以下内容撰写于2014年6月26日上午,由于时间精力关系,当时只写了一半,搁置了大半个月,后来在乌云的一个帖子中发现了一模一样的大规模钓鱼行为(帖子内容见底下)。
在乌云疯狗、长短短等朋友的强烈建议下,将这篇文章整理了出来,由于过了大半个月,有些细节、逻辑已渐渐模糊、混淆,经过了一段时间的整理(可以看到文中穿插有不同时间的点评),进行了收尾完善。
这是一个精心策划的、大规模的、针对国内企业OA系统的批量钓鱼攻击行为!
同时,这也是对国内企业邮箱、OA系统大规模钓鱼攻击的一个预警!
具体预警见之后西安零日网络科技有限公司网络安全专家核攻击(核总)联合乌云漏洞报告平台发布的预警内容。
(喜欢看核总逆向追踪、反向爆菊、跟踪分析类文章的同学,请翻到最底下。)
事件分析:
1、钓鱼者事先在互联网采集了大量企业、网站管理员、政府网站人员的邮箱地址。
2、钓鱼者事先在互联网扫描了大量存在弱口令的企业邮箱,进行大量钓鱼邮件群发(可以不进入垃圾箱)。
3、钓鱼者使用这些企业邮箱对采集到的邮箱地址进行大量钓鱼邮件群发,内容基本一致。
4、钓鱼者注册了几个域名,专门用作钓鱼收信。
5、这是一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件。(APT攻击?)
6、目前尚不明确钓鱼者目的何在。(撒大网钓大鱼的节奏?)
以上分析来自西安零日网络科技有限公司网络安全专家核攻击(核总)。
0x01 意外收获
核总早上收到一封钓鱼邮件,实际上每天都能收到一大堆钓鱼邮件,烦不胜烦,但是这封邮件比较有意思,跟随核总简单的分析一下它~
先来看看钓鱼邮件内容:
邮件明文内容:
关于EMIS邮件服务升级的通知 1.根据相关用户和员工反映:邮箱容量不够日常使用,邮箱登录使用存在卡顿的现象! 2.为保证邮箱系统的稳定运行和正常使用,现在需要对部分邮箱进行升级测试! 3.请收到此邮件的员工将个人信息发送到OA邮箱系统维护邮箱:[email protected]格式如下: 姓名: 职位: 员工编号: 登陆地址: 邮箱账号: 邮箱密码: 原始密码: 电话和短号: 备注:本次升级检测为期7-15天,为此给你带了不便的地方,敬请理解。为保证顺利升级,在接受到结束通知之前,请不要修改账号密码,谢谢配合! ________________________________ 保密声明:本邮件及其所有附件仅发送给特定收件人。它们可能包含(**)电力规划设计研究院的内部信息,秘密信息,专有信息或受到法律保护的其他信息。未经许可,任何人不得进行传播、分发或复制。此声明视为(**)电力规划设计研究院的保密要求标识。若您误收本邮件,请立即删除或与邮件发送人联系。
内容看起来挺一本正经的么,钓鱼收集的信息挺全的么,括弧笑~
0x02 抽丝剥茧
为了方便理解,我们从上往下按顺序分析吧(注意红框中的内容)。
1、[email protected],是一个以日期命名的、伪造的、不存在的域名。
2、u3354@(******).com,百度了一下域名,是:(**)电力规划设计研究院,(**)核电、SNPTC,www.(******).com
目测寡人和这个(**)核电研究院木有任何关系,目测钓鱼者看寡人网名是核攻击,就弄了个(**)核电的邮箱增强真实性(也有可能只是为了用个正常域名,让邮件不进入垃圾箱?)(2014-7-14 18:10:08 补充:证明这个猜想正确!)(不排除(**)核电域名已被搞下,见后边的分析~)
继续看~
3、[email protected],域名看起来挺正规的么,呵呵,先收集起来稍后分析,括弧笑~
4、红框中的内容:“……本次升级检测为期7-15天……在接受到结束通知之前,请不要修改账号密码,谢谢配合!”,请不要修改账号密码?Just 呵呵~你这后期渗透工作,动作也太慢了吧,居然需要7-15天,寡人一般最多一两天就完事了~
5、最底下的红框中的内容“……它们可能包含(**)电力规划设计研究院的内部信息,秘密信息……” ,应该是邮件系统模板自带或页脚附加内容,制式化发送。
再来看看邮件原文(原始数据):
Received: from WebsenseEmailSecurity.com (unknown [***.***.202.227]) by bizmx6.qq.com (NewMx) with SMTP id for; Thu, 26 Jun 2014 07:40:26 +0800 X-QQ-SSF: 005000000000000000K000010420600 X-QQ-mid: bizmx6t1403739626t7xszqhfx X-QQ-CSender: u3354@(******).com X-QQ-FEAT: h0yizCkM5mMZ/tU/FDOZge7cwU1MZMYVkeLy/yM35Sk= Received: from GH-ML-05.(******).com (unknown [172.17.1.9]) by Websense Email Security Gateway with ESMTPS id D2940D569E7 for ; Thu, 26 Jun 2014 07:40:24 +0800 (CST) Sender: Message-ID: From: To: Subject: =?utf-8?B?5YWz5LqOT0HnmbvpmYbljYfnuqfnmoTpgJrnn6U=?= Date: Thu, 26 Jun 2014 07:40:08 +0800 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_0957_01B53497.13B65610" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.5512 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512 X-Originating-IP: [113.111.200.115] ------=_NextPart_000_0957_01B53497.13B65610 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: base64 5YWz5LqORU1JU+mCruS7tuacjeWKoeWNh+e6p+eahOmAmuefpQ0KDQoxLuagueaNruebuOWFs+eU ...... ------=_NextPart_000_0957_01B53497.13B65610--
从邮件原文头中能提取到很多有价值的信息,比如邮件发送者的IP地址:
***.***.202.227 中国北京市 电信
经过 IP 反查,确认这个 IP 地址为 “(**)核电” 邮件服务器的IP地址:mx.(******).com(***.***.202.227),该 IP 地址目前可以 Ping 通~
(提示:(**)核电官网域名,www.(******).com(***.***.202.225),以及视频会议服务器:***.***.202.232,和邮件服务器都在一个c段的。)
也就是说,熊孩纸使用(**)核电的邮件服务器发送的,So,该服务器上会有登陆及发送日志,So~上门爆菊抓人~你懂的~
0x03 初探虎穴
在官网看了看,发现了一点(**)核电网络基本构架:
***.***.202.225(www.(******).com),(**)核电官网 ***.***.202.226(mail.(******).com),企业邮箱 ***.***.202.227(mx.(******).com),邮件服务器 ***.***.202.230(vpn.(******).com),移动办公 ***.***.202.232(***.***.202.232),视频会议
可以看到企业邮箱登陆域名,So,如果使用熊孩纸的账户“u3354@(******).com”登陆邮箱会如何呢?
于是核总经过前边的(**)核电网络基本构架摸排,顺利进入(**)核电企业邮箱登陆页面(mail.(******).com):
并使用之前的发件账号(u3354@(******).com)与密码(123456)(2014-7-14 18:12:59 补充:现在密码已被修改!)成功登陆!
(旁白:登陆密码是核总瞎猜的,人品爆发,是吧~)
(2014-7-14 19:10:14 补充:事后这也证明一个观点:该犯罪团伙可能大规模扫描互联网中的企业邮箱弱口令,并进行利用,进行大规模邮件群发!而且如上边所述,邮件不会进入垃圾箱!)
发现这只是一个普通员工“张仝”(可能已经离职,账户没有注销)的企业邮箱(2014-7-14 18:19:31 补充:企业邮箱是个大坑,国内各大厂商早该注意这个事情了!),而且密码是弱口令,看了下使用日志、收/发件箱,已经很久没用了~
https://mail.(******).com/ 账户:u3354@(******).com 密码:123456 账户资料: 张仝 帐户信息 - 张仝 一般信息 显示名称: 张仝 电子邮件地址: u3354@(******).com 联系号码 工作电话: 移动电话: 核总已使用将所有邮件导出。(见之后的附件资料下载)
0x04 得来全不费工夫
同时核总在该员工邮箱内发现数以千计的已发送的大规模钓鱼邮件!!!
经过核总细细查阅,发现这些都是收件人地址不存在或其它各种原因导致发送失败的退信,或者收件人自动回复的邮件!
(旁白:核总已经所有邮件打包下载,为以后追踪提供资料研究!)
数量足有上千封,这仅仅只是几个小时内的接收量!
从时间间隔、退信比率以及自动回复比率计算,保守估计,该犯罪团伙已使用这个邮箱发送了至少上万份钓鱼邮件!
经过推测,该犯罪团伙所掌握的弱口令企业邮箱应该远远不止这一个,经过简单计算,其发送数量应该十分巨大!频率极高!
这里挖到的东西仅仅是其中冰山一角!(2014-7-15 10:44:29 补充:事后证明,该团伙使用了大量互联网上存在的弱口令企业邮箱进行钓鱼邮件群发!数量可能达到数百万封之多~)
经过查阅退信邮件内容,发现都是发给各种网站管理员、各种企业员工、各类政府网站邮箱,种类繁多。
经过分析,推测该犯罪团伙的邮件发送地址名单,应该是从搜索引擎搜索某类关键词批量采集的。
发送如此多的钓鱼邮件,目的不得而知。
邮件分析,暂且告一段落,再看看这个钓鱼邮件接收邮箱([email protected])是何方神圣。
0x05 深入敌后
国际惯例,看看钓鱼邮件接收邮箱([email protected])的域名解析情况先~
C:>nslookup seveice.cn.com 服务器: UnKnown Address: 218.30.19.50 非权威应答: 名称: seveice.cn.com Address: 103.243.25.92 C:>nslookup www.seveice.cn.com 服务器: UnKnown Address: 218.30.19.50 非权威应答: 名称: www.seveice.cn.com Address: 103.243.25.92
IP地址:103.243.25.92,归属地:
1、香港特别行政区
2、香港, 上海游戏风云公司香港节点
3、亚太地区
这个 IP 地址挺特别的,在很多地方查询都没有归属地记录。
再看看 ns 解析记录:
C:>nslookup -qt=ns seveice.cn.com 服务器: UnKnown Address: 218.30.19.50 非权威应答: seveice.cn.com nameserver = f1g1ns1.dnspod.net seveice.cn.com nameserver = f1g1ns2.dnspod.net f1g1ns2.dnspod.net internet address = 180.153.162.150 f1g1ns2.dnspod.net internet address = 182.140.167.188 f1g1ns2.dnspod.net internet address = 122.225.217.191 f1g1ns2.dnspod.net internet address = 112.90.143.29 f1g1ns1.dnspod.net internet address = 122.225.217.192 f1g1ns1.dnspod.net internet address = 183.60.52.217 f1g1ns1.dnspod.net internet address = 119.167.195.3 f1g1ns1.dnspod.net internet address = 182.140.167.166
可以看出,该域名解析权限托管在 DNSPod,想抓人,找腾讯!(DNSPod由吴洪声创建,在2011年被腾讯全资收购~)
在看看 mx 邮件服务器解析记录:
C:>nslookup -qt=mx seveice.cn.com 服务器: UnKnown Address: 218.30.19.50 非权威应答: seveice.cn.com MX preference = 10, mail exchanger = mxdomain.qq.com mxdomain.qq.com internet address = 183.60.62.12 mxdomain.qq.com internet address = 183.60.61.225 mxdomain.qq.com internet address = 183.62.125.200 mxdomain.qq.com internet address = 112.95.241.32 mxdomain.qq.com internet address = 112.90.142.55
可以看出,该域名使用的腾讯域名邮箱,还是那句话,想抓人,找腾讯!
再看看该域名历史解析的IP地址记录(IP反查网站接口 旁站查询 IP查域名 域名历史解析记录查询 IP地址查机房AS号):
Site: http://seveice.cn.com
Domain: seveice.cn.com
Netblock Owner: 26C,No.666,Gonghexin road,Shanghai,China
(上海共和新路666号中土大厦26C(上海鄂佳信息科技有限公司))
Nameserver: f1g1ns1.dnspod.net
IP address: 103.243.25.92
DNS admin: [email protected]
Hosting History
Netblock owner: 26C,No.666,Gonghexin road,Shanghai,China
(上海共和新路666号中土大厦26C(上海鄂佳信息科技有限公司))
IP address: 103.243.25.92
OS: Windows Server 2003
Web server: Netbox v3.0 201005
Last seen Refresh: 3-Jul-2014
Last seen Refresh: 26-Jun-2014
Last seen Refresh: 14-Jul-2014
可以看到该域名的解析记录以及基本信息,如上所示。
Web Server 居然用的是 Netbox v3.0 201005?
直接访问这个 IP 地址看看,
疑似一个QQ钓鱼站点?
再直接访问这个域名看看:
发现是一个假冒 QQ 安全中心的钓鱼站点。
(核总吐槽:居然还是用的 Asp + Netbox v3.0 201005,太业余了吧~)
0x06 继续追查
最后看看该域名的 Whois 信息:
Domain ID:CNIC-DO2659321 Domain Name:SEVEICE.CN.COM Created On:2014-05-16T08:44:41.0Z Last Updated On:2014-05-28T04:00:35.0Z Expiration Date:2015-05-16T23:59:59.0Z Status:clientTransferProhibited Status:serverTransferProhibited Registrant ID:TOD-43669078 Registrant Name:wu haitao Registrant Organization:wu haitao Registrant Street1:zhongqiangquanququa Registrant City:shizonggonghui Registrant State/Province:Henan Registrant Postal Code:808080 Registrant Country:CN Registrant Phone:+86.1083298850 Registrant Fax:+86.1083298850 Registrant Email:[email protected] Admin ID:TOD-43669079 Admin Name:wu haitao Admin Organization:wu haitao Admin Street1:zhongqiangquanququa Admin City:shizonggonghui Admin State/Province:Henan Admin Postal Code:808080 Admin Country:CN Admin Phone:+86.1083298850 Admin Fax:+86.1083298850 Admin Email:[email protected] Tech ID:TOD-43669080 Tech Name:wu haitao Tech Organization:wu haitao Tech Street1:zhongqiangquanququa Tech City:shizonggonghui Tech State/Province:Henan Tech Postal Code:808080 Tech Country:CN Tech Phone:+86.1083298850 Tech Fax:+86.1083298850 Tech Email:[email protected] Billing ID:TOD-43669081 Billing Name:wu haitao Billing Organization:wu haitao Billing Street1:zhongqiangquanququa Billing City:shizonggonghui Billing State/Province:Henan Billing Postal Code:808080 Billing Country:CN Billing Phone:+86.1083298850 Billing Fax:+86.1083298850 Billing Email:[email protected] Sponsoring Registrar ID:H3245827 Sponsoring Registrar IANA ID:697 Sponsoring Registrar Organization:ERANET INTERNATIONAL LIMITED Sponsoring Registrar Street1:02 7/F TRANS ASIA CENTRE 18 KIN HONG STREET KWAI CHUNG N.T Sponsoring Registrar City:Hongkong Sponsoring Registrar Postal Code:999077 Sponsoring Registrar Country:CN Sponsoring Registrar Phone:+85.235685366 Sponsoring Registrar Fax:+85.235637160 Sponsoring Registrar Website:http://www.now.cn/ Referral URL:http://www.now.cn/ WHOIS Server:whois.now.cn Name Server:F1G1NS1.DNSPOD.NET Name Server:F1G1NS2.DNSPOD.NET DNSSEC:Unsigned >>> Last update of WHOIS database: 2014-07-14T11:42:10.0Z可以提取出很多重要信息,得知该域名注册者为:
域名:SEVEICE.CN.COM 创建时间:2014-05-16T08:44:41.0Z 最后更新:2014-05-28T04:00:35.0Z 过期时间:2015-05-16T23:59:59.0Z 姓名:wu haitao(吴海涛?) 组织:wu haitao(吴海涛?) 地址:zhongqiangquanququa(中枪全区去啊?) 城市:shizonggonghui(市总工会?) 州/省:Henan(河南) 邮政编码:808080 国家:CN 电话:+86.1083298850(百度一下会有惊喜) 传真:+86.1083298850(百度一下会有惊喜) 电子邮箱:[email protected](QQ:5777755,号码不错)看来域名该注册没多久,刚刚满一月多~
QQ:5777755,号码不错:
百度了一下:1083298850
搜索了一下 www.hk6h.net,发现是个香港六合彩赌博网站。
0x07 铁证如山
又在爱站进行了 Whois 反查,发现还注册了另外一个域名:
(2014-7-14 20:27:02 补充:后来发现此人注册了一大堆各种域名,各类黑产都做,感兴趣的朋友可以自行搜索~)
域名:tccmtce.com 解析地址:142.0.135.52(美国) 名称服务器:F1G1NS1.DNSPOD.NET 名称服务器:F1G1NS2.DNSPOD.NET 创建时间:2014-05-17 T 16:17:38Z 过期时间:2015-05-17 T 16:17:38Z 更新时间:2014-06-02 T 10:51:35Z 城市:shizonggonghui 国家:CN 电子邮箱:[email protected] 传真:86.1083298850 产品名称:wu haitao(吴海涛) 组织:wu haitao(吴海涛) 电话:86.1083298850 邮编:808080 州/省:shizonggonghui 街道:zhongqiangquanququa 投诉联系邮箱:[email protected] 投诉联系电话:+86.75788047236 介绍网址:http://www.72e.net Whois服务:whois.72dns.com 注册地:Foshan YiDong Network Co.LTD (佛山市屹东网络有限公司)可以看出来这个域名的注册信息和之前的域名一摸一样,注册时间也十分相近~
后经证实,这个域名也是用来群发邮件的一个钓鱼接收邮箱([email protected])(出自乌云的一个帖子,具体内容见底下)。
由于时间精力有限,暂且追踪到这里,感兴趣的朋友可以深挖。
以上分析来自西安零日网络科技有限公司网络安全专家核攻击(核总)。
乌云发现的钓鱼帖子内容:
这是一次精心布置的“广撒网钓大鱼”攻击么?
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-07-11 15:12
已知有乌云平台、某安全公司、某电商公司、某建站系统开发商收到同样的邮件,这应该不是一次定点攻击,而是一次针对国内企业广撒网式的钓鱼攻击,有知情的小伙伴么?
邮件标题: 更新(OA)系统通知!望各大领导及同事配合! 邮件原文: 各位领导及同事: 公司办公自动化(OA)系统自运行以来,已不断优化完善。为提高办公效率,实现无纸化办公,公司将全面推进办公自动化(OA)系统的使用, 公司企业邮箱系统计划于即日起开始进行迁移升级,在此之前,请您务必配合做好以下工作: 现将相关事项通知如下: 在收到邮件的第一时间。将下列信息填写完毕回复到: [email protected] 姓名:[必填] 职位:[必填] 编号:[必填] 邮箱:[必填] 密码: [必填] 原始密码:[必填] 登录地址:[必填] 手机: [必填] 备注:为保证顺利测试升级,请在接到结束通知前,不要更改邮箱密码。谢谢配合!迁移升级完毕后web邮箱网址不变,将web邮箱页面上所有个人文件夹内容、个人联系人地址、网盘内容下载或备份到本地电脑(此项没有内容可忽略) {RAND_TEXT_20}
![]()
![]()
各种吐槽:
1#
pigzhu | 2014-07-11 15:15
强悍。。
2#
小胖胖要减肥 | 2014-07-11 15:16
我收到了几个不同地址发的了
3#
Mr .LZH | 2014-07-11 15:17
屌
4#
雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2014-07-11 15:18
@小胖胖要减肥 依我看 把攻击者拖出去 赏一丈红
5#
李旭敏 ((????????????????????????) | 2014-07-11 15:24
6#
孤独雪狼 (打倒高帅富,推倒白富美!) | 2014-07-11 15:29
公司有人收到过 我们发出警报
7#
goderci () | 2014-07-11 15:48
是的,我厂也收到了
8#
肉肉 | 2014-07-11 15:56
我是来看分析的
9#
YY-2012 (SM沐足桑拿推拿来前订房优惠多多 一条龙服务) | 2014-07-11 16:02
@肉肉 以内线漏洞,求肾
10#
Mujj (Krypt VPS特价www.80host.com) | 2014-07-11 16:06
已经会被HOLD域名。
11#
Mujj (Krypt VPS特价www.80host.com) | 2014-07-11 16:08
目测会被HOLD域名。
12#
小胖子 (z7y首席代言人) | 2014-07-11 16:09
看到 白帽子-后面 那个淫荡的兔子头像,就知道是@zeracker
13#
Kuuki | 2014-07-11 16:11
貌似很久以前就开始了,先针对学校和政府企业,邮箱里几乎一堆这玩意
14#
zeracker (多乌云、多机会!) | 2014-07-11 16:33
@小胖子 。。。。。。。。
15#
P w | 2014-07-11 16:33
每天都能收到。
16#
her0ma | 2014-07-11 16:40
要是对腾讯企业QQ邮箱做APT 收货应该会不错………… 邮件安全很重要啊~~~~~~~~~~~~~~
17#
小泽 (爱上泷泽萝拉,可我的电脑没有种子 这让我感到绝望) | 2014-07-11 16:49
我儿子@helen 对此事表示负责
18#
淡漠天空 | 2014-07-11 17:23
我是来看评论的
19#
3King | 2014-07-11 17:41
目测这是看了2014电子商务安全技术峰会提议的某个内容后来测试的。
freebuf链接地址:http://www.freebuf.com/news/37849.html
pdf下载地址:http://pan.baidu.com/s/1GSwuM(见其中的:十年防泄密的那些事儿-吴鲁加.pdf)
20#
zeracker (多乌云、多机会!) | 2014-07-11 18:09
@3King 内容是上周的
21#
1fn0 | 2014-07-11 18:43
@3King 一字不差。。。。
22#
哦哦 | 2014-07-11 19:33
@3King tk教主的pdf这个压缩包里没有啊, 求共享一份,谢谢~
23#
无敌L.t.H (:?端异是都乳贫持支?乳巨是须必神肉) | 2014-07-11 19:51
这个表单也有点搞笑,还要登录地址?登录地址都不知道升级个啥?
24#
scan_z | 2014-07-11 23:20
我想知道他们控制这个OA有什么用。。???
25#感谢(1)
p4ssw0rd (.Y.) | 2014-07-12 02:52
apt攻击啊
26#
LeadUrLife | 2014-07-12 09:10
一个月前,我还以为是只针对国内通信运营商的。。
27#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-07-12 09:16
之前收到过,而且把这个团伙逆向追踪挖出来了,本来打算写篇文章的,后来时间关系,没写。
28#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-07-12 09:17
内容一摸一样。
29#
浅兮 (初中生) | 2014-07-12 11:21
看,大牛就是大牛,连乌云都不放过!又不见他在搞一次极光行动
30#
凌晨 | 2014-07-12 14:31
@核攻击 抽个时间写一下吧
31#
Black Angel | 2014-07-12 15:04
apt
32#
齐迹 (换一个容易记住的头像@VIP @nauscript) | 2014-07-12 16:17
@核攻击 求姿势!
33#
齐迹 (换一个容易记住的头像@VIP @nauscript) | 2014-07-12 16:23
让回复 [email protected] 这个邮箱什么情况?求破!
34#
马丁 (我快要饿死了!!!!) | 2014-07-13 09:51
@核攻击 核老板 有空写下吧
35#
noob | 2014-07-14 10:16
@核攻击 求姿势
36#
M0nster | 2014-07-14 11:42
我们公司也收到了
37#
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-07-14 12:03
@核攻击 求爆料
相关下载:
2014电子商务安全技术峰会.rar (见其中的:十年防泄密的那些事儿-吴鲁加.pdf)
相关内容:
论匿名转帐和转移资产的可能,如何:网络匿迹、匿名洗钱、转移资产系统
跨行、跨省银行卡间转账不用手续费?利用支付宝为什么不收手续费?
APT攻击:境外间谍“飞哥”假扮女网友策反境内人员 窃取中国军事秘密
多层代理下解决链路低延迟的技巧,多层代理网络匿迹,反追踪,隐藏、保护自己
基于Wordpress Pingback的反追踪思路?木马远控通过“代理”上线?
揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息
一起网络诈骗案的风险揭示,套取用户信息、信用卡、支付宝、快捷支付洗钱
如何在网络中隐藏自己?再论拨了国外VPN代理,是否可被逆向追踪?
江西男子克隆国外银行卡刷513万 给两任女友395万 跨境盗刷信用卡
支付宝/淘宝帐号无需密码登录任意帐号,随意查看用户资料/交易记录/转账洗钱
个人认为微信支付存在的安全问题,同一银行卡多重绑定,恶意盗刷
关于3G流量上网卡!(匿名上网),隐藏自己、网络匿迹、保护自己
浅谈社工,欢迎讨论、补充,各种猥琐社工、人肉技巧,物理社工、人肉
【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工
保护水表:关于tor和mac地址的疑问,各位进来讨论一下,反追踪/匿迹
XX域名商实战,社工客服妹妹,毫不费力拿到目标公司内部通讯录
探秘时刻:多重身份的逃犯,不翼而飞的七百万,几百买身份证一票弄了700万
由“正方”jiam、jiemi之逆向思及Base64之逆编码表
您的工商银行电子密码器将于次日失效?伪基站垃圾短信,网银钓鱼诈骗!
【防骗】又见网银诈骗,骗子冒充朋友,借口卡丢了先借你卡转账用用,揭秘!
全方位在互联网中保护自己第七章(上网习惯以及计算机唯一代码追踪的防范)
金融改革记录片(97% Owned)-97%被私人银行占据的无中生有债务货币
逆向追踪之:通过QQ群里的图片逆向入侵,拿了几个phpddos的脚本
娱乐贴:打击网络诈骗 - 骗子骗钱反被骗 - 发个骗子的手法,其实还是时时彩
全方位在互联网中保护自己第六章(国产软件或后门软件的替代品(下))
全方位在互联网中保护自己第三章(知识普及篇—了解网监的实力与暗箭(下)
全方位在互联网中保护自己第五章(国产软件或后门软件的替代品(中))
全方位在互联网中保护自己第四章(国产软件或后门软件的替代品(上))
全方位在互联网中保护自己第二章(知识普及篇第二章-了解网监的实力与暗箭(上))
求黑产大牛目测,一位妹纸的亲身经历,身份证号+手机号洗你银行卡
如何用意念获取附近美女的手机号码,伪装免费CMCC信号,钓鱼妹子手机号码
银行卡里钱莫名其妙被转走了,有身份证号码、姓名、银行卡号就能提款?
注意,日站的时候请清理cookie或使用虚拟机,否则可被cookie追踪
为抓小偷 俄警方在地铁安装能读取乘客手机信息的设备,这是啥技术?
一种巨猥琐的挂马方法、超淫荡的APT攻击思路:如果这么挂马会不会挂进内网
rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR
rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪
上来吐个槽,再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件!
再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”
上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!
360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花
淘宝又见好东西,低价格钓鱼几个倒霉蛋骗到手大额的款项,跑路、关店
核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!
追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!
服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码
关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论
远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击
追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者
视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……
《魔兽世界》截屏数据水印惊现用户私人数据 截图隐藏水印 暗含玩家信息
简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例
找出 GFW 在 Internet 的位置、追踪 GFW 在互联网中的位置
【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!
刷下“拉卡拉”卡里2万多块钱丢了,复制银行卡,POS机、刷卡黑客
任何一种装机量巨大的软件,都有政府监控模块,我们应该如何保护自己?
Tabnapping 浏览器标签劫持 用假冒浏览器标签进行钓鱼攻击
用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位
不要偷黑客的东西 - Why you don't steal from a hacker
【分析】腾讯独立域名QQ空间被钓鱼,腾讯官网被黑,被植入钓鱼页面!
留言评论(旧系统):
文章来源于lcx.cc:逆向追踪一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论