深入调查揭秘钓鱼邮件

说到钓鱼联想到的一定饵和钩，首先分析饵是什么，通过上述邮件大致分析其主要内容，为了邮件系统的安全因此要进行迁移，并且需要点击超链进行设置跳转。 点击后会跳转到下图登陆页面，其实初看登陆页面时，一个做安全的小伙伴问我：这不是内网邮箱？没有问题呀。可能也没有留意到，这个URL的前缀是192.168.5.10，看似内网地址，但地址后还有.d11h9e.cyou信息，是将192.168.5.10. .d11h9e.cyou作为域名信息、不熟悉URL的小伙伴可能会认为是内网地址，进行邮件的登陆。黑产团伙利用伪造内网地址的方式在URL前缀中加入了多级域名，如果不仔细观察，就会认为是内网地址，从而放下戒备，达到邮箱信息收集的目的。

有点小伙伴可能会存在疑问，我填写之后有什么危害吗？我的邮箱也没什么信息，盗就盗了呗。其实不然，虽然你的邮箱没有有价值的信息，但你邮箱信息的泄漏可能会危害到其他人的财产安全，发生被诈骗的事件。

2.2. 钓鱼邮件挖掘与反控

安全研究人员针对情报进行分析，通过技术反制了一台黑产主机，并对主机进行的监控。接着从主机数据层面进行分析，深入挖掘整个黑产链的运作模式和邮箱钓鱼信息的最大化利用。

从被控者主机使用者的使用习惯和主机所存的数据，发现主机的使用人员不具备前端编程和Web搭建能力，猜测主机的使用人员并非钓鱼邮件发起者。此外从桌面信息上可以看到，存放了大量的***裂变.txt；QQ打开了多个群聊窗口，显示为债权登记。那么这个人是谁？又是怎么上线的呢？