针对银行钓鱼事件的分析

相信不少人都有收到过钓鱼邮件的经历。然而,随着反垃圾邮件技术的更进,大多数这类邮件都会被系统自动屏蔽,而无法发送到用户邮箱。但是,大多数并不代表全部。下面的这个例子就是个很好的说明。

这封邮件的主题是用巴西葡萄牙语写的,主要内容是针对Santander银行“溢价”账户持有人的警告。不难看出,这是一封典型的钓鱼邮件。

附件诱骗钓鱼

对于普通用户而言,多数收到这类邮件的人,都只会通过简单的发件人信息来判断邮件的可信度,或者直接将其拖放到垃圾箱。但是对于安全分析师而言,我们希望深入了解附件包含的内容和消息的真正来源。

通过查看HTML源码,我们可以看到一个非常简单的图片链接:

打开该图片链接,是一个类似于Santander银行的页面。如下:

可以看到,该页面的内容依旧是用巴西葡萄牙语写的,并且页面上所有的联系电话,都为Santander银行的真实电话,整个页面的布局也完全与银行的沟通界面类似。需要注意的是,巴西银行从来不会通过电子邮件的方式,向客户发送任何安全警告。

页面的内容是在警告用户,他们的计算机上的安全模块已过期,如果不及时更新到最新版本,银行将向他们发出246.67BRL的罚单(约$80.00)。

钓鱼邮件来自何处?

一般情况下,攻击者很少会使用自己的服务器来发送钓鱼邮件。他们通常会利用手中的“肉鸡”,来替自己发送。

攻击者入侵或拿下一台服务器,往往都有其目的性。例如窃取机密数据,实施网络钓鱼,黑帽SEO等。当攻击者成功入侵并拿下服务器后,他们做的第一件事就是,创建一种方法来保持对该站点的持久控,制即便漏洞被修复。攻击者通常会在网站安装后门程序,根据我们2015年第三季度的“黑客入侵网站趋势报告”显示,72%遭到入侵的网站,都被安装了至少一个的基于PHP后门,攻击者通常都会安装多个后门,来保证自己的访问权。

一旦后门被成功安装,攻击者将会进一步的对目标站点进行渗透,以保证利益的最大化。

邮件头分析

我们可以通过对邮件头的分析,得到一些有价值的信息。

例如:

X-PHP-Originating-Script - 邮件发送所使用的脚本语言 Message-ID - 显示托管脚本的网站 X-Mailer - 邮件发送所使用的程序及版本

大伙可能注意到了,以上并没有出现X-HEADER的内容。这是因为X-HEADER,并非一个有效邮件事务所必须的。这些类型的头,都是由程序添加用以跟踪和调试目的的。

从以上头信息中我们可以得知,原始消息发送自add-from-server.php这个脚本,并且使用的是PHPMailer [1.73版本]。PHPMailer 1.73是一个非常老的PHPMailer版本,并且存在远程代码执行漏洞。

从Message-ID中我们可以找到钓鱼邮件的来源网站(上图马赛克),下面我将尝试使用SiteCheck对该站点进行扫描检测。

扫描原始站点

从扫描结果中我们惊讶的发现,该站点感染了垃圾SEO(黑帽SEO):

并且…根据SiteCheck显示的网站详细信息标签,我们可以看出该站点所使用的程序版本已经过时,并且存在安全漏洞。

我们不能确定,在网站上做垃圾SEO和发送钓鱼邮件的是否为同一攻击者,因为在此之前钓鱼攻击者对于发送垃圾SEO邮件的事并不知情。其实这也并不奇怪,一个网站同时遭受多个攻击者攻击的例子,在之前的文章我早有提及。

如何避免成为受害者?

现在让我们把目光转到之前发现的那个,用于发送消息的add-from-server.php文件上。该文件属于add-from-server插件下的一个文件,并且该插件存在CSRF漏洞。攻击者可以通过向管理员发送恶意构造的链接诱骗管理员点击,从而触发该漏洞将后门上传至目标站点。

网站所有者或其他管理员,都可能是被攻击的对象。下面是我的一些安全建议:

不要轻易相信您收到的电子邮件,特别是附件。 停用浏览器中的Javascript。 不要使用办公电脑,浏览有风险的网站。 使用信誉良好的杀毒软件。 设置足够安全和强大的密码。 对账户尽可能的启用双因素认证。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据库

数据库安全如何保障?这五点是关键!

数据泄漏的成本是昂贵的,这之中包含着业务的中断、客户信任的丧失、损失的法律成本、监管罚款和勒索软件攻击。 数据泄漏或导致巨大的影响。最好的防御是好的进攻,所以让...

22510
来自专栏网站漏洞修补

解决ecshop漏洞修补针对于外贸网站的漏洞修复

由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去...

1695
来自专栏安恒信息

Hacking Team 病毒测试环境分析

0x00 前言 安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test...

3905
来自专栏逢魔安全实验室

渗透基础-SSH后门分析总结

? ? 对于UNIX系统来说,ssh服务端作为最广泛应用的远程管理服务并且有一定对外开放的必然性,必然引起黑客关注,所以ssh类的后门也是uni...

7314
来自专栏IT技术精选文摘

窥探Nginx内部实现:如何为性能和规模进行设计

NGINX在网络性能方面处于领先地位,这一切都是由于软件的设计方式。尽管许多Web服务器和应用程序服务器使用简单的线程或基于进程的架构,但NGINX具有复杂的事...

2115
来自专栏逍遥剑客的游戏开发

LG WebOS TV降级方法

5699
来自专栏小白课代表

软件分享 | 3DS MAX 2018安装教程

3D Studio Max,常简称为3d Max或3dsMAX,是Discreet公司开发的(后被Autodesk公司合并)基于PC系统的三维动画渲染和制作软件...

1021
来自专栏杨建荣的学习笔记

一个拷贝操作导致的潜在监听类问题(r9笔记第70天)

最近为了统计一些服务器的监听使用情况,于是写了一个简单的脚本,在中控中执行,脚本逻辑很简单,也没有什么亮点。 脚本内容如下: #check $1 is IP b...

3187
来自专栏kevin-blog

介绍一个安卓远控木马

安全10月24日讯 新型安卓远程管理工具“AhMyth Android RAT”的源码出现在GitHub上,用户可在GitHub下载并测试这款RAT。今天就体验...

5.5K1
来自专栏后端技术探索

大众点评新开源项目-Camel(干货)

Camel 是大众点评开发的软负载一体解决方案,承担了F5四层硬负载后的软负载工作。Camel已成为大众点评网络流量中必不可缺的一层。

1993

扫码关注云+社区

领取腾讯云代金券