1. HelloFresh 在主题中。我们知道HelloFresh，这是一家真正的公司。我们中的许多人都看过广告。

2. 第一个线索：我们看到的第一件事是注释：[警告：外部电子邮件]，这让我们知道电子邮件来自我们组织外部。现在，这本身并不是一个危险信号（🚩），但结合下一个提示，我们将看到它是有道理的。

3.接下来🚩是标题中有一个URL，我们在不打开消息的情况下会看到它。最明智的做法是在查看 URL 后立即删除此消息。

但是，让我们走得更远，执行 URL 剖析：

URL 不仅仅是链接的文本，而是当您在软件中将鼠标悬停在链接上或仔细查看它时的实际链接。它通常在开头有 http:// 或 https://，后面跟着许多字符。

让我们打开电子邮件：

注意：此时，可能会发送一些信息，从而导致发生一些跟踪。这是电子邮件程序阻止外部内容请求的地方。如有疑问，只需删除电子邮件即可。

如果您要单击并允许显示图片，这将是电子邮件跟踪您并可能将您定向到恶意站点所需的全部内容，该站点会将恶意软件安装到您的计算机上。

当我们打开电子邮件时，我们可以看到以下内容：

以下是电子邮件中的链接：

1. 6f0ls.r.a.d.sendibm1.com/mk/cl/f/sh/WCPzyXJTZ6uvh3QvrP9y6xLgi2qYcWFX/27nUIUOjvNIs

2. 6f0ls.r.a.d.sendibm1.com/mk/cl/f/sh/WCPzyXJTZ72il5eCDUddshVTqpjfsDrf/ljrMDEyszZR4

3. 6f0ls.r.a.d.sendibm1.com/mk/cl/f/sh/WCPzyXJTZ7AVp7rSZa7JeRfGzccn7vTn/5NmD7a849kSr

4. 6f0ls.r.a.d.sendibm1.com/mk/un/v2/sh/WCPxRrWByckTkV8CMuLDeEFjCYJFga7n/NIA03v5ecRDe

注意：要进一步进行此分析，如果您自己执行这些步骤，则需要在 Any.Run 创建一个帐户。您可以在以下地址找到该网站：https://any.run/

让我们使用 URL 分析工具 Any.Run 分析这些 URL

使用 IOC 按钮将显示 Indicators of Compromise。在基本模式下，有一个 IP 地址和域列表，如下所示：

DNS 请求
域 app.upsellit.com
域 rp.liadm.com
域 collector-905.tvsquared.com
域 u.cdnwidget.com
域 cdn.sprig.com
域 www.hellofresh.com
域 azetbd4r.micpn.com
域 dynamic.criteo.com
域 o46710.ingest.sentry.io
域 in-automate.brevo.com
域 tms.hft.hellofresh.com
域 pix.cdnwidget.com
域 insight.adsrvr.org
域 events.statsigapi.net
域 b-code.liadm.com
域 w.usabilla.com
域 consent-api.service.consent.usercentrics.eu
域 cdn.hellofresh.com 域 api.sprig.com

域 6f0ls.r.a.d.sendibm1.com
域 img.hellofresh.com
域 pd.cdnwidget.com
域 e.cdnwidget.com
连接
知识产权 34.110.220.115
IP 34.120.195.249
IP 204.79.197.239
IP 34.196.139.130
IP 34.102.193.48
IP 34.111.8.32
IP 142.250.186.98
IP 34.160.20.10
IP 66.226.1.69
IP 142.250.185.98
IP 142.250.185.70
IP 34.117.146.81
IP 34.117.121.15
IP 34.98.72.95
IP 34.98.81.245
IP 224.0.0.251
IP34.203.127.214
知识产权 18.65.39.5
知识产权 209.54.182.161
知识产权 34.149.130.207
知识产权 18.118.43.126
知识产权 108.156.60.17
知识产权 34.120.253.250
知识产权 18.66.102.53
知识产权 37.157.6.233
知识产权 108.138.6.136
知识产权 3.33.220.150
知识产权 34.117.39.58
知识产权 18.244.18.49
知识产权 35.201.111.240
知识产权 13.32.27.67
知识产权 52.222.206.19
知识产权74.74.119.117.16
IP 178.250.1.9
IP 35.241.3.184
IP 35.190.14.188
IP 178.250.1.11
IP 79.125.6.101
IP 18.244.18.44
IP 178.250.1.13
IP 3.228.185.195
IP 34.128.128.0
IP 2.19.96.19
IP 23.211.8.232

IP 172.64.155.99 IP 104.18.38.216

IP 104.18.37.70 IP 1.179.112.195
IP 224.0.0.252

这封电子邮件似乎是一些做得不好的联盟营销。通常，在这些安排中，诱使我点击链接的人最终会从链接中获得任何销售分成，试图获取有关我的信息很可能是一种糟糕的伪装。但是，正如您可能能够猜到的那样，这些位于不同 IP 地址的网站中的任何一个都可能受到损害。

HelloFresh 接受联盟营销人员作为合作伙伴。

但是，让我们看看这些网站中是否有任何一个为我们提供了任何数据：

我会随机选择一些 IP 地址并将它们放入 Any.Run 中

这是我们在IP 3.33.220.150上提出请求时出现的情况

我们到达一个没有安装安全证书的 Web 服务器。通过单击“高级”选项卡，然后继续访问该站点，我们可以获得与不安全的 http 页面的实际连接。这是 404 Not Found 错误，这意味着没有显示任何内容。

这很好地表明了一系列称为“中间人”攻击的攻击。没有安全证书这一事实表明网络只是为了将流量转发到下一个主机。

如果我们想继续分析，我们可以简单地选择另一个 IP 地址，单击重新启动按钮，然后运行另一个分析。让我们再做一个。我选择了 b-code.liadm.com 域，但我本可以像上面一样轻松选择其中一个 IP 地址。

这个有一个 XML 文件，它提供了，但没有其他内容。

这很容易只是一个服务器，用于记录有关联盟营销人员的一些信息或转发 URL，甚至用于协商一个用户与两者之间的中间点之间的安全连接。问题是我们不知道正在收集和报告哪些信息。对用户没有透明度，这应该是一个巨大的🚩.

至此，我们完成了对此垃圾邮件的分析。当您查看上面的 URL 列表以及 IP 地址和域列表时，请记住这一点。这些系统中的任何一个都可能受到恶意软件的破坏，恶意软件可能会在您的 PC 上安装某些软件、收集某些信息或作为不良行为者发送请求。你不知道的东西肯定会在这条路上的任何地方伤害你。

另一方面，为什么使用像 Any.Run 这样的服务是安全的？

这些请求不是来自您的网络，而是来自世界另一个地区的不同网络。

系统使用虚拟机。执行请求时，首先看到的是虚拟机初始化，但实际上看不到任何内容。Windows VM 正在启动、加载操作系统并准备发送请求。它是完全孤立的。这就像一台机器的全新实例，它只存在几秒钟来处理您的请求，然后就消失了。

我们可以使用其他服务来扫描我们的 URL，并向我们提供有关链接安全性的报告。它被称为检查网络钓鱼。CheckPhish（位于 https://checkphish.bolster.ai/）为我们提供了有关链接和用于处理请求的服务器以及来源国的一些信息。

另一个可以使用的网站，还有其他几个网站，但 NordVPN 维护了一个链接检查器工具。可以在 （https://nordvpn.com/link-checker/） 中找到它，下面显示了我通过该工具运行链接时收到的报告。