针对银行钓鱼事件的分析

相信不少人都有收到过钓鱼邮件的经历。然而，随着反垃圾邮件技术的更进，大多数这类邮件都会被系统自动屏蔽，而无法发送到用户邮箱。但是，大多数并不代表全部。下面的这个例子就是个很好的说明。

这封邮件的主题是用巴西葡萄牙语写的，主要内容是针对Santander银行“溢价”账户持有人的警告。不难看出，这是一封典型的钓鱼邮件。

附件诱骗钓鱼

对于普通用户而言，多数收到这类邮件的人，都只会通过简单的发件人信息来判断邮件的可信度，或者直接将其拖放到垃圾箱。但是对于安全分析师而言，我们希望深入了解附件包含的内容和消息的真正来源。

通过查看HTML源码，我们可以看到一个非常简单的图片链接：

打开该图片链接，是一个类似于Santander银行的页面。如下：

可以看到，该页面的内容依旧是用巴西葡萄牙语写的，并且页面上所有的联系电话，都为Santander银行的真实电话，整个页面的布局也完全与银行的沟通界面类似。需要注意的是，巴西银行从来不会通过电子邮件的方式，向客户发送任何安全警告。

页面的内容是在警告用户，他们的计算机上的安全模块已过期，如果不及时更新到最新版本，银行将向他们发出246.67BRL的罚单（约$80.00）。

钓鱼邮件来自何处？

一般情况下，攻击者很少会使用自己的服务器来发送钓鱼邮件。他们通常会利用手中的“肉鸡”，来替自己发送。

攻击者入侵或拿下一台服务器，往往都有其目的性。例如窃取机密数据，实施网络钓鱼，黑帽SEO等。当攻击者成功入侵并拿下服务器后，他们做的第一件事就是，创建一种方法来保持对该站点的持久控，制即便漏洞被修复。攻击者通常会在网站安装后门程序，根据我们2015年第三季度的“黑客入侵网站趋势报告”显示，72％遭到入侵的网站，都被安装了至少一个的基于PHP后门，攻击者通常都会安装多个后门，来保证自己的访问权。

一旦后门被成功安装，攻击者将会进一步的对目标站点进行渗透，以保证利益的最大化。

邮件头分析

我们可以通过对邮件头的分析，得到一些有价值的信息。

例如：

X-PHP-Originating-Script - 邮件发送所使用的脚本语言 Message-ID - 显示托管脚本的网站 X-Mailer - 邮件发送所使用的程序及版本

大伙可能注意到了，以上并没有出现X-HEADER的内容。这是因为X-HEADER，并非一个有效邮件事务所必须的。这些类型的头，都是由程序添加用以跟踪和调试目的的。

从以上头信息中我们可以得知，原始消息发送自add-from-server.php这个脚本，并且使用的是PHPMailer [1.73版本]。PHPMailer 1.73是一个非常老的PHPMailer版本，并且存在远程代码执行漏洞。

从Message-ID中我们可以找到钓鱼邮件的来源网站（上图马赛克），下面我将尝试使用SiteCheck对该站点进行扫描检测。

扫描原始站点

从扫描结果中我们惊讶的发现，该站点感染了垃圾SEO（黑帽SEO）：

并且…根据SiteCheck显示的网站详细信息标签，我们可以看出该站点所使用的程序版本已经过时，并且存在安全漏洞。

我们不能确定，在网站上做垃圾SEO和发送钓鱼邮件的是否为同一攻击者，因为在此之前钓鱼攻击者对于发送垃圾SEO邮件的事并不知情。其实这也并不奇怪，一个网站同时遭受多个攻击者攻击的例子，在之前的文章我早有提及。

如何避免成为受害者？

现在让我们把目光转到之前发现的那个，用于发送消息的add-from-server.php文件上。该文件属于add-from-server插件下的一个文件，并且该插件存在CSRF漏洞。攻击者可以通过向管理员发送恶意构造的链接诱骗管理员点击，从而触发该漏洞将后门上传至目标站点。

网站所有者或其他管理员，都可能是被攻击的对象。下面是我的一些安全建议：

不要轻易相信您收到的电子邮件，特别是附件。 停用浏览器中的Javascript。 不要使用办公电脑，浏览有风险的网站。 使用信誉良好的杀毒软件。 设置足够安全和强大的密码。 对账户尽可能的启用双因素认证。