【真实案例】记一次钓鱼邮件的处理过程
作者:admin | 时间:2021-3-21 19:48:09 | 分类:黑客技术 隐藏侧边栏展开侧边栏
钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入***或***号码、账户名称及密码等而被盗取。
近几年的数据显示钓鱼邮件的数量少了,但是质量有所提高,特别是攻防演练中红队大佬做的钓鱼,让人防不胜防,有兴趣的可以看一下红队攻击:轻松玩转邮件钓鱼,下面是我遇到QQ邮箱钓鱼的处理过程,不当之处还请各位批评指正
1、小心辨认,切勿打开链接
今天我正在奋发图强的康正能量,突然收到教育部
来的邮件,还给我整了个挂科名单
这用脚丫子想也不可能啊,前段时间的考试我都是花了钱的(哈哈,开玩笑,凭我的才智还需要花钱么),我二话不说直接F12
找到真实链接
有些粗心大意的小盆友可能直接点了,它万一是下载什么东西自动执行那你直接玩完,不过这个还好,被浏览器拦了
但是有些浏览器不会,比如火狐
,直接跳到了QQ邮箱登陆界面
它的域名
与真实邮箱域名很相似,一般人很难注意到,而且这是手机版登陆界面,手机中的浏览器一般不会显示url地址,这就大大增加了钓鱼成功率,警觉的人应该很容易就能看穿,不过总有些小可爱会以为是自己账号登陆过期
了,然后毫不犹豫的再输入自己QQ账号和密码
,那么恭喜你,成功为黑客社工库贡献了一条可用记录,也许同时贡献的还有你几年Q龄的QQ号,多么无私、多么伟大、多么SP(东北名词)
我顺便查了下这个url的微步情报,不出所料,结果为安全,毕竟刚出来没多久
那咱不能惯着他,我反手就是一个举报
2、确认钓鱼,赶紧发出预警
既然确定了是钓鱼我就赶紧一个个添加抄送的QQ,并附上一句刚才有个钓鱼邮件【千万别点】
,这是个人邮箱
,抄送都不认识。如果是企业邮箱
,当然是立即上报
,并在内部群或OA里发布全体通告
别问为什么都是女的,问就是女士优先。加她们的时候我注意到都有一个特点,就是地址都在山东,有一个还跟我是一个地方的
而且还有一个相同之处,我们都有好几个共同好友
还有就是都会自动分到这个组里,我们都知道如果被添加人
跟你有共同好友
,那添加的时候就会自动
分到一个组里
而我这个组里都是以前的同学
,聪明的人已经想到了,这一定是某位同学的QQ被盗了,然后黑客通过好友关系
锁定我们的QQ邮箱开始扩散
钓鱼邮件,如果有人上钩,又会通过他的QQ再次扩散
,以此类推,所以要想追查
到最先被盗的QQ是很难的,除非这个钓鱼刚开始,还没有几轮
3、溯源反制,追踪幕后黑手
从发件人邮箱入手
找黑手就需要社工的手段了,我们先从这个所谓孙老师
的邮箱开始,这极有可能也是个受害者
,大家看看就好别攻击
基本信息就这些,空间也限制了访问
用Telegram查到了手机号
通过手机号又查到了他的微信
还有他的支付宝信息
,应该住在泰安
,但是这个已实名
就搞的我很怀疑人生,从微信和QQ看他怎么也是个男的,到支付宝这怎就变成女的了?难道是两性人?这个问题留给你们
点击转账猜到他应该叫什么爱梅
百度搜关键词会出来很多名字,支付宝每个账号每天可以试十次,用两三个账号应该很快会出结果,无聊的话可以试试,我感觉这个线索没啥用,所以就到此为止吧
从钓鱼链接入手
这个链接是注册的短域名,主要做跳转和防拦截,没有啥溯源价值
直接查跳转后的域名,刚刚注册了14天
通过注册人反查,发现共注册了7个链接,不过其他几个都打不开
目录扫描无果,也没有子域名,只扫描出三个端口,url大小写判断是Linux系统,然后用root用户爆破一下
爆破间隙看了下这个网站,Apache Tomcat/7.0.75
版本
使用goby也没有扫出漏洞
正想手工测试的时候
网站打不开了
再扫一下,web服务已被关闭
再看爆破成果,爆破出了3389端口,难道那边检测到爆破成功就停止服务了?看来远程桌面能连啊,他们害怕了,嗯一定是这样的
你体会过心情从起飞到坠毁是什么感觉么?呵呵,我体会到了,这是为什么啊!!!
使用CVE-2019-0708检测工具显示有NLA验证,我吐了,链接已经没心情放了,想用的自己百度去,或者来求我呀
哎!气是前天生的,文章是今天写的,所以你猜怎么着,我已经不生气了
所以链接就放这了:https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip
由于本人太菜了,这次溯源就到此为止吧,请原谅我
4、疑问及总结
爆破3306端口时一直提示这个,是站库分离的意思么
还有个问题,这又不是window系统,怎么会有NLA验证呢?还请大佬解答
总结:如何规避钓鱼邮件带来的风险
1.尽量避免直接点击邮件中的网络连接
2.回复邮件时,如果回复的地址与发信人不同,要谨慎对待
3.对于要求提供任何关于自己隐私(如:账号名、口令、银行账号等)的邮件,要谨慎对待
4.不要使用很简单的口令,如全零,生日等
5.尽量不要使用同一个口令,不同的账号,使用不同的口令
本文作者:爱国小白帽
本文为安全脉搏专栏作者发布,转自:https://www.secpulse.com/archives/153353.html