钓的一手好鱼

admin
admin
admin
104378
文章
87
评论
2022年2月28日20:35:17评论93 views字数 2114阅读7分2秒阅读模式

本文来自真实的乌云白帽追踪钓鱼行为的过程,希望企业与各位能重视这种看似“弱智”的钓鱼攻击,“姜太公们”设下的陷阱远比我们想象的缜密、恐怖。另外附上几个白帽子反黑的案例,看看到底有多少人会受骗中招。


如果你认为钓鱼攻击就是做个假登录网页,写封欺骗邮件这么简单,那只能说明你 too naive ... 问题源自上周末乌云君的一次较大规模的钓鱼攻击预警:

钓的一手好鱼

这个是钓鱼邮件原文(没错吧,应该很多人都收到过。在梦里~在梦里见过你~)

钓的一手好鱼

想了解为啥钓鱼信息都这么“弱智”,并且还有人飞蛾扑火?!请看这里 为什么诈骗短信看上去那么弱智?(http://www.guokr.com/article/303539/) 简单来讲钓鱼者的目标不是精明的对手,而是最low的队友。


微博上乌云君接到了很多网友的反馈并且分析出了几个信息点:

沈**:有同事已经中招了..

yan***_***:上个月收到了,还真有同事上当。上当原因非常经典,某领导收到,立马转发提醒大家这是欺诈邮件别信,结果那谁说他没认真看,以为领导叫他回复一下。我彻底无语

chy***:这都好久了吧… 我们这至少一个月前就有人收到过了


  • 这伙钓鱼攻击很久了

  • 确实有人中招

  • 分析结果这个钓鱼横跨了国内互联网多个行业、领域以及从业人员。


因为邮件钓鱼成本极低,所以我们会经常收到类似邮件,但等等!以上似乎是很正常的事儿啊,钓鱼邮件垃圾邮件你收到的还少么乌云君,敏感过头了吧?白帽子敏锐的直觉告诉我们,这次碰到有趣的大家伙了,接下来才开始本次的正文。


---------萌萌哒分割线---------


白帽子和乌云君都发现发给自己的钓鱼邮件的头信息中原始发件者都是真实的邮件地址与服务器,比如:

钓的一手好鱼

很可疑不是么,明明伪造了地址为啥还有真实邮件地址呢?经过白帽子的分析发现,原来这位“姜太公”居然 控制了一大批政府、互联网企业的合法邮箱,利用这些合法邮箱与服务器向外界发送钓鱼欺诈邮件


这么做到目的猜测有两点:

  • 可对该企业内部进行深入的渗透&钓鱼攻击(来自你老大的邮件你信不信?)

  • 利用真实的企业邮箱绕过反垃圾规则(不会进入多数邮件系统的垃圾箱)


思路缜密啊,但是“姜太公”是怎样控制这些企业邮箱的呢?可以大量获取可利用的邮箱有个捷径,那就是批量扫描弱密码。在密码框输入 123456 后,登录成功了...(哎,当初为啥非得买阿根廷)


答案目前已经被揭开了一角,就像新婚之夜掀开了伴郎,啊不新娘盖头一霎那的鸡动,因为在这个邮箱内果然 发现数以千计的已发送钓鱼邮件!!

钓的一手好鱼

数量足有上千封,这仅仅只是几个小时内的接收量(投递失败的系统退信或邮箱自动回复数据进行模糊判断)。从时间间隔、退信以及自动回复比例保守估计,该犯罪团伙已使用这个邮箱发送了至少上万份钓鱼邮件(仅一个邮箱哦,该犯罪团伙所掌握的弱口令企业邮箱应该远远不止这一个)。


从海量的退信邮件内容中分析发现这些邮件都是发给了各种网站管理员、企业员工、各类政府网站邮箱等,种类繁多。

钓的一手好鱼

钓的一手好鱼

这些邮箱都是通过搜索引擎批量获取的,被加入列表进行钓鱼欺诈,目标对准攻击企业内部OA系统。乌云君会继续关注该钓鱼攻击事件影响,同时将信息与证据提交给相关处置机构进行处理,希望能得到已受影响的企业用户列表并且进行告知。


反思这个事件暴露出的一些问题:

  • 企业邮箱存在大量的弱口令账户,很容易被扫描得到

  • 离职人员邮箱未能注销,管理混乱出了问题也不会被发现


企业邮箱在不知不觉中泄漏的自己的内部机密,也成了他人的帮凶,参考一些乌云上因企业邮箱安全导致的影响的案例吧,问题由来已久。


本文感谢 西安零日网络科技有限公司 的网络安全专家 核攻击(核总/乌云白帽子)联合 乌云漏洞报告平台 发布的预警内容。


附上乌云一些有趣的反追踪案例,真实的证明了会轻信此类钓鱼的人决不在少数!

  • 揭秘道哥黑板报里那个骗子网站

http://zone.wooyun.org/content/13597

没错,就是道哥黑板报提到的那个钓鱼站点被白帽子揭开了面纱,受害者不少啊

钓的一手好鱼

  • 探秘短信马产业链

http://drops.wooyun.org/tips/789

钓的一手好鱼

  • 揭秘诈骗千万人民币的团伙及具体位置分析

http://zone.wooyun.org/content/3023

钓的一手好鱼

  • 淘宝卖家遭钓鱼大量店长中招(钓鱼后台揭秘)

http://www.wooyun.org/bugs/wooyun-2013-034374

钓的一手好鱼


“太公钓鱼,愿者上钩。” 希望此类钓鱼问题大家可以奔走相告,特别是本期提到的“OA升级”系列钓鱼攻击,任何人都有可能受到影响。企业也可以管理好自家邮件系统,莫被他人利用作恶。乌云君也会继续关注互联网各方面安全问题,及时为大家预警。


本文只是节选白帽子整个技术分析过程中的点滴,完整内容请点击左下角【阅读原文

钓的一手好鱼

---------------------------------------------

网站:http://www.wooyun.org

微博: http://weibo.com/wooyun2

微信: wooyun_org

知乎专栏: http://zhuanlan.zhihu.com/wooyun

联系邮箱: [email protected]

本文始发于微信公众号(乌云漏洞报告平台):钓的一手好鱼

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月28日20:35:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   钓的一手好鱼http://cn-sec.com/archives/486381.html

发表评论

匿名网友 填写信息