搜狐的钓鱼邮件，骗了5万！

搜狐钓鱼邮件事件

大家好，我是若风

事情是这么一回事，搜狐的员工收到了一封邮件：

工资补贴！好家伙，人在公司坐，钱从天上来啊。

可能有不少员工在看到“工资补贴”四个大字后，平日里教导的信息安全意识早就抛到九霄云外去了，在0.1s的时间里，点开了附件。

不明来源的邮件，别乱点附件！！！

要实在好奇，想看，放到虚拟机里去，或者传到云端沙箱去都行。

这里咱们在虚拟机打开瞧瞧：

好嘛，还要扫二维码去领取。

猜猜看，为啥他不直接放个链接，直接点击不就行了？还费那功夫掏出手机来扫码？

因为现如今像样点的公司都配有防火墙、邮件安全检测、文件分析沙箱之类的产品，邮件、附件中的这些个链接都会被这些安全产品进行分析，一旦自己的链接被拉黑了，马上就能同步到全网，那不完犊子了。

而二维码就不一样了，很多分析系统还不具备有自动识别二维码的功能，就能躲开很多安全检测。

看来不法分子也在学习几步啊！

接下来扫一扫，看看又有什么诱惑在前面。

这页面做的还像那么回事：

点击申领：

开始套路了：系统升级···

拜托，能不能换个理由？这理由我见了有八百回了。

我们顺着他来，继续，进入填写信息的页面，注意看，要搜集敏感信息了。

任何时候，在输入身份证、手机号这些敏感的信息之前都要反复检查确认当前页面靠不靠谱！

咱们随便输入一点应付一下，接下来要让输入银行卡了！

再接下来就要让你输入验证码！

等你真正输入了验证码，又会找个理由告诉你：不好意思，弄不了。

看到这里各位看懂了吗？

有了你的名字、电话、身份证号、银行卡号，现在再有你的手机验证码？

该是时候醒悟了吧！

这个时候你的钱估计已经飞了。

要是还没醒悟继续听它页面上的，继续换卡再试，那我只能说：

too young too simple，sometimes naive.

没想到这么拙劣的钓鱼手段，还是有人上钩！而且上钩者多达24人！

溯源分析

接下来扒一扒这个幕后黑手到底是谁？

首先看一下二维码扫描得来的地址（注意，不同的钓鱼邮件，里面的二维码可能有所不同，URL也会不同）：

http://arsa.fun

查一下他的whois信息，可以看到这个域名前几天刚刚注册：

在浏览器网络连接窗口，可以看到该域名实际解析后的IP地址：103.79.54.29。

根据奇安信提供的威胁情报，这个团伙背后注册了几百个这样的域名，并拥有多个IP地址，不断变换，从去年十二月开始就一直在钓鱼。

在其中的一个域名下，查到了其关联的注册人信息：

天上没有掉馅儿饼的事情，提高网络安全意识很重要啊！