这是 酒仙桥六号部队 的第 115 篇文章。
全文共计1914个字,预计阅读时长6分钟。
前言
姜太公钓鱼,愿者上钩,18年网络钓鱼浪潮。钓鱼的手段是屡见不鲜,手段和方式也是层出不穷。据数据表明:Wandera的《2020年移动端威胁前景报告》表明每20秒就会有一个新的钓鱼网站上线。这意味着每分钟都会在互联网上弹出三个旨在针对用户的新的钓鱼网站。
正文
2020年10月中旬外出去某企业做一个项目,空闲的期间与员工聊天他说:"10月1日放假回来收到了一封疑似钓鱼的邮件"。我看了看觉得挺有意思于是对这个邮件尝试进行一波溯源,没想到还有一些发现,下面是我溯源的一个过程跟大家来分享一下。
首先我们看来看一下邮件的整体内容,是以10月1日国庆小长假结束后关于疫情返京统计为主旨。如果不小心或者公司有相关统计要求的情况真的很容易就中招了。
接下来我们再看一下邮件里附带的域名www.bjyiqing.com.cn感觉很正规有没有,而且根据这个域名拼出来是不是很像“北京疫情”;在来看一下邮件的发件人,名字是service,邮件地址2020-10-12.net,这大概是个邮箱服务器发送的一个以日期命名的不存在的域名地址。
总体来看该邮件格式内容很丰富、正规,而且刚好贴合了10月1日返京疫情统计的这个主题,这也难怪有许多企业会被钓鱼邮件攻击成功,确实是令人防不胜防。
下面我们正式的开展溯源工作首先对于邮件附带的域名www.bjyiqing.com.cn进行威胁情报分析,未发现异常。
扫描一下网站没有发现风险,我们在利用虚拟机访问邮箱附带的域名地址看看:www.bjyiqing.com.cn
1、访问后,可以看到,该页面是一个以填写个人信息为主的,内容涉及到很严重的个人信息,包括身份证、手机号、邮箱等,尝试了随便填写一些内容进去,不需要验证就可以提交成功并且跳转到下面这个页面。
2、通过百度搜索网站内容证明为真实的网站,也就是说,该钓鱼邮件由一个html页面,填写完信息后重定向到真实的页面。
分析了该钓鱼邮件收集信息的一个流程后,首先,先进行了查询该域名的解析记录:经查询后发现该域名解析的地址为香港。
接下来,查询一下whois信息:信息查询出来后没有注册电话显示,还需要进一步查询。
通过whois查询到的邮箱进行一波反查注册过该邮箱域名地址:发现该邮箱还注册了另一个站点。
对邮箱反查后的站点进行访问后得到。
1、该网站为博彩网站,有可能又是打着博彩名义的钓鱼网站,发现里面有客服、qq和联系电话等,继续尝试对该邮箱和QQ进行社工。
2、社工后发现一条信息,并且附带电话号码,看看发现了什么,查出来的手机号和网站上留的手机号竟然是相同的。尝试对该电话号码进行下一步利用,该电话用于微信、支付宝、脉脉APP上进行查找。
3、经查找后发现微信、支付宝均未查询到,说明该号码可能是虚假的,也可能是未注册。但是在查询QQ号的时候有了进展,发现该电话绑定了一个QQ号。
4、利用该QQ号码进行微信查询:发现此QQ还绑定了一个微信,并且查询到了有用信息:手机号码和朋友圈。
5、点击查看朋友圈,发现朋友圈存在博彩网站广告。
6、可以初步确定该微信号主人也在涉及博彩网站。
后续通过微信上显示的手机号码再通过支付宝搜索后发现:
7、该支付名称为*峰与社工库查询出来的博彩网站邮箱注册人一致。
从种种信息来看,最终查询所有查询出来的线索都指向同一个人,基本可以判断就是该人所为,到此我们的溯源就结束了。
总结
从一封邮件,一个域名,逐步探索出许多条信息,根据种种线索的指向,到最后汇集到了同一个人完成了闭环。有一个清晰的思路和细心的心都会查询出一个结果。最后给大家送上一句柯南名言:
犯罪手法是人想出来的,只要人绞尽脑汁,还是会想出答案的。——工藤新一
结尾
钓鱼事件屡见不鲜,经过种种案例所示,大家可以看出来钓鱼网站往往会伪装在我们生活中,利用相关的内容来诱使我们上当,轻则我们个人信息泄露,重则公司系统遭到入侵,形成不必要的损失;最后在这里提醒一下大家今后接收到不明邮件时,我们需要注意一下以下几点:
一、收到陌生邮不要轻易点开邮件及内容中出现的链接。
二、如若接收到不知名邮件,请先确认邮件的真实性。
三、在公共场上遇到免费网络Wi-Fi及热点建议不要轻易去使用。
四、仔细比对发件人名称是否出现相近后缀导致造成不必要失误。
本文作者:酒仙桥六号部队
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/147962.html