本文来自真实的乌云白帽追踪钓鱼行为的过程,希望企业与各位能重视这种看似“弱智”的钓鱼攻击,“姜太公们”设下的陷阱远比我们想象的缜密、恐怖。另外附上几个白帽子反黑的案例,看看到底有多少人会受骗中招。
(感谢 西安零日网络科技有限公司 的网络安全专家 核攻击(核总/乌云白帽子)联合 乌云漏洞报告平台 发布的预警内容,详细预警技术报告请见本文最后)
如果你认为钓鱼攻击就是做个假登录网页,写封欺骗邮件这么简单,那只能说明你 too naive … 问题源自上周末乌云君的一次较大规模的钓鱼攻击预警:
这个是钓鱼邮件原文(没错吧,应该很多人都收到过。嗷,在梦里~在梦里见过你~)
想了解为啥钓鱼信息都这么“弱智”,并且还有人飞蛾扑火?!请看这里 为什么诈骗短信看上去那么弱智?简单来讲钓鱼者的目标不是精明的对手,而是最low的队友。
微博上乌云君接到了很多网友的反馈并且分析出了几个信息点:
沈**:有同事已经中招了..
yan***_***:上个月收到了,还真有同事上当。上当原因非常经典,某领导收到,立马转发提醒大家这是欺诈邮件别信,结果那谁说他没认真看,以为领导叫他回复一下。我彻底无语
chy***:这都好久了吧… 我们这至少一个月前就有人收到过了
- 这伙钓鱼攻击很久了
- 确实有人中招
- 分析结果这个钓鱼横跨了国内互联网多个行业、领域以及从业人员。
因为邮件钓鱼成本极低,所以我们会经常收到类似邮件,但等等!以上似乎是很正常的事儿啊,钓鱼邮件垃圾邮件你收到的还少么乌云君,敏感过头了吧?白帽子敏锐的直觉告诉我们,这次碰到有趣的大家伙了,接下来才开始本次的正文。
————————————–萌萌哒分割线—————————————–
白帽子和乌云君都发现发给自己的钓鱼邮件的头信息中原始发件者都是真实的邮件地址与服务器,比如:
很可疑不是么,明明伪造了地址为啥还有真实邮件地址呢?经过白帽子的分析发现,原来这位“姜太公”居然 控制了一大批政府、互联网企业的合法邮箱,利用这些合法邮箱与服务器向外界发送钓鱼欺诈邮件!这么做到目的猜测有两点:
- 可对该企业内部进行深入的渗透&钓鱼攻击(来自你老大的邮件你信不信?)
- 利用真实的企业邮箱绕过反垃圾规则(不会进入多数邮件系统的垃圾箱)
思路缜密啊,但是“姜太公”是怎样控制这些企业邮箱的呢?可以大量获取可利用的邮箱有个捷径,那就是批量扫描弱密码。在密码框输入 123456 后,登录成功了…(哎,当初为啥非得买阿根廷)
答案目前已经被我们揭开了一角,就像新婚之夜掀开了伴郎,啊不新娘盖头一霎那的鸡动,因为在这个邮箱内果然 发现数以千计的已发送钓鱼邮件!!!
数量足有上千封,这仅仅只是几个小时内的接收量(投递失败的系统退信或邮箱自动回复数据进行模糊判断)。从时间间隔、退信以及自动回复比例保守估计,该犯罪团伙已使用这个邮箱发送了至少上万份钓鱼邮件(仅一个邮箱哦,该犯罪团伙所掌握的弱口令企业邮箱应该远远不止这一个)。
从海量的退信邮件内容中分析发现这些邮件都是发给了各种网站管理员、企业员工、各类政府网站邮箱等,种类繁多。
这些邮箱都是通过搜索引擎批量获取的,被加入列表进行钓鱼欺诈,目标对准攻击企业内部OA系统。乌云君会继续关注该钓鱼攻击事件影响,同时将信息与证据提交给相关处置机构进行处理,希望能得到已受影响的企业用户列表并且进行告知。
反思这个事件暴露出的一些问题:
- 企业邮箱存在大量的弱口令账户,很容易被扫描得到
- 离职人员邮箱未能注销,管理混乱出了问题也不会被发现
企业邮箱在不知不觉中泄漏的自己的内部机密,也成了他人的帮凶,参考一些乌云上因企业邮箱安全导致的影响的案例吧,问题由来已久。
附上乌云一些有趣的反黑案例,真实的证明了会轻信此类钓鱼的决不在少数!
没错,就是道哥黑板报前几天发的那个钓鱼站点被白帽子揭开了面纱,受害者不少啊
本文只是节选白帽子整个技术分析过程中的点滴,完整内容请见:
http://lcx.cc/?i=4396 (作者原文)
“太公钓鱼,愿者上钩。”
———————————————
网站:乌云漏洞报告平台
微博: 乌云君
微信: wooyun_org
知乎专栏: 乌云君 – 知乎专栏
联系邮箱: help@wooyun.org
— 完 —
本文作者:知乎用户(登录查看详情)
【知乎日报】
你都看到这啦,快来点我嘛 Σ(▼□▼メ)