钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入***或***号码、账户名称及密码等而被盗取。

近几年的数据显示钓鱼邮件的数量少了,但是质量有所提高,特别是攻防演练中红队大佬做的钓鱼,让人防不胜防,有兴趣的可以看一下红队攻击:轻松玩转邮件钓鱼,下面是我遇到QQ邮箱钓鱼的处理过程,不当之处还请各位批评指正

image.png

1、小心辨认,切勿打开链接


今天我正在奋发图强的康正能量,突然收到教育部来的邮件,还给我整了个挂科名单

这用脚丫子想也不可能啊,前段时间的考试我都是花了钱的(哈哈,开玩笑,凭我的才智还需要花钱么),我二话不说直接F12找到真实链接

有些粗心大意的小盆友可能直接点了,它万一是下载什么东西自动执行那你直接玩完,不过这个还好,被浏览器拦了

但是有些浏览器不会,比如火狐,直接跳到了QQ邮箱登陆界面

它的域名与真实邮箱域名很相似,一般人很难注意到,而且这是手机版登陆界面,手机中的浏览器一般不会显示url地址,这就大大增加了钓鱼成功率,警觉的人应该很容易就能看穿,不过总有些小可爱会以为是自己账号登陆过期了,然后毫不犹豫的再输入自己QQ账号和密码,那么恭喜你,成功为黑客社工库贡献了一条可用记录,也许同时贡献的还有你几年Q龄的QQ号,多么无私、多么伟大、多么SP(东北名词)

我顺便查了下这个url的微步情报,不出所料,结果为安全,毕竟刚出来没多久

那咱不能惯着他,我反手就是一个举报


2、确认钓鱼,赶紧发出预警

既然确定了是钓鱼我就赶紧一个个添加抄送的QQ,并附上一句刚才有个钓鱼邮件【千万别点】,这是个人邮箱,抄送都不认识。如果是企业邮箱,当然是立即上报,并在内部群或OA里发布全体通告

别问为什么都是女的,问就是女士优先。加她们的时候我注意到都有一个特点,就是地址都在山东,有一个还跟我是一个地方的

而且还有一个相同之处,我们都有好几个共同好友
还有就是都会自动分到这个组里,我们都知道如果被添加人跟你有共同好友,那添加的时候就会自动分到一个组里

而我这个组里都是以前的同学,聪明的人已经想到了,这一定是某位同学的QQ被盗了,然后黑客通过好友关系锁定我们的QQ邮箱开始扩散钓鱼邮件,如果有人上钩,又会通过他的QQ再次扩散,以此类推,所以要想追查到最先被盗的QQ是很难的,除非这个钓鱼刚开始,还没有几轮

3、溯源反制,追踪幕后黑手

从发件人邮箱入手

找黑手就需要社工的手段了,我们先从这个所谓孙老师的邮箱开始,这极有可能也是个受害者,大家看看就好别攻击


基本信息就这些,空间也限制了访问


用Telegram查到了手机号

通过手机号又查到了他的微信

还有他的支付宝信息,应该住在泰安,但是这个已实名就搞的我很怀疑人生,从微信和QQ看他怎么也是个男的,到支付宝这怎就变成女的了?难道是两性人?这个问题留给你们

点击转账猜到他应该叫什么爱梅

百度搜关键词会出来很多名字,支付宝每个账号每天可以试十次,用两三个账号应该很快会出结果,无聊的话可以试试,我感觉这个线索没啥用,所以就到此为止吧

从钓鱼链接入手

这个链接是注册的短域名,主要做跳转和防拦截,没有啥溯源价值


直接查跳转后的域名,刚刚注册了14天

通过注册人反查,发现共注册了7个链接,不过其他几个都打不开

目录扫描无果,也没有子域名,只扫描出三个端口,url大小写判断是Linux系统,然后用root用户爆破一下


爆破间隙看了下这个网站,Apache Tomcat/7.0.75版本

使用goby也没有扫出漏洞

正想手工测试的时候

网站打不开了

再扫一下,web服务已被关闭

再看爆破成果,爆破出了3389端口,难道那边检测到爆破成功就停止服务了?看来远程桌面能连啊,他们害怕了,嗯一定是这样的

你体会过心情从起飞到坠毁是什么感觉么?呵呵,我体会到了,这是为什么啊!!!

使用CVE-2019-0708检测工具显示有NLA验证,我吐了,链接已经没心情放了,想用的自己百度去,或者来求我呀

哎!气是前天生的,文章是今天写的,所以你猜怎么着,我已经不生气了

所以链接就放这了:https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip

由于本人太菜了,这次溯源就到此为止吧,请原谅我

4、疑问及总结

爆破3306端口时一直提示这个,是站库分离的意思么

还有个问题,这又不是window系统,怎么会有NLA验证呢?还请大佬解答

总结:如何规避钓鱼邮件带来的风险

1.尽量避免直接点击邮件中的网络连接

2.回复邮件时,如果回复的地址与发信人不同,要谨慎对待

3.对于要求提供任何关于自己隐私(如:账号名、口令、银行账号等)的邮件,要谨慎对待

4.不要使用很简单的口令,如全零,生日等

5.尽量不要使用同一个口令,不同的账号,使用不同的口令


本文作者:爱国小白帽

本文为安全脉搏专栏作者发布,转自:https://www.secpulse.com/archives/153353.html