由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)
前言
近期单位邮箱收到了几封可疑的邮件,通过分析得出可疑邮件的主题涵盖:薪酬变更、工作待办、退税、补助申领,整体套路都是通过扫描附件二维码,跳转到钓鱼站点,诱导用户一步一步输入信息,以达到获取个人敏感信息或实施欺诈行为的目的。
下面以其中一封邮件为案例展开测试![一次钓鱼邮件的探索]( "一次钓鱼邮件的探索")
分析测试
下载附件,因为怕做了捆绑或者结合了啥新颖的攻击技术,因此先把附件丢到微步看看,应该问题不大
解析附件中的二维码得到域名http://xxx.com![一次钓鱼邮件的探索]( "一次钓鱼邮件的探索")
利用模拟器打开后跳转到如下网址,且查无备案http://xxx.com![一次钓鱼邮件的探索]( "一次钓鱼邮件的探索")
全球ping得到ip地址,居然没CDN,微步解析可以看见2名X社区用户标记此IP地址为钓鱼
域名2024-05-20注册的![一次钓鱼邮件的探索]( "一次钓鱼邮件的探索")
网页显示如下
点击申报,提示输入姓名和身份证,这也是惯用的诈骗分子钓鱼惯用的套路了,然后提示你输入银行卡、手机号、卡余额,然后数据发送到诈骗分子的后台,诈骗分子根据信息的价值再诱导受害者发送相关验证码,从而导致转账等操作。
具体打法就不阐述了,绕过某WAF通过某处的xss漏洞获得了管理员的cookie![一次钓鱼邮件的探索]( "一次钓鱼邮件的探索")
http://a.a.ssvxxxxxxx.com
可以看到后台记录用户输入的卡号、身份证、绑定卡号的手机号,且可以实现对用户卡号的控制,接管验证码等操作
![一次钓鱼邮件的探索]( "一次钓鱼邮件的探索")
辨别和防范钓鱼邮件
1、验证发件人的身份:始终验证邮件的发送方。仔细检查发件人的电子邮件地址,注意拼写错误、不寻常的域名或额外的字符。攻击者可能使用类似的名称或看似相同的域名来欺骗受害者。
2、小心处理链接和附件:在点击邮件中的链接之前,将鼠标悬停在链接上并查看目标网址是否与邮件内容所述的目标网站一致。请注意,攻击者可能会使用伪装链接,将真实的目标网址隐藏在看似合法的链接文本之后。同时,在打开邮件附件之前要谨慎行事,确保你信任发送者,并核实文件类型和内容是否符合预期。
3、保护敏感信息:对于要求提供敏感信息(如密码、银行账号等)的电子邮件要谨慎处理。合法的组织通常不会通过电子邮件方式要求提供敏感信息。如果收到此类请求,请通过其他渠道(例如电话)与组织进行确认。
4、警惕紧急情况:钓鱼邮件通常会制造紧急情况,以促使受害者迅速采取行动。这种压力战术旨在让你没有足够的时间仔细思考和验证邮件的真实性。避免被这种紧急性驱使,要冷静地评估邮件内容的真实性。
5、注意拼写和语法错误:注意邮件中的拼写错误、语法错误或奇怪的语句结构。钓鱼邮件通常会包含这些错误,因为攻击者往往不会花费太多时间来校对邮件。
6、启用多重身份验证:强烈建议单位人员启用多重身份验证(MFA)。这样即使攻击者获得了你的密码,也需要额外的验证步骤才能登录你的账户,提供了额外的安全层。
7、提供培训和教育:向单位人员提供培训和教育,使他们了解钓鱼邮件的类型、特征和风险。教授如何辨别可疑的邮件和潜在的欺诈手段。
8、定期监测和审计:实施监测和审计措施,以便检测和跟踪潜在的钓鱼邮件活动。尽早发现并快速应对可以减少潜在的损害。
原文始发于微信公众号(CTS纵横安全实验室):一次钓鱼邮件的探索
网页显示如下
评论