记⼀次钓⻥邮件攻击事件应急·溯源社⼯引发的思考

事件涉及的钓⻥邮件估计部分地区的师傅也遇到过，这类邮件及钓⻥⼿法频繁出现在近两年，似乎都出⾃同⼀⼈或团伙。如果有师傅是其中之一，务必高抬贵手，放过小生，小生只是来水一篇文稿刷刷存在感，呜呜呜。。。。。。本⽂涉及的钓⻥⽹址及相关敏感信息均已打码处理，如还涉及侵犯某些利益请及时联系本⼈第⼀时间删除。

1.事件概述

年初某单位发现中招钓⻥邮件攻击，据了解办公室⼯作⼈员未对邮件进⾏作判断误下载了附件并打开钓⻥⽹址，临危受命前往进⾏应急处置

2.现场处置

现场处置就不太想多说啥。提取钓⻥邮件、对附件下载主机全盘查杀、进程、⽤户等进⾏检查，看看有⽆隐藏“关卡”，⼀系列有必要还是有

3.邮件分析

3.1 邮件内容

邮件由办公室邮箱转发⾄本⼈邮箱，邮件内容如下：

发件⼈：[email protected]

发送⽇期：2022-03-04 14:26:13

收件⼈：⻢⼉⻢⼉⻢⼉

主题：巡视xxxx贿⼈员（名.单）

请注意及时查收，邮件已加密，登录密码1234

3.2 附件分析

对附件进⾏提取，安全⼯具扫描，在线沙箱分析，么得问题：

附件内容查看（虽然检查没问题哈，但都还是建议放咱虚拟机看）

哈，明眼都看出套路了吧，这不就是诱你点击超链接嘛。很简单的⼀个钓⻥邮件，其中没有包含太多的技术⼿段。

钓⻥⽹⻚详http://cxxxxtd.cn/cmc/tum/emal/f=topnav，，现在估计换了url，访问不到了，这图还是从之前报告拿的。这是一个仿冒的网易邮箱登录界面，emmmm，说实话这钓鱼网做的很low，大家可以去玩玩试试gofish（一个开源的钓鱼平台）的网页copy能力，除了URL跟官方不同，其他还真找不出哪些问题。

倘若你输入正确的账号密码，加上办公室一般公用一个邮箱，不会做什么手机号验证，账密一旦输入文本框点击登录，直接就传入不法分子数据后台。后续钓鱼者会利用钓来的邮箱进行群发钓鱼邮件，达到钓鱼邮件恶意、广范围的传播，这样就有更多的单位中招，毕竟是通讯录里兄弟单位发来的，安全意识不足的一般都会点开看看。

20、21年太多这种了，⼀个单位中招，群发通讯录⾥的⼏百个单位部⻔，⼀时间难以控制，应急应到吐。

4.溯源社⼯

4.1 漏洞检测对钓⻥⽹站漏洞进⾏⼀把梭，奈何技术⼒量不过关，愣是半天没发现突破⼝，唉......就只能社⼯玩⼀下了。

4.2 邮箱泄露查询

为什么要查⼀下呢，如果邮箱泄露的话，可以确认该邮箱拥有者也是受害者之⼀。https://haveibeenpwned.com/，嗯，貌似没泄露，但不能100%保证，但查出下⾯绿⾊变红⾊那肯定是泄露了。

4.3 whois查询

下⾯是站⻓之家的查询结果

推荐⼤家⼀个whois查询的⽹址who.is，上⾯打码的邮箱将暴露⽆遗

4.4 社⼯

红⿐⼦派上⽤场，有北海也有贵州的，不太确定

⼀个QQ查询⼯具

QQ查找，归属地是毕节市

、

绑定⼿机号查询⽀付宝，使⽤whois信息的姓名进⾏校验，校验成功。

分享一个小方法：如果whois信息对持有者身份打码的情况下，难以姓名校验，拿以下例子来说，你可耗费0.1元巨资进行转账，支付方式使用银行卡，转账后可在银行卡app中查看转账记录，里边有对方全名。

⼿机号查找微信，跟QQ号头像地区⼀致，现在差不多可以确认该域名主⼈身份

5.总结

此次钓⻥事件到这⾥也就告⼀段落了，办公室⼯作⼈员好在多少有安全意识，阻⽌了钓⻥事件的进⼀步扩展。像之前处理的，邮箱账密被盗

通过此次事件虽然能查到上诉信息，结果⽆⾮就两种，但是依然还存在不确定性：

查到的信息主任即钓⻥者；

该域名服务器持有者，服务器被⿊客攻击利⽤钓⻥，其还不知情。

因技术能力以及知识涵盖面的限制，至今还不知进行到此程度的情况该如何进一步深入，如有师傅对此有所技巧不妨提点一番？又或者指出上诉过程中存在的问题、不足，感谢师傅们不吝赐教，期待ing！！！

转自：安全圈小王子

链接：https://www.little2pig.work/archives/fish

本文最终解释权归本文作者所有！！！

    任何公众号场、本项目涉及的任何工具，仅用于商业商业用途，不能保证其合法性和使用性，并能用于研究项目中的应用，目标和有效的实施情况自己判断；

     文章、项目内场所有资源文件，杜绝任何靶本公众号、自媒体进行形式的擅自转载、发布

    公众对脚本及任何概不负责包括不由任何脚本错误导致的工具损失或损害及任何法律责任；

    直接使用本或公众发布的技术、靶场、文章项目中涉及的脚本工具，但在某些行为不符合任何国家/地区或相关地区的情况下进行传播时，引发的隐私或其他任何法律问题的后果概不负责；

    如果任何单位或个人认为项目或文章的内容可能侵犯其权利，则应及时通知并证明其身份，证明我们将在收到证明文件后删除相关内容；

    以方式或使用此项目的任何人或直接使用项目的直接用户都应仔细阅读此声明；

    本公众号保留更改或补充，免责随时声明的权利；

    访问本公众号的任何文章或项目，请您立即接受此免责声明。

您在本声明未发出之时，或者使用访问已接受此声明，请查看本公众号。

                                                                                              此致

    由于、利用的信息而造成的任何或直接的此文传播后果，均由用户本人负责，作者不承担任何直接责任。

一切法律后果均由攻击者承担！！！

日站不规范，亲人两行泪！！！

日站不规范，亲人两行泪！！！

日站不规范，亲人两行泪！！！

• 专注于信息安全方面分享，传播商业性广告，不

• 关注不迷，点赞！关注！转向！评论！！

• 要投稿的请留言或者加微信，会第一时间回复，谢谢！

原文始发于微信公众号（每天一个入狱小技巧）：记一次钓鱼邮件攻击事件应急·溯源社工引发的思考GoogleChrome