搜狐钓鱼邮件事件
大家好,我是若风
事情是这么一回事,搜狐的员工收到了一封邮件:
工资补贴!好家伙,人在公司坐,钱从天上来啊。
可能有不少员工在看到“工资补贴”四个大字后,平日里教导的信息安全意识早就抛到九霄云外去了,在0.1s的时间里,点开了附件。
不明来源的邮件,别乱点附件!!!
要实在好奇,想看,放到虚拟机里去,或者传到云端沙箱去都行。
这里咱们在虚拟机打开瞧瞧:
好嘛,还要扫二维码去领取。
猜猜看,为啥他不直接放个链接,直接点击不就行了?还费那功夫掏出手机来扫码?
因为现如今像样点的公司都配有防火墙、邮件安全检测、文件分析沙箱之类的产品,邮件、附件中的这些个链接都会被这些安全产品进行分析,一旦自己的链接被拉黑了,马上就能同步到全网,那不完犊子了。
而二维码就不一样了,很多分析系统还不具备有自动识别二维码的功能,就能躲开很多安全检测。
看来不法分子也在学习几步啊!
接下来扫一扫,看看又有什么诱惑在前面。
这页面做的还像那么回事:
点击申领:
开始套路了:系统升级···
拜托,能不能换个理由?这理由我见了有八百回了。
我们顺着他来,继续,进入填写信息的页面,注意看,要搜集敏感信息了。
任何时候,在输入身份证、手机号这些敏感的信息之前都要反复检查确认当前页面靠不靠谱!
咱们随便输入一点应付一下,接下来要让输入银行卡了!
再接下来就要让你输入验证码!
等你真正输入了验证码,又会找个理由告诉你:不好意思,弄不了。
看到这里各位看懂了吗?
有了你的名字、电话、身份证号、银行卡号,现在再有你的手机验证码?
该是时候醒悟了吧!
这个时候你的钱估计已经飞了。
要是还没醒悟继续听它页面上的,继续换卡再试,那我只能说:
too young too simple,sometimes naive.
没想到这么拙劣的钓鱼手段,还是有人上钩!而且上钩者多达24人!
溯源分析
接下来扒一扒这个幕后黑手到底是谁?
首先看一下二维码扫描得来的地址(注意,不同的钓鱼邮件,里面的二维码可能有所不同,URL也会不同):
http://arsa.fun
查一下他的whois信息,可以看到这个域名前几天刚刚注册:
在浏览器网络连接窗口,可以看到该域名实际解析后的IP地址:103.79.54.29。
根据奇安信提供的威胁情报,这个团伙背后注册了几百个这样的域名,并拥有多个IP地址,不断变换,从去年十二月开始就一直在钓鱼。
在其中的一个域名下,查到了其关联的注册人信息:
天上没有掉馅儿饼的事情,提高网络安全意识很重要啊!