【钓鱼情报】看紧你的钱包

admin 2025年5月7日10:48:56评论3 views字数 932阅读3分6秒阅读模式

纯转载,苦于微信新规则,没办法...

五一刚过,牛马的日子又要开始了,黑产大佬却一点也没休息,蛮辛苦的。

近期捕获到一起假冒工资卡认证骗取个人信息的钓鱼案件(已脱敏),使用的技战术包括:发件人伪装,数据收集,合法服务滥用,心理操纵,权威利用,打工人请留意。

1、初始投递

邮件内容如下:

【钓鱼情报】看紧你的钱包

传到deepphish EML分析平台跑一下,三个字段都是黄灯,其中SPF提示有伪造嫌疑。

【钓鱼情报】看紧你的钱包
该发件域没有SPF设置,也就是说伪造成本极低。
【钓鱼情报】看紧你的钱包

发件人IP是个香港IP,香港的恶意邮件发件量一直遥遥领先,那边比较自由。

【钓鱼情报】看紧你的钱包

2、打开链接

“立即认证” 这个地方隐藏了真实链接,当收件人受了他那一套蛊惑点击后,会打开钓鱼页面。

【钓鱼情报】看紧你的钱包

页面做了User Agent访问控制,引导用户用手机打开,进一步迷惑收件人(手机端浏览器一般会隐藏地址栏或者部分可见真实地址),用手机打开后效果如下:

第一步:收集姓名和身份证号,全程做了规则校验,随便输入是走不下去的。

【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包
第二步:收集银行卡号和手机号。
【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包
第三步:直接问你卡里有多少钱,进一步锁定大鱼。
【钓鱼情报】看紧你的钱包
第四步,提交,提交后系统就开始转圈,其实也是个障眼法。
【钓鱼情报】看紧你的钱包

敏感数据已经提交上去了,为了方便分析,我们通过浏览器模拟手机操作,抓取数据,如箭头所示,已经提交成功,敏感信息都看得到。

【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包

3、IOC情报信息

如图所示,常规情报平台没有收录,还把它当做了一个垃圾邮件地址,因此,如果说想用情报做防御基本是不可能的。

【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包

4、总结

这种数据暴露型钓鱼相比投递免杀木马来说,无须太高级的技术手段,沙箱/AV等常规手段也没用,因为他本身没有样本,但极容易让人中招,轻则财产损失,重则无心工作,企业生产力下降。首先他正文书写正规(疑似AI书写),没有常见的语法错误或语义矛盾之处,并施以紧急压迫手段,和打工人最关系的工资强挂钩,钓鱼网页做的也很人性化,让人感觉真的很正规!!!

【钓鱼情报】看紧你的钱包
【钓鱼情报】看紧你的钱包

各企业员工注意防范,钓鱼邮件模版已更新到DeepPhish反钓平台,网页模板后续跟进。

支持我们,在钓鱼中招前打一针疫苗!

- EML分析工具:deepphish.cn/eml

- 反钓鱼训练平台:deepphish.cn/apt

- 官网:www.deepphish.cn

【钓鱼情报】看紧你的钱包

原文始发于微信公众号(无限手套Infinity Gauntlet):【钓鱼情报】看紧你的钱包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日10:48:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【钓鱼情报】看紧你的钱包https://cn-sec.com/archives/4035690.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息