北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)研究发布了《2022年全球邮件威胁报告》(以下简称“报告”),报告数据显示:在2022年,全球每1000个邮箱,平均每月遭受的邮件攻击数量为299.27次(不含垃圾邮件),同比增加12.36%。钓鱼邮件攻击占比近7成。钓鱼邮件主要通过伪造发件人地址、发件内容,诱使被攻击者访问特定页面输入密码等信息,或者诱使被攻击者打开附件(伪造的word文件、压缩文件等),通过执行特定构造的附件来获取控制个人电脑等目的,精心构造的钓鱼邮件对企业安全威胁巨大,普通个人用户基本很难识别。下面通过一个真实的案例来介绍如何应对和防范钓鱼邮件攻击。
1.钓鱼邮件辨别
1.1接收到钓鱼邮件
如图1所示,收到一份“备案通知”这类邮件一般都会有一些指引性提示,让你进行下一步操作。在本例中是催促收件人对域名进行备案,在邮件中有一个立即备案的链接地址。
图1 收到钓鱼邮件
1.2钓鱼邮件的识别
钓鱼邮件是一种通过电子邮件发送的欺诈行为,该邮件通常伪装成合法实体(如银行,社交媒体平台、公司HR等),试图欺骗接收方提供敏感信息或进行不安全的操作。以下是几种识别钓鱼邮件的方法:
1.邮件地址验证
查看发件人的电子邮件地址是否与合法公司或组织的电子邮件地址匹配。如果邮件地址看起来可疑或与真实地址不匹配,则很可能是一封钓鱼邮件。在进行邮件地址识别是一定要跟真实的邮件地址进行比对,攻击者会申请一个跟真实邮件地址比较混淆的地址,不容易分辨。
2.嵌入式链接检查
将鼠标悬停在邮件中的链接上,查看链接指向的URL。如果链接看起来可疑或与所声称指向的网站不同,那么很可能是遭遇钓鱼邮件。
3.内容检查
仔细查看邮件中的语法和拼写错误。钓鱼邮件通常含有拼写和语法错误,这些错误可能显示该邮件不是由合法公司或组织发送的。
4.附加文件检查
如果附带的文件看起来可疑或与正常业务操作无关,则很可能是钓鱼邮件。切勿轻易下载或打开附件。查看邮件时可以先对附件进行查杀。
1.3钓鱼邮件真实识别案例
1.通过发件人地址识别
在本例中将鼠标移动到发件人中可以看到发件人真实地址为Cher@lifeacademy.org,发件人名称构造的是si**-c*.com。如图2所示。
图2 通过发件人地址识别
2.通过邮件内容识别
在本例中查看邮件底端内容,发现为乱码,如图3所示。
图3 通过邮件异常内容识别
3.通过“引导地址”识别
在邮件内容中有一个“立即备案”链接地址,该地址为www.oalkmail.xyz访问该地址后要求用户填写公司邮箱地址、登录密码、原始密码、公司职位及手机号码等。如图4所示。正规的网站地址不会是xyz后缀结尾的。明显可以看出该网站是伪造QQ登录邮箱。
图4收集邮箱密码等信息
1.4原始邮件内容分析
通过foxmail等工具找到该邮件,直接将其导出为eml文件,导出后通过notepad等工具打开,对其中的邮件正文可以通过base64解码直接查看原文,如图5所示,可以提取以下有用信息:
1.发送邮件服务器
Received: from mail.lifeacademy.org (unknown [60.250.58.68])
2.发件人邮件地址
Cher@lifeacademy.org
3.伪造的网站域名地址
www.oal***l.xyz
图5 原始邮件内容
4.对邮箱及域名信息进行查询
(1)Cher@lifeacademy.org及域名lifeacademy.org,搜索该结果显示为一个宗教类型的网站,如图6所示,域名备案跟这个是风马牛不相及。
图6 域名及邮件关键字查询
2.钓鱼邮件溯源分析
2.1威胁情报分析
(1)通过360威胁情报对其进行查询
如图7所示,显示为“钓鱼、欺诈地址、黑灰产”情报标签。其IP解析地址为:103.117.72.61
图7 威胁情报分析
(2)同IP域名解析
对该域名解析IP同域名进行查看,如图8所示,获取多个类似诈骗网站地址信息。
图8获取同IP多个解析域名信息
2.2源代码分析
打开诈骗www.oalkmail.xyz网站地址,对其首页查看源代码,通过源代码可以获取该网站是thinkphp编写,如图9所示。
图9通过源代码获取开源程序
2.3漏洞利用及分析
通过thinkphp漏洞利用工具对该目标站点所有漏洞进行检测,发现存在日志泄漏,如图10所示。
图10 漏洞利用检测
1.获取并下载日志文件
对目标站点进行日志遍历,例如https://www.oa*****.xyz/runtime/log/202304/14.log获取所有日志文件,将其下载到本地。打开所有的日志文件并搜索password关键字,如图11所示,获取后台账号密码。
图11搜索后台管理员密码
2.登录后台
使用账号及密码:admin/2699ExJZJr!@#*'直接登录后台(后台日志文件也能获取后台地址)如图12所示。
图12 获取并登录后台地址
3.后台获取所有钓鱼信息
如图13所示,在后台获取诈骗分子钓鱼获取的所有信息,包含姓名、手机、邮箱及密码等信息。
图13 获取所有被钓鱼人员信息
4.其他延伸
通过fofa.info对域名进行拓展,获取该IP下端口开放情况,如图14所示,该站点采用宝塔面板进行管理和部署,如图15所示。根据经验基本为诈骗团伙所用。
图14信息拓展
图15 宝塔控制面板
5.后记
随机对钓鱼获取的账号和密码信息进行测试,基本都能成功登录邮箱,如图16所示。
图16登录邮箱验证
3.钓鱼邮件攻击防范
3.1增强员工安全意识
企业可以通过定期开展安全培训或者发送警示邮件等方式提高员工的安全意识,使他们更加警觉,并且知道如何识别钓鱼邮件。
3.2识别钓鱼邮件
用户在收到邮件后要审慎地阅读邮件内容、查看邮件中的链接是否为合法链接、检查邮件的发送人是否真实等,以及注意检查邮件的附件是否真实合法。
3.3更新防病毒软件
保持系统和防病毒软件的最新版本,可以帮助防御各种病毒和恶意软件。
3.4加强网络与数据安全措施
企业要建立完善的网络和数据安全措施,并采用防火墙、数据加密等技术手段进行防范。
综上所述,提高员工的安全意识,识别钓鱼邮件,更新防病毒软件,加强网络与数据安全措施,可有效防范钓鱼邮件攻击