近來�,我們收到了一些有針對公司公用郵箱的魚叉式定點攻擊郵件���,這些郵件五花八門�,但是最終的目的還是要誘騙出郵箱的登錄口令����,從這一點來看�,就可以輕松識別出釣魚郵件���。以下是釣魚郵件的實例:
一����、釣魚郵件
識別要點:
-
發件人并非本公司的郵箱���;
-
收件人的郵箱與收件人不匹配�����,仔細觀察�,發現管理員administrator,成為了admlnistnator,這也是一個釣魚郵件的細節���;
-
更重要的是這里出現了要求填寫個人各種信息的內容�,更加明確了這就是一封垃圾郵件����。
這封郵件的欺騙程度更高�����!
-
仔細觀察發件人的郵箱是某地方銀行監督委員會的�����,它對于某些特定人群來看���,還是很有欺騙性的�;
-
郵件主題就是郵箱被凍結的警示信息��,讓你感覺事態十分嚴重����;
-
其次在郵件內容中說道“發現你的郵箱發送大量不良信息����,懷疑可能被盜用即將被凍結”���;
-
然后威脅說如果不及時解凍�����,就被懷疑這些不良信息就是你本人故意所為����;
-
逐步威脅加深�!最終就是讓你去點擊網站��;
二�、釣魚郵件分析
第一封郵件比較明顯��,一般不會中招���。下面主要來分析第二份郵件���。
1) 郵件頭分析
在outlook 2010中��,打開郵件��,通過文件—信息—屬性��,查看其屬性��,檢查郵件頭
從郵件詳情來看��,郵件來自“from ***.gov.cn (mail.****.gov.cn [202.**.**.11])”這是真實的某銀監會的mail的IP�����,
目前可以斷定���,這個郵箱****@***.gov.cn已經被利用����!再從Received: from dell (unknown [59.53.144.112])的信息來看�����,Received: from dell (unknown [59.53.144.112])�����,這個地址屬于江西南昌�����。
從地址的歸屬地來看����,發件人在江西而不是在深圳�����,也可以證明����,目前這個郵箱已經被利用����,正在發送釣魚郵件����。
2) 域名分析
http://www.outlook-***-**top/
域名中含有outlook 對于一些人來看來還是有些誘惑性的
對域名進行whois查詢:
從whois信息中得到了一些信息:
Email:a236****7@126.com
姓名拼音:zhou ru yi (周如意�����?)
手機號: 188****5641
注冊城市:徐州市
詳細地址:徐州市睢寧縣官山鎮
但這些信息是真實的還是偽造的還不能確認
3) 搜索引擎分析
通過域名持有人的郵箱�,a236****7@126.com��,猜測賬號中的數字信息可能是QQ號��。
于是通過這個QQ號23*****7�����,在網絡上搜索���,發現了不少的信息:
這個QQ在一些小黑客論壇比較活躍����,使我們進一步猜測這個qq就是釣魚者的��。
通過釣魚者的百度貼吧發現釣魚者曾經在蘇州吧比較活躍
而且發現了一個手機號
我把在貼吧發現的手機號和注冊域名的手機號一起看下:
188****5641 江蘇 徐州 (注冊域名時使用)
150****3072 江蘇 蘇州 (貼吧使用)
我們推測一下這個人是徐州人 在蘇州找工作
在釣魚者參與回復的一個帖子中:
推測釣魚者釣魚的目的應該可能是盜取郵箱推廣 郵箱營銷�����。
三�����、反控攻擊者
在第一時間我們就對釣魚網站進行了掃描��,程序比較簡單頁面較少���,沒有什么可以直接利用的漏洞���。在提交處提交了xss代碼��,但是不知道對方有沒有做相關過濾:
后臺地址:http://www.outlook-***-**.top/aa/admin/login.asp
嘗試下admin a236****7 登陸 密碼為攻擊者常用ID
登陸成功�。�。���。�。 
從管理員登陸的登陸記錄來看IP: 49.81.200.105 登陸的比較頻繁
我們更加懷疑攻擊者就是徐州人
四���、受害范圍
經過阿爾法實驗室分析��,發現從該網站上線至今��,已經有全國的不少人中招����,其中不乏有知名企業(騰訊����,京東)的郵箱賬號在其中�,職位有處長��、總工���、經理等�,危害甚大���。
看到也有人在對釣魚網站進行攻擊測試
不少人還是有安全意識的…
五�、后續
目前已經向 國家互聯網應急中心��、公安部網絡信息安全通報中心通報該事件�。
