纯转载,苦于微信新规则,没办法...
五一刚过,牛马的日子又要开始了,黑产大佬却一点也没休息,蛮辛苦的。
近期捕获到一起假冒工资卡认证骗取个人信息的钓鱼案件(已脱敏),使用的技战术包括:发件人伪装,数据收集,合法服务滥用,心理操纵,权威利用,打工人请留意。
1、初始投递
邮件内容如下:
传到deepphish EML分析平台跑一下,三个字段都是黄灯,其中SPF提示有伪造嫌疑。
发件人IP是个香港IP,香港的恶意邮件发件量一直遥遥领先,那边比较自由。
2、打开链接
“立即认证” 这个地方隐藏了真实链接,当收件人受了他那一套蛊惑点击后,会打开钓鱼页面。
页面做了User Agent访问控制,引导用户用手机打开,进一步迷惑收件人(手机端浏览器一般会隐藏地址栏或者部分可见真实地址),用手机打开后效果如下:
第一步:收集姓名和身份证号,全程做了规则校验,随便输入是走不下去的。
敏感数据已经提交上去了,为了方便分析,我们通过浏览器模拟手机操作,抓取数据,如箭头所示,已经提交成功,敏感信息都看得到。
3、IOC情报信息
如图所示,常规情报平台没有收录,还把它当做了一个垃圾邮件地址,因此,如果说想用情报做防御基本是不可能的。
4、总结
这种数据暴露型钓鱼相比投递免杀木马来说,无须太高级的技术手段,沙箱/AV等常规手段也没用,因为他本身没有样本,但极容易让人中招,轻则财产损失,重则无心工作,企业生产力下降。首先他正文书写正规(疑似AI书写),没有常见的语法错误或语义矛盾之处,并施以紧急压迫手段,和打工人最关系的工资强挂钩,钓鱼网页做的也很人性化,让人感觉真的很正规!!!
各企业员工注意防范,钓鱼邮件模版已更新到DeepPhish反钓平台,网页模板后续跟进。
支持我们,在钓鱼中招前打一针疫苗!
- EML分析工具:deepphish.cn/eml
- 反钓鱼训练平台:deepphish.cn/apt
- 官网:www.deepphish.cn
原文始发于微信公众号(无限手套Infinity Gauntlet):【钓鱼情报】看紧你的钱包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论