【钓鱼专题】警惕！新型！本地HTML类钓鱼攻击！

admin

146004
文章

119
评论

2025年6月18日19:10:38评论24 views字数 6378阅读21分15秒阅读模式

本报告由MailSec Lab（网际思安旗下麦赛邮件安全实验室）定期发布，本期（2025年6月第2期）主要分享专题热点——警惕！新型！“本地HTML”类钓鱼攻击！

近年来，针对电子发票的钓鱼攻击事件层出不穷，攻击者利用企业员工对电子发票的日常处理习惯和信任心理，精心构造各类骗局。这些攻击往往以窃取企业敏感信息、财务账户凭证，甚至植入勒索软件为目的，对企业信息安全构成了日益严峻的威胁。

本文将以近期捕获的一封伪装成“51 发票平台"发送的钓鱼邮件为例，深度剖析其攻击手法与技术细节。该案例中的钓鱼页面是通过邮件附件中的 HTML文件在用户本地浏览器中打开的。这种方式与传统的链接到远程钓鱼网站的攻击有所不同，它可能绕过一些仅检测远程URL信誉的邮件网关策略。我们将从钓鱼邮件的外观迷惑性、邮件头部的蛛丝马迹、恶意附件的构造与钓鱼页面的交互逻辑等多个维度进行技术剖析，并在此基础上，提供一套全面、实用的防御策略与解决方案，助力企业有效防范此类安全风险，共同构筑坚固的企业信息安全防线。

第一章

案例剖析：

⼀封“电子发票”邮件的层层陷阱

本次分析的钓鱼邮件攻击是一次精心策划的行动，攻击者通过多层伪装和技术手段，试图绕过安全防护并骗取用户的信任。下面我们将逐层揭开其伪装面纱。

第⼀层伪装：以假乱真的钓鱼邮件外观

攻击者深谙“攻心为上”的道理，在钓鱼邮件的视觉呈现和内容组织上下足了功夫，力求在用户接触邮件的第一时间便建立起虚假的信任感。

1.发件人信息迷惑性

用户在邮箱中打开邮件后展示如下：

显示名称：51发票平。这个名称直接模仿了国内知名的电子发票服务平台“51发票平台”，容易让接收者误以为是官方通知。

邮件标题：标题包含了具体的目标公司名称(方括号内被隐藏部分)、明确的金额，以及一个看似规范的发票编号。这些高度定制化的信息，使得邮件看起来像是一封真实的、与收件人业务相关的电子发票通知，大大降低了收件人的警惕性。

2.邮件正文高度模仿

攻击者不仅在发件人信息上进行伪装，邮件正文内容更是对“51发票平台”官方模板的像素级复制：

视觉元素：邮件正文中盗用了官方Logo和常用的排版风格。这些熟悉的视觉元素能够迅速建立用戶的信任感。

文本内容：邮件内容几乎完全复制了航天信息官方电子发票通知邮件的常用话术和内容。

关键迷惑点——利用真实信息作掩护：

这是此次钓鱼攻击中非常狡猾的一点。邮件正文中包含的“下载链接”、“二维码” 以及“航天信息全国统⼀客服电话”均为“51发票平台”真实、有效的官方链接和电话号码。攻击者巧妙地将这些真实信息嵌入到钓鱼邮件中，其目的在于:

进一步增强邮件的真实性，打消收件人的疑虑。
即使收件人对邮件有所怀疑，点击这些链接或拨打客服电话进行核实，得到的结果也会是“官方渠道”，从而可能使其放松警惕，转而信任邮件中的恶意附件。
将用户的注意力从正文中的正常链接引导至真正具有威胁的恶意附件上。

攻击者通过上述手段，使得钓鱼邮件在外观上与真实的电子发票通知邮件几乎无异。用户在日常处理大量邮件时，很容易因其高度的仿真性而忽略潜在风险，直接点击恶意附件。这种利用社会工程学原理，结合目标日常工作流程的攻击方式，成功率往往较高。

第二层陷阱:暗藏玄机的邮件头部信息

尽管钓鱼邮件在外观上力求逼真，但邮件的"身份证"——邮件头信息，往往会暴露其伪造的本质对于IT人员来说，分析邮件头是识别钓鱼邮件的关键步骤。

1.发件邮箱不来自于51发票平台

通过查看邮件的原始邮件头信息，我们可以发现其 From字段如下:

其中，=?UTF-8?B?NTHlj5HnpajlubM=?=经过Base64解码后为“51发票平”，这与邮件客户端显示的发送方名称⼀致。然而，尖括号内的实际发件邮箱地址却是 amaegibxth@daegu.ac.kr。这是⼀个属于韩国大邱大学（daegu.ac.kr）的邮箱地址。这与邮件声称的“51发票平台”或 “航天信息”（其官方邮箱域名通常为 @51fapiao.cn或 @aisino.com）的身份完全不符。

2.邮件发送路径分析 (Received字段)

邮件头中的Received字段记录了邮件从发出到接收所经过的邮件服务器路径。分析这些字段可以追溯邮件的真实来源：

从这条记录可以看出，邮件最初是由⼀个IP地址为152.89.218.183的服务器（HELO/EHLO名为daiso-sangyo.it.com）发出的。这个IP地址和域名显然不属于“51发票平台”。查询该IP的威胁情报信息，该IP的地理位置是在国外（俄罗斯），并且被记录为恶意IP地址：

3. 发件人身份验证缺失 (Authentication-Results)

邮件头中的Authentication-Results字段提供了关于发件⼈⾝份验证机制（如SPF,DKIM,DMARC）的检查结果：

DKIM: dkim=none 表示该邮件没有有效的DKIM签名，或者签名验证失败。DKIM通过加密签名来验证邮件内容是否在传输过程中被篡改，以及发件人域名的真实性。缺乏有效的DKIM签名是⼀个重要的危险信号。

DMARC: dmarc=none表明未能对该邮件执行DMARC策略检查，或者发件⼈域没有配置DMARC记录。DMARC策略依赖于SPF和DKIM的结果，用于指示收件方服务器如何处理验证失败的邮件（如拒绝、隔离或放行）。

SPF: SPF是⼀种邮件验证机制，允许域名所有者在其DNS记录中声明哪些IP地址有权以该域名发送邮件。收件方服务器通过查询发件人域名的SPF记录来验证发件服务器IP的合法性。此处的spf=pass结果是针对daiso-sangyo.it.com这个域名的，它验证了IP地址152.89.218.183是被daiso-sangyo.it.com 授权的发送服务器。然而此封邮件的发件人域名为daegu.ac.kr，与daiso-sangyo.it.com完全不一致，说明攻击者使用了daiso-sangyo.it.com域的用户，发送了一封发件人为[email protected]r的邮件。

综上所述，邮件头信息清晰地揭示了以下疑点：

1. 发件邮箱不是来自于“51发票平台”。

2.邮件的初始发送服务器并非官方机构的邮件服务器。

3. 缺乏DKIM和DMARC等关键身份验证机制的有效支持。

4. SPF验证通过的域名与邮件声称的发送方域名不⼀致。

第三层核心：精心构造的恶意附件与钓鱼页面

在通过邮件外观和正文内容初步骗取⽤户信任后，攻击者的真正目的是诱导用户打开邮件附件。这个附件是整个攻击链的核心环节，直接承载了窃取用户凭证的功能。

1. 附件伪装与解包

附件信息：附件名为51invoice，后缀为.bin。攻击者使用.bin这种不常见的后缀，可能是为了尝试绕过⼀些基于文件后缀名的简单邮件过滤规则，或者让用户因好奇而打开。
附件真实身份：根据实际分析结果，此附件实际上是⼀个 Zip 压缩包。
解压后的HTML文件：当用户将此.bin文件（或手动修改后缀为 .zip后）解压缩，会得到⼀个HTML文件。该HTML文件的名称为 =?UTF-8?B?44CQ55S15a2Q5Y+R56Wo44CROiAyMjYzMjAyMDUxODg2MjQwMDc1OC5odG1s?=。这段经过UTF-8Base64编码的字符串解码后为：【电子发票】：22632020518862400758.html。这个文件名与邮件主题中的发票编号完全⼀致，进⼀步强化了其伪装性，诱使用户相信这就是需要查看的电子发票文件。

2. HTML钓鱼页面分析 (文件即钓鱼页)

用户双击打开这个HTML文件后，并不会看到真正的电子发票，而是会在浏览器中加载⼀个本地的、但精心伪装的钓鱼页面。这个HTML文件本身就是钓鱼网站的载体。

页面内容模仿了一个"Online Secured PDF Reader"(在线安全PDF阅读器)的界面。试图让用户相信这是一个受Adobe安全保护的PDF文件。
页面中央展示了一张模糊的、看似PDF文档预览的图片(图片实际链接为 https://gyazo.com/eabfb9a9e69b3838387e60a23a60e87e.jpg，来源于一个合法的图片分享网站，用于增强页面的真实感)。
一旦用户在密码框中输入密码，并点击弹窗下方红色的“下载”按钮，其输入的邮箱地址和密码就会通过HTML表单提交。
关键代码分析：通过分析HTML源代码，可以发现表单的 action属性指向了 https://submit-form.com/RyryOE5Uk。这意味着用户提交的凭证将以POST请求的方式发送到这个URL，从而被攻击者成功窃取。

在凭证提交后，页面会根据表单中一个名为_redirect的隐藏字段的值进行重定向。在此案例中，该值为 https://ili.io/33usXHb.png，这是一个图片链接。用户可能会看到一个无关的图片或一个伪造的“文件正在加载/下载成功”的提示，攻击者以此来掩盖其窃密行为，让用户误以为操作成功。

3.反分析技术：

为了增加安全研究人员分析该HTML文件的难度，攻击者还在其中嵌入了一些简单的反分析JavaScript代码:

禁用鼠标右键菜单:document addEventListener('contextmenu',event => event.preventDefault());这段代码会阻止用户通过右键点击来查看页面源代码或使用浏览器的开发者工具进行调试。
禁用部分键盘快捷键：

这段代码尝试禁用如 Ctrl+C (复制)、Ctrl+V (粘贴)、Ctrl+U (查看源代码)，以及其他可能的调试快捷键 (keyCode 117 通常不是F12，但可能是针对特定组合或目的)。虽然这些手段相对初级但也能对非专业用户或初级分析人员造成一定困扰。

第二章

攻击链总结：

通过以上详细分析，我们可以清晰地梳理出此次针对电子发票的钓鱼攻击的完整链条。整个攻击过程可以概括为以下几个步骤：

邮件投递 (Delivery)：攻击者精心构造一封伪装成“51发票平台”或“航天信息”官方通知的钓鱼邮件，并将其发送至目标用户的邮箱。
诱饵迷惑 (Exploitation-Social Engineering)：用户收到邮件后，被其高度仿真的发件人名称、邮件标题、正文内容(包括盗用的Logo和官方话术)以及邮件正文中嵌入的真实官方链接和客服电话所迷惑，降低了警惕性。
附件下载与执行 (lnstallation/Execution)：用户被邮件正文引导，认为需要下载并查看附件以获取电子发票。附件名为 51invoice(可能伪装成.bin文件，实际为Zip压缩包)。
解压并打开HTML (Installation/Execution)：用户下载附件后，将其解压缩，得到一个名为"【电子发票】:{发票编号}.htm”的HTML文件。用户双击此HTML文件，使用默认浏览器打开。
钓鱼页面交豆(Command & Control-Credential Access)：在浏览器中打开的HTML文件呈现为一个伪造的“Adobe Secured PDF Reader”在线查看器界面。该页面通过JavaScript弹出一个“用户验证”窗口，要求用户输入其邮箱密码才能“查看”或“下载”文件。
凭证窃取 (Exfiltration)：用户在“用户验证”窗口中输入其邮箱账户和密码后，点击“下载”按钮。这些凭证通过HTML表单的POST请求，被发送至攻击者预设的URL(https://submitform.com/RyryOE5Uk)，从而被攻击者窃取。
后续动作与掩盖(Actions on Objectives/Defense Evasion)：凭证提交成功后，钓鱼页面可能会重定向到一个无关的图片链接( https://ii.io/33usXHb.png)或显示一个虚假的成功提示，以掩盖其窃密行为，让用户误以为操作已完成，而实际上其账户凭证已被盗。

第三章

防御之道：

企业如何有效防范

本次深入剖析的伪装电子发票钓鱼攻击案例，再次为我们敲响了警钟。网络攻击者正不断升级其技术手段和欺骗策略，使得钓鱼攻击变得更加难以防范。

此类攻击的核心特点可以总结为：“高度模仿与社会工程学:攻击者精准模仿官方通信的视觉风格和语言习惯，甚至嵌入真实有效的官方链接和联系方式作为掩护，极大降低了受害者的警惕性。

恶意附件的层层伪装：通过修改文件后缀(如bin)、利用压缩包承载恶意HTML文件、HTML文件名与邮件主题呼应等方式，绕过邮件安全网关等邮件安全防护设备的检测，并诱导用户执行恶意附件。

本地HTML文件承载钓鱼逻辑：直接在附件的HTML文件中实现钓鱼页面的完整交互和凭证窃取逻辑，可能绕过部分依赖URL信誉的检测机制。

利用反分析手段增加检测难度：通过禁用右键、快捷键等单脚本，试图阻碍安全分析。

此类攻击一旦成功，将对企业造成严重危害，包括但不限于：员工邮箱账戶失窃、企业敏感数据泄露财务资金损失、商业机密外泄，甚至可能成为后续更复杂攻击(如APT攻击、勒索软件攻击)的跳板；其风险不容忽视。

面对这一严峻挑战，我们呼吁各企业IT安全负责人和从业人员立即行动起来：

立即排査与布防：强烈建议企业IT团队根据本文提供的关键失陷指标(IOCs)，立即对邮件系统日志网络出口日志、终端安全日志等进行全面排查，确认是否存在类似的攻击活动。同时，将这些IOCs更新到各类安全设备的黑名单和检测规则中。
评估与加固现有策略：全面审视企业当前邮件安全网关等防护设备中邮件安全策略的有效性(特别是SPF/DKIM/DMARC的执行情况、附件扫描能力)，评估终端防护措施是否到位，以及员工安全意识培训的覆盖面和实际效果。针对薄弱环节，应立即采取加固措施。
强化安全意识与技能提升：网络安全防护是一场持续的对抗。IT人员自身需要保持对新型网络威胁和攻击手法的关注与学习，不断提升自身的安全技能和应急响应能力。同时，要将最新的安全知识和防范技巧有效地传递给每一位员工。
拥抱“零信任”理念：逐步向“零信任”安全架构迁移，对所有访问请求进行严格验证，不轻易相信任何内部或外部用戶/设备，实施最小权限原则，并强制推行多因素认证(MFA)作为账户安全的基石。