朔源钓鱼邮件

钓鱼邮件攻击分析

北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）研究发布了《2022年全球邮件威胁报告》（以下简称“报告”）。报告数据显示：在2022年，全球每1000个邮箱，平均每月遭受的邮件攻击数量为299.27次（不含垃圾邮件），同比增加12.36%。其中，钓鱼邮件攻击占比近七成。

1.钓鱼邮件辨别

1.1接收到钓鱼邮件

如图1所示，收到一份“备案通知”这类邮件一般都会有一些指引性提示，让你进行下一步操作。在本例中是催促收件人对域名进行备案，在邮件中有一个立即备案的链接地址。

图1 收到钓鱼邮件

1.2钓鱼邮件的识别

钓鱼邮件主要通过以下方式进行攻击：

1. 伪造发件人地址：冒充合法机构或熟人，增加受害者的信任度。
2. 伪造发件内容：诱使被攻击者访问特定页面并输入敏感信息，如密码、银行账号等。
3. 诱使打开恶意附件：附件通常伪装成合法文件（如word文件、压缩文件等），当受害者打开后，执行特定构造的恶意代码，从而获取对个人电脑的控制。

精心构造的钓鱼邮件对企业安全构成巨大威胁，普通个人用户基本很难识别。

真实案例分析

为了更好地应对和防范钓鱼邮件攻击，我们来看一个真实案例。

案例介绍

某企业员工小李收到了一封来自“IT支持部门”的邮件，邮件内容为“紧急系统升级通知”，并附带了一个名为“系统升级指南.docx”的附件。邮件要求小李立即打开附件并按照指南操作，否则将无法正常使用公司系统。

小李打开了附件，运行了其中的宏脚本，结果导致电脑被远程控制，企业内网被攻击者渗透，造成了严重的安全事件。

防范措施

1.3钓鱼邮件真实识别案例

通过发件人地址识别钓鱼邮件

在识别钓鱼邮件时，检查发件人地址是一个重要的步骤。很多钓鱼邮件通过伪造发件人名称来迷惑收件人，使其误以为邮件来自可信的来源。然而，通过查看实际的发件人地址，可以发现其中的异常。

示例分析

在本例中，我们将鼠标移动到发件人名称上，发现真实的发件人地址是 Cher@lifeacademy.org，而伪造的发件人名称显示为 si**-c*.com。这一信息如图2所示。通过这种方法，可以有效地识别出邮件是否为钓鱼邮件。

通过发件人地址和邮件内容识别钓鱼邮件

识别钓鱼邮件是保障网络安全的重要步骤之一。本文将介绍如何通过发件人地址和邮件内容识别钓鱼邮件，并提供具体的案例分析和防范措施。

1. 通过发件人地址识别钓鱼邮件

钓鱼邮件常通过伪造发件人名称来迷惑收件人，使其误以为邮件来自可信的来源。通过查看实际的发件人地址，可以发现其中的异常。

示例分析

在本例中，我们将鼠标移动到发件人名称上，发现真实的发件人地址是 Cher@lifeacademy.org，而伪造的发件人名称显示为 si**-c*.com。这一信息如图2所示。通过这种方法，可以有效地识别出邮件是否为钓鱼邮件。

图4收集邮箱密码等信息

1.4原始邮件内容分析

• 使用Foxmail导出邮件为eml文件：
  • 打开Foxmail，并找到目标钓鱼邮件。
  • 右键点击该邮件，选择导出为eml文件。
  • 保存到你选择的位置。
• 使用Notepad解码Base64并查看原文：
  • 打开Notepad或任何文本编辑器。
  • 将导出的eml文件打开或拖放到Notepad中。
  • 在eml文件中找到邮件正文部分，通常以"Content-Type: text/plain"开头。
  • 将Base64编码的部分复制。
  • 打开一个在线Base64解码工具，将Base64编码粘贴进去解码。
  • 查看解码后的原文内容。
• 从邮件中提取的有用信息：
• 发送邮件服务器：Received: from mail.lifeacademy.org (unknown [60.250.58.68])
• 发件人邮件地址：Cher@lifeacademy.org
• 伪造的网站域名地址：www.oalk×××.xyz

对邮箱及域名信息进行查询：

1. Cher@lifeacademy.org 及域名 lifeacademy.org 查询：
   • 使用搜索引擎或WHOIS查询工具查询邮箱地址 Cher@lifeacademy.org 和域名 lifeacademy.org。
   • 查询结果显示域名 lifeacademy.org 与一个宗教类型的网站相关联，如图6所示。
   • 域名备案信息与邮件内容中提到的发送邮件服务器不相符，存在可能的伪造或欺诈行为。

图6 域名及邮件关键字查询

2.钓鱼邮件溯源分析

2.1威胁情报分析

（1）通过360威胁情报对其进行查询 如图7所示，显示为“钓鱼、欺诈地址、黑灰产”情报标签。其IP解析地址为：103.117.72.61

图7 威胁情报分析 （2）同IP域名解析 对该域名解析IP同域名进行查看，如图8所示，获取多个类似诈骗网站地址信息。

图8获取同IP多个解析域名信息

2.2源代码分析

打开诈骗www.oalkmail.xyz网站地址，对其首页查看源代码，通过源代码可以获取该网站是thinkphp编写，如图9所示。

图9通过源代码获取开源程序

2.3漏洞利用及分析

通过thinkphp漏洞利用工具对该目标站点所有漏洞进行检测，发现存在日志泄漏，如图10所示。

图10 漏洞利用检测 1.获取并下载日志文件 对目标站点进行日志遍历，例如https://www.oalkmail.xyz//runtime/log/202304/14.log获取所有日志文件，将其下载到本地。打开所有的日志文件并搜索password关键字，如图11所示，获取后台账号密码。

图11搜索后台管理员密码 2.登录后台 使用账号及密码：admin/2*****'直接登录后台（后台日志文件也能获取后台地址）如图12所示。

图12 获取并登录后台地址 3.后台获取所有钓鱼信息 如图13所示，在后台获取诈骗分子钓鱼获取的所有信息，包含姓名、手机、邮箱及密码等信息。

图13 获取所有被钓鱼人员信息 4.其他延伸 通过fofa.info对域名进行拓展，获取该IP下端口开放情况，如图14所示，该站点采用宝塔面板进行管理和部署，如图15所示。根据经验基本为诈骗团伙所用。

图14信息拓展

图15 宝塔控制面板 5.后记 随机对钓鱼获取的账号和密码信息进行测试，基本都能成功登录邮箱，如图16所示。

图16登录邮箱验证

3.钓鱼邮件攻击防范

3.1增强员工安全意识

企业可以通过定期开展安全培训或者发送警示邮件等方式提高员工的安全意识，使他们更加警觉，并且知道如何识别钓鱼邮件。

3.2识别钓鱼邮件

用户在收到邮件后要审慎地阅读邮件内容、查看邮件中的链接是否为合法链接、检查邮件的发送人是否真实等，以及注意检查邮件的附件是否真实合法。

3.3更新防病毒软件

保持系统和防病毒软件的最新版本，可以帮助防御各种病毒和恶意软件。

3.4加强网络与数据安全措施

企业要建立完善的网络和数据安全措施，并采用防火墙、数据加密等技术手段进行防范。综上所述，提高员工的安全意识，识别钓鱼邮件，更新防病毒软件，加强网络与数据安全措施，可有效防范钓鱼邮件攻击