说到钓鱼联想到的一定饵和钩,首先分析饵是什么,通过上述邮件大致分析其主要内容,为了邮件系统的安全因此要进行迁移,并且需要点击超链进行设置跳转。 点击后会跳转到下图登陆页面,其实初看登陆页面时,一个做安全的小伙伴问我:这不是内网邮箱?没有问题呀。可能也没有留意到,这个URL的前缀是192.168.5.10,看似内网地址,但地址后还有.d11h9e.cyou信息,是将192.168.5.10. .d11h9e.cyou作为域名信息、不熟悉URL的小伙伴可能会认为是内网地址,进行邮件的登陆。黑产团伙利用伪造内网地址的方式在URL前缀中加入了多级域名,如果不仔细观察,就会认为是内网地址,从而放下戒备,达到邮箱信息收集的目的。
有点小伙伴可能会存在疑问,我填写之后有什么危害吗?我的邮箱也没什么信息,盗就盗了呗。其实不然,虽然你的邮箱没有有价值的信息,但你邮箱信息的泄漏可能会危害到其他人的财产安全,发生被诈骗的事件。
安全研究人员针对情报进行分析,通过技术反制了一台黑产主机,并对主机进行的监控。接着从主机数据层面进行分析,深入挖掘整个黑产链的运作模式和邮箱钓鱼信息的最大化利用。
从被控者主机使用者的使用习惯和主机所存的数据,发现主机的使用人员不具备前端编程和Web搭建能力,猜测主机的使用人员并非钓鱼邮件发起者。此外从桌面信息上可以看到,存放了大量的***裂变.txt;QQ打开了多个群聊窗口,显示为债权登记。那么这个人是谁?又是怎么上线的呢?
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。