.htm)：

▲图7

　　根据该页面的“温馨提示”，为了“领取您的惊喜大奖”，必须在1个小时内先交纳2300元“手续费”，随后细致说明了手续费用途，并提供了4个“《我要上春晚》节目指定收款银行账户”：

▲图8

　　另外，若直接在浏览器地址栏输入链接 www.cntvbb.com/index4.htm，同样会弹出“您的资料系统已成功保存”对话框并直接打开领奖页面。

　　通过上述分析可以判断该网站的最终意图：发布虚假中奖短信吸引用户注意，并假借“领奖手续费”的名义直接骗取用户财产。

　　注意，图1页面右下角的“特别鸣谢”栏并未按惯例链接到各被鸣谢单位的网站，鼠标悬停后显示的是若干人名：

▲图9

　　此外，该网站所有页面底端的诸多文本链接，包括“关于CCTV”、“CCTV.com介绍”、“站点地图”、“央视人力资源储备库”、“版权声明”、“法律顾问”等，链接地址都指向该网站自身。

　　技术分解行骗方法

　　上面提到的“领奖验证号”文本框通过一小段VBScript脚本进行控制，代码片段如下：

▲图10

　　该脚本的行为逻辑：如果输入值为5688，则跳转到身份验证页面(www.cntvbb.com/ok.htm)，否则弹出“验证码错误!”提示框;如果连续三次错误，则弹出“【系统提示】验证无效请重新输入验证码”提示框，并试图关闭该页面。

　　因此，所谓的“中奖号码”仅有5688一个“有效值”。甚至在浏览器地址栏输入链接 www.cntvbb.com/index2.htm ，就可以直接跳转到“中奖页面”，赢取“奖金￥78000元(人民币现金)与苹果公司赞助的苹果MacBook Pro笔记本电脑一部”。

　　可以分析出，身份验证页面(www.cntvbb.com/ok.htm )实际上仅仅用JavaScript计时器显示了一个进度条，当计数至100时则跳转至中奖页面(www.cntvbb.com/index2.htm)：

▲图11

　　点击中奖页面的“活动公证书查询”按钮后将转至“CCTV 我要上春晚活动公证”页面(www.cntvbb.com/gongzheng.htm)，显示了“活动法定收款人”、“公证人员”等的照片和简介，以及若干经营许可证。其中多个证件存在斧凿痕迹，这里仅举一例。“网络文化经营许可证”不仅明显经过PS，且已超过有效期限：

▲图12

　　中国软件评测中心（CSTC）已向有关部门及时举报了这一恶意欺诈行为，并在此向广大网民呼吁：网络钓鱼，愿者上钩，莫贪横财，无惧黑手。元旦、春节长假期间广大网民网络购物尽量选择正规商家消费，认真甄别卖家或其他人发送过来的支付链接和页面，切勿贪图便宜以免上当。如果不慎发生财物损失请保留好证据尽快到公安部门报案，并到银行采取进一步保护措施。