今天为你们剖析一例垂钓短信的套路,希望能有助于提高电邮使用的安全意识。关于钓鱼网站,相信人人都听说过,各种报导新闻都有,其中的套路五花八门,但是其实没有亲身经历,所以很多人仍然逗留在知其然,不知其所以然。
钓鱼邮件功击仍然是难解决的问题,各大厂家纷纷出了各类反垃圾邮件系统,但是仍然是防不胜防。所以更多的还是应从防垂钓的安全意识培养来进行防御。
下面,是一个真实的案例。近日在安全运维服务过程中从某顾客的一台反垃圾邮件系统中得到的数据是垃圾邮件占总数的70%。来看下边这张图:4月-5月短信系统流量趋势图。
上图中,其中峰值最高的这天,一个邮箱失窃狂发垃圾邮件,导致公司邮箱通道阻塞,无法及时收发短信,当时从流量上看确认了这个问题,通过查找异常邮箱,对其进行处理之后才得以解决。
无意中,从朋友那儿得到一个钓鱼网站,打开一看是163邮箱的垂钓,页面做的非常相像,但是域名显著不是163下边的。这导致了我的注意!look
起初我以为这个网站就是一个钓鱼网站,心想黑掉钓鱼网站深藏功与名。在对这个网站一阵爆破扫描注入等等以后,我并没有发觉它的漏洞。
随后我对攻击者wp-admin这个路径进行遍历以后发觉了一些东西。
1.其他页面的垂钓链接,伪造的帐户将会被冻结相关内容,还做了一个倒计时让你输入密码。(这个倒计时功能页面,有时会特别吻合某公司、企业的电邮系统功能。)
2.攻击者留下的文件打包
随后,我将其下载出来进行了剖析。
Index.php是一个普通的php页面,就是上图的登陆界面,它将搜集从界面收到的用户名和密码,提交到3d.php文件中。继续跟踪……
不难看出,它将用户名和密码发送到了163.COM-3D@serverX.com这个域名下,然后随后进行了网页重定向到真正的163邮箱,其中还有攻击者的gmail邮箱。
好,我们重新来整理一下思路:
1.攻击者功击了一个网站领到shell(控制权限)之后,通常不自己搭建服务器,而是在网站挂钓鱼网站。
2.攻击者在serverX, (serverX .com 是一个虚拟的私人服务器)注册订购了一台服务器,专门拿来接收收到的邮箱帐户和密码。 很显然163.COM-3D这个域名就是攻击者专门拿来搜集163邮箱的域名。
当然, 这种事例还有好多,来瞧瞧这种(XXX@xxx.com是我随便写的,在实际使用时它是真正的邮箱)
还有这些,在收到的电邮内点击蓝色的链接会跳转到下边的网页。
总结
邮件功击目前采用鱼叉式网路垂钓功击,批量发给不同的人,这种功击容易防范。但是还有一种更中级的功击,如APT攻击,攻击者搜集了一定的信息,如短信系统网段曝露,攻击者可能采用的是遍历发给那些公司职工,钓鱼成功后直接登入公司电邮系统做下一步功击。
攻击者再也不是伪造邮箱,因为传统的伪造邮箱就会被拦截,而是真正的邮箱,这种邮箱反垃圾电邮系统早已无能为力。这是属于社会工程学中的一部分。
本文只是关于钓鱼网站类型的一小部份,下期将给你们带来其垂钓电邮的套路,如何进行社会工程学鱼叉式网络钓鱼、U盘功击、PDF功击、WORD功击等等。
to be continue……
