第一章. 序

日前，公安部、网安局召开全国公安机关网安部门“百日行动”，提出重拳、打团伙、断链条等口号，深入推进各项集群战，严打非法窃取、买卖公民个人信息团伙、行业内鬼和数据黑企。全力支撑重拳打击网络传销、网络贩毒、“套路贷”、养老诈骗等黑恶违法犯罪。全力支撑重拳打击电信网络诈骗、网络赌博等侵财违法犯罪。全力预警防范网上相约抢劫、绑架等行为，切实维护网络空间秩序和人民群众的财产安全。

诈骗集团是一个不断被打击但又不断新生的团体，除公安机关重点打击外，我们也要时刻提高警惕避免上当受骗。当然日常生活中我们可能不知道如何区分诈骗，针对这样的情况今天也邀请到一位多年从事威胁情报、电信反诈骗的专家，共同探讨”钓鱼邮件背后的故事”中解密在钓鱼邮件后隐藏的惊天玩法。

第二章. 钓鱼邮件分析与追踪

说到钓鱼邮件必须提到的一个问题就是钓鱼邮件是怎么来的，他怎么知道我的邮箱？钓我的邮箱目的是什么？是否对我有危害？这类问题可能一直困惑着你。但现有的信息当中很少有人会将此类信息公布，今天我们就详细和大家介绍黑产是如何获取个人信息和获取信息后会对您有什么影响、危害。下面就用其中一些案例和大家聊一聊以上疑惑。

2.1. 钓鱼邮件分析

七月初在某步的平台中，发现一条威胁情报，楼主的描述是：“情报是对国内企业、学校进行劫持，对此我们对该类的事件进行挖掘尝试找到其中的问题”。

说到钓鱼联想到的一定饵和钩，首先分析饵是什么，通过上述邮件大致分析其主要内容，为了邮件系统的安全因此要进行迁移，并且需要点击超链进行设置跳转。

点击后会跳转到下图登陆页面，其实初看登陆页面时，一个做安全的小伙伴问我：这不是内网邮箱？没有问题呀。可能也没有留意到，这个URL的前缀是192.168.5.10，看似内网地址，但地址后还有.d11h9e.cyou信息，是将192.168.5.10. .d11h9e.cyou作为域名信息、不熟悉URL的小伙伴可能会认为是内网地址，进行邮件的登陆。黑产团伙利用伪造内网地址的方式在URL前缀中加入了多级域名，如果不仔细观察，就会认为是内网地址，从而放下戒备，达到邮箱信息收集的目的。

有点小伙伴可能会存在疑问，我填写之后有什么危害吗？我的邮箱也没什么信息，盗就盗了呗。其实不然，虽然你的邮箱没有有价值的信息，但你邮箱信息的泄漏可能会危害到其他人的财产安全，发生被诈骗的事件。

2.2. 钓鱼邮件挖掘与反控

安全研究人员针对情报进行分析，通过技术反制了一台黑产主机，并对主机进行的监控。接着从主机数据层面进行分析，深入挖掘整个黑产链的运作模式和邮箱钓鱼信息的最大化利用。

从被控者主机使用者的使用习惯和主机所存的数据，发现主机的使用人员不具备前端编程和Web搭建能力，猜测主机的使用人员并非钓鱼邮件发起者。此外从桌面信息上可以看到，存放了大量的***裂变.txt；QQ打开了多个群聊窗口，显示为债权登记。那么这个人是谁？又是怎么上线的呢？

将被控主机的聊天记录dump后，搜索邮箱账户信息后发现一个问题，邮箱账户密码是在名叫“邮箱狗一号”的邮箱账号上购买的。通过数据分析，发现邮箱账号信息沟通费用挺高的，4个邮箱花费120USDT。另外也分析了整个购买流程：抛出邮箱地址->选择邮箱地址->提供账户密码->尝试登陆是否成功->成功后付款，通过该流程可以得出一个结论：在整个黑色产业链中钓鱼邮件的发起者和邮箱信息深度利用的是两拨人。

黑产组织购买了邮箱后不会翻阅邮件信息，也不会对邮件信息来进行数据收集和分析。上文截图中可以发现存在很多***裂变的字样，安全研究员下载了一份，文档中存在大量的QQ邮箱信息，并对邮箱进行了验证，这些邮箱均在P2P平台进行投资，而这些P2P平台因某种原因平台倒闭，用户无处维权，因此这类人群组织了在一起，形成了一个如何维权的群体。这类群众中混进了黑产集团的人员，这些人员对群内所以人的QQ信息进行收集，并进行二次诈骗。这是在互联网上找到的一些案例给大家进行分享：

黑产团伙收集到受害者邮箱后，是如何进行邮件投递呢？首先他们不可能注册邮箱，因为注册的邮箱会非常多，而且注册的邮箱频繁发送诱导性内容会导致邮箱被封，所以最好的方法就是购买。可以在邮箱钓鱼贩子手中购买大量与P2P平台有关联的相关邮箱信息，利用购买的邮箱进行钓鱼，即节省了注册时所需要的大量时间，又很大程度上提高了效率。这样便形成了一个供应链，一部分人员利用爬虫爬取互联网中暴露的与P2P有关的邮箱，对这些邮箱大批量发送钓鱼邮件，获取邮箱账户的密码信息，然后将获取的账号信息进行打包，形成供应链端1；另一部分是将获取的邮箱批量贩卖给黑产团伙，黑产团伙再利用这些邮箱对目标发送大量诱导内容实施诈骗，形成供应链端2。

以下是黑产团伙利用购买的邮箱，向其他维权的人员发送的诈骗信息，主要诈骗内容是：相关单位能够帮助他们拿回被套的资金：

2.3. P2P诈骗团伙追踪

这里讲为大家解一下安全研究员目前掌握的P2P诈骗团伙的工作机制，便于在生活中区分什么行为是诈骗，防止上当受骗。

上述内容已大致给介绍了邮箱钓鱼和诈骗团伙之间的合作模式，那他们加入了维权QQ群后，是如何进行诈骗的？这里安全研究员列举了相关话术，进行相关话术的分享。

首先我们需要了解维权群中诈骗团伙人员的分布情况，这里战片团伙人员会分为3类，如下：

1、客服：主要装作工作人员能够帮助大家找回资金；

2、托：他们主要是伪装成已经通过此类办法找回资金的人；

3、炸群：主要为了加强群内的气氛以及让大家相信这个是真的。

以下聊天内容中“落墨”扮演的角色是：托，目的是让其他维权人员相信这个是真的，确实有用，并且烘托气氛：

托完成工作之后，客服就会告诉大家第二轮又要开始了，之前被骗的人群看到有人成功维权，那么他们相信这可能是真的，抱着尝试的心态配合客服进行下一步操作，从而导致被诈骗。

如果有人相信了，客服会让你添加另外一个客服，添加后新客服会诱导你打开某某网站或者APP，并向添加人发送话术：某某 缴纳债转税：***元，完成后需要提交身份证图片及各种中心方便制作相关的文件使用。

收到此信息后，新客服把收集的信息递交后端人员，后端人员利用信息制作出后台登记信息，之后会生成订单信息表让受害者根据表中所提供的资金信息进行汇款从而达到诈骗的目的。

有人可能觉得自己不会上当，毕竟自己那么聪明，智商高，如果这样想那么你就错了。从本质问题进行思考，维权人员在入群之前已经被P2P盘子套出了一笔钱且无法取出，这时候的心理是急于找回这比钱，那么在维权过程中忽然收到那么一份邮件就好比在快要溺水的时候抓住了救命的稻草，本能上会去抓住它；只有有少部分人会意识到，这是骗局，但这些意识到的人是已经被诈骗了。

2.4. 诈骗团伙非法获得数据

最后，附上该诈骗集团某组半个月诈骗金额（万元为单位）的情况，以触目惊心的方式告诫大家，在生活中遇到陌生邮件或者重置密码等情况一定！一定！一定！不要相信！因为账户每一次被盗，都有可能给其他人带来严重的后果。如果收到此类诱导邮件也一定！一定！一定！不要相信。以下是相关数据，引以为戒：

第三章. 小结

加强自身防骗意识，识别喘息信息，确保财产安全。如果有遇到类似邮件，也可以在公众号后台转我们看看。

原文始发于微信公众号（Th0r安全）：深入调查揭秘钓鱼邮件背后的故事