电子邮件网络钓鱼细节解析之确认密码钓鱼

一、钓鱼邮件内容

二、钓鱼网站页面

三、钓鱼网页代码

四、代码结构与核心功能分析

1. 核心威胁定位

该页面是一个典型的钓鱼攻击载体，通过高度混淆的JavaScript代码和伪装成系统通知的UI界面，诱导用户输入敏感信息（如密码），并将数据外传到攻击者控制的服务器。代码设计具备以下威胁特征：

2. 关键脚本分析

(1) JavaScript混淆与动态执行

函数名混淆：所有函数名（如_rR、_kA、_HE）和变量名均经过混淆，通过短命名和_前缀干扰静态分析。

动态代码执行：

//javascript

function _Gh(r){return eval(r);}

使用eval执行动态生成的字符串代码，可能用于解密恶意逻辑或加载外部脚本，规避安全检测。

(2) 数据加密与传输逻辑

字符串拼接与编码：

函数_R3通过循环拼接ASCII字符生成字符串，可能用于构造恶意URL或解密密钥：

//javascript

function _R3(p,f){var i=_aV();for(l=p;l<=f;l++){i=i+_fC(l)}return i;}

异或加密：

函数_pT(e,k){return e^k}使用异或运算，可能用于加密窃取的用户数据，规避网络流量检测。

(3) 数据窃取逻辑

表单输入劫持：

页面包含隐藏的表单输入字段（通过CSS伪装），可能通过input事件监听用户输入的凭据。

数据外传：

函数_da和_ek中的字符处理与位操作，可能将用户数据编码后通过XMLHttpRequest或动态<img>标签发送到攻击者服务器。

3. 页面伪装技术

(1) 视觉欺骗

模仿Microsoft登录页面：

使用Segoe UI字体、蓝色按钮（#0067b8）和阴影效果，仿冒Microsoft官方风格。

伪造系统通知：

标题“Greetings”和隐藏的“系统通知”电子邮件上下文，诱导用户信任。

(2) 反检测机制

屏蔽搜索引擎索引：

//html

<meta name="robots" content="noindex, nofollow, noarchive">

避免被搜索引擎收录，延长攻击生命周期。

禁用缓存：

//html

<meta http-equiv="Cache-Control" content="no-store">

防止用户通过缓存回溯到合法页面。

4. 攻击链推测

(1) 诱饵传播：通过钓鱼邮件“系统通知: 确认你的密码”诱导用户点击链接。

(2) 凭据窃取：用户输入密码后，混淆脚本加密数据并外传至攻击者服务器（如_kA生成的URL）。

(3) 横向渗透：可能利用窃取的凭据进行撞库攻击或企业内部系统渗透。

5. 威胁等级评估

(1) 严重性：高

直接窃取用户凭证，可能导致账户接管、数据泄露及后续攻击。

(2) 隐蔽性：极高

代码混淆、动态执行及加密通信机制，难以被传统安全工具检测。

(3) 传播性：中

依赖邮件社工诱导，需用户主动交互。

6. 防护建议

(1) 用户侧：

警惕来源不明的“系统通知”邮件，验证URL域名合法性。

启用多因素认证（MFA），降低凭证泄露风险。

(2) 企业侧：

部署邮件安全网关（如Proofpoint），过滤钓鱼邮件。

使用行为分析工具（如Darktrace）检测异常数据外传。

(3) 技术分析：

动态调试反混淆脚本，提取C2服务器地址并阻断。

监控eval及XMLHttpRequest的异常使用模式。

五、总结

该钓鱼页面通过高度专业化的混淆技术和视觉伪装，精准针对企业用户凭证窃取。其代码设计体现了攻击者对前端安全机制的深入理解，需结合动态分析与威胁情报进行深度防御。

编辑：芦笛（公共互联网反网络钓鱼工作组）