分析“假冒”工行网银的骗人伎俩

昨天我的Gmail邮箱收到了一封来自Customer@icbc.com.cn的邮件，打开一看，是通知我帐户有问题，需要登陆确认，截图如下：（点击看大图）

在cnbeta也有人报告收到同样邮件，看来又是一个网银骗子无疑了。让我来揭露一下骗子的伎俩，提醒更多的人小心受骗。邮件中的链接地址指向http://ideacom.agora-system.com/icbcc.html，该域名的whois查询结果如下：

Domain Name: AGORA-SYSTEM.COM
Registrar: INITIAL ONLINE LIMITED
Whois Server: whois.initialesonline.net
Referral URL: http://www.initialesonline.net
Name Server: NS0.AGORA-SYSTEM.ORG
Name Server: NS1.AGORA-SYSTEM.ORG
Name Server: NS8.AGORA-SYSTEM.ORG
Name Server: NS9.AGORA-SYSTEM.ORG
Status: ok
Updated Date: 27-oct-2006
Creation Date: 11-dec-2003
Expiration Date: 11-dec-2007

Owner-id: HA3
Owner-name: HAMEL Arnaud
Owner-organization: AGORA system
Owner-street1: 70 Impasse de changis
Owner-city: Moissy-Cramayel
Owner-postcode: 77550
Owner-countrycode: FR
Owner-phone: +33.687223837
Owner-fax: +33.170725654

Admin-id: HA3
Admin-name: HAMEL Arnaud
Admin-organization: AGORA system
Admin-street1: 70 Impasse de changis
Admin-city: Moissy-Cramayel
Admin-postcode: 77550
Admin-countrycode: FR
Admin-phone: +33.687223837
Admin-fax: +33.170725654
Admin-email: dns@agora-system.net

可以看出，域名属于法国巴黎的叫做HAMEL Arnaud的人，不过，点击后网页被直接转向了地址http://eller-web.net/online/mybank.icbc.com.cn/icbc/perbank/index.html,其页面跟工商银行几乎完全一致，甚至链接都可以直接链接到官方主页非常具有迷惑性。

该域名的whois查询结果如下：

Domain Name: ELLER-WEB.NET
Registrar: ASCIO TECHNOLOGIES, INC.
Whois Server: whois.ascio.com
Referral URL: http://publicwhois.ascio.com
Name Server: NS3.EDNS.DE
Name Server: NS4.EDNS.DE
Status: clientTransferProhibited
Updated Date: 10-oct-2006
Creation Date: 20-aug-2001
Expiration Date: 20-aug-2007

Registrant:
Martin Eller (MARTINEL345)
Franz-Kreuter-Str. 2

Koeln, , D-50823
Germany
Domain name: eller-web.net

Administrative contact:
Eller, Martin (ME1267)

Franz-Kreuter-Str. 2
Koeln, , D-50823
Germany
Martin.Eller@gmx.de
+49 2215694697 Fax:

Record created: 2005-07-12 15:11:42
Record last updated: 2005-07-24 20:11:28
Record expires: 2007-08-20 17:33:00

域名属于德国人Martin.Eller，看来罪魁祸首就是他了。当然，不保证其注册信息的真实性。不过，鉴于邮件也使用英文写就，黑手来自国外的可能性是很大的。

回头来看网页的问题究竟在哪里，经过分析，发现钓鱼网页与官方的唯一区别是表单提交的action字段，钓鱼网页的代码是

而官方网页则是：

懂得网页代码的很容易看出，表单一旦提交便会提交到action之后的字段，此时，你的帐户和密码就已经丢失了。

正在作上述分析的时候，竟然再次收到同一地址发来的邮件，只不过这次的银行名称变成了中国银行。（点击看大图）

我顺便又查了域名的归属：

Domain Name: JOHN-BAXTER.NET
Registrar: INITIAL ONLINE LIMITED
Whois Server: whois.initialesonline.net
Referral URL: http://www.initialesonline.net
Name Server: NS12.AGORA-SYSTEM.ORG
Name Server: NS13.AGORA-SYSTEM.ORG
Status: ok
Updated Date: 28-oct-2006
Creation Date: 30-apr-2004
Expiration Date: 30-apr-2007

Owner-id: VG1
Owner-name: Voevodsky Grégoire
Owner-street1: 15 rue Emile Lepeu
Owner-city: Paris
Owner-postcode: 75011
Owner-countrycode: FR
Owner-phone: +33.619786153

Admin-id: VG1
Admin-name: Voevodsky Grégoire
Admin-street1: 15 rue Emile Lepeu
Admin-city: Paris
Admin-postcode: 75011
Admin-countrycode: FR
Admin-phone: +33.619786153
Admin-email: dns@agora-system.net

仍然是一个巴黎人，不过，域名虽然与之前不同，可是显然可以推测是出自同一个人的，不过很“遗憾”的是，邮件作者由于马虎大意，邮件中的链接再次指向了http://eller-web.net/online/mybank.icbc.com.cn/icbc/perbank/index.html工商银行网页，不由得鄙视一下！

debugger还是要提醒大家注意网上银行的安全，其实上面这些欺骗伎俩技术含量并不高，只是保存了银行官方页面的源代码生成了静态页面而已，而官方的网页都是jsp结尾的，但如果不仔细，就很容易被骗。要记住两点：
1.银行与客户交流，不可能使用邮件的（当然，寄账单除外），一般是直接通过电话。
2.登陆网上银行一定直接通过官方域名，不要通过其他链接。

有了这样的防范意识，应该就可以保证不受骗了。

[12.08更新] 上述中国银行的网页已经更新了，看来骗子还在活动中，很勤奋的在工作。这次转向了页面http://www.moniot.net/online.boc.cn/cn/html/ebank/personal.html，仍然是与中行官网一模一样，真可恨啊，大家有兴趣去看他的网页的话千万不要输入信息。另外，打开其主页http://www.moniot.net/可以看到他模仿的其他银行网页，其中有香港的星展银行、NDB(National bank of Dubai)。不知道有没有人受骗，不知道除了我有没有人在追踪他们？