真假顺丰官网,小心密码又被钓鱼!

VSole2023-03-21 10:09:03

作为国内领先的快递物流综合服务商、全球第四大快递公司,顺丰同时也是我国物流运顺的关键基础设施单位,长期以来成为黑产团伙重点攻击目标,近期,Coremail邮件安全团队发现,黑产团伙正大量使用不同的攻击手段组合假冒顺丰官方www.sf-express.com网站 进行钓鱼,套取用户密码。

攻击案例1:html附件钓鱼

本案例中钓鱼邮件攻击手法已由传统的正文+链接钓鱼转变为正文+html附件攻,黑产团伙通过对受害人发送【SF发票下载】主题的钓鱼邮件,引诱用户打开html附件套取密码。

由于这种方式钓鱼网站URL出现在正文中,黑产团伙尝试以此规避钓鱼URL检测。

打开HTML附件,受害者会进入黑产仿制的顺丰官网

针对此类威胁,Coremail邮件安全AI实验室现已将此类钓鱼邮件特征更新至反垃圾特征库,对此类威胁进行阻断,但不排除攻击者在近期使用类似的手法继续进行攻击。

对于该案例,Coremail也与中睿天下团队紧密协作,合作进行深度溯源,通过分析得知钓鱼链网址为

“hxxp://www.tsatcr.com/Eng/xG/SF/SF-Express/?login=xxxxxx.report@”,直接访问该域名得知此站疑似被控,未获得其它有用信息,附件详细信息及分析过程如下所示。

(一)附件分析

附件为一份名为“SF Outstanding Invoices”的html文件,该文件中主要是让收件人点击后访问“hxxp://www.tsatcr.com/Eng/xG/SF/SF-Express/?login=xxxxxx.report@”该链接。源码中的内容如图一所示。

图一

附件源码中的网址为钓鱼页面,如图二所示。

图二

(1)直接访问正文中链接的域名“hxxp://www.tsatcr.com”,该网站为正常的网站。如图三所示。说明攻击者利用失陷的正常网站搭建钓鱼网站页面。

图三

(二)钓鱼邮件发信源IP分析

(2)发信邮件服务器Ip为,79.141.164.176,ip归属地为荷兰 北荷兰省 阿姆斯特丹。此ip及发件的域名(inbox.0nnya.com)威胁情报标记为“垃圾邮件”。如图四所示。

图四

(3)邮件是由0时区发送至东八区。如图五所示。

图五

攻击手法2:仿冒顺丰官网进行链接钓鱼

除了使用HTML附件攻击,Coremail安全团队也发现仿冒顺丰官网的链接钓鱼十分猖獗,如下图所示拦截的主题为:【SF快递到达详情确认】的链接钓鱼。

与传统链接钓鱼不同的是,该案例中钓鱼URL并不以超链接形式出现,而是以纯文本形式出现。黑产团伙引诱用户复制链接进入以下钓鱼网站,企图获取用户账密。

经中睿天下溯源分析邮件源码可以发现发送邮件的IP地址为198.252.107.103

查询此ip发现其归属地为中国/香港

经初步判断此ip可能为攻击者的网络出口地址,或者代理转发地址。

对该ip进行开源情报查询,发现此ip被标注恶意

(一)钓鱼链接分析

邮件正文显示诱导链接为 https://nivandcc.ir/svedew/index.html

目前仍可以访问,页面预览如下:

测试暂未发现此网站有跳转现象,解析此域名ip为195.201.55.155,

查询此IP归属地点来自德国/萨克森自由州/法尔肯施泰因。

且查询此域名发现spf校验为软拒绝,即此域名可以伪造,该域名无可继续追溯价值。

根据开源情报发现该ip关联多个恶意木马程序,包括Emotet恶意软件木马病毒、Generic盗号木马等。

Trojan.Generic属于一种常见的盗号木马,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。

Emotet是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。Emotet 主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果您下载文档或打开链接,则其他恶意软件会自动下载到您的计算机上。

判断该ip为攻击者购买使用国外服务器ip,该服务器开放995/pop3s、443、80等多个端口。

在此,CAC邮件安全与中睿天下提醒广大用户:

1、不要轻易在可疑网站中输入个人身份证信息、银行卡号、密码。

2、提高警惕,切勿轻易点击邮件中的可疑链接/附件 或扫描二维码!

3、可选择使用邮件安全设备如Coremail邮件安全网关进行拦截防护。

4、加强意识安全教育,定期对全公司员工进行【反钓鱼演练】,并对公司重要岗位职工(财务、管理层)进行重点教育;

5、积极举报威胁邮件,携手共建邮件安全环境:举报邮箱:cac-team@coremail.cn。

钓鱼钓鱼邮件
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络钓鱼19式
2022-11-27 07:33:13
随着技术的进步,黑客和网络犯罪分子将不断开发新的网络钓鱼技术来窃取敏感数据。更专业的攻击者甚至会从合法公司复制完全相同的电子邮件格式,并包含恶意链接、文档或图像文件,以欺骗用户“确认”其个人信息或自动下载恶意代码。建议通过适当的渠道与该帐户的个人核实沟通。在过去,浏览器可以检测到没有启用HTTPS的网站,这是防止网络犯罪的第一道防线。
职场安全防护指南,建议收藏!
钓鱼攻击手法很多,攻击仿真度越来越高,且真假难辨。Gophish是为企业和渗透测试人员设计的开源网络钓鱼工具包。撰文搭建Gophish钓鱼系统,还原邮件钓鱼的基本操作流程,希望从一个攻击者的视角看到安全的不足之处,提高安全意识。
近期,人工智能聊天机器人ChatGPT几乎火爆全网,它能根据要求进行聊天,能撰写论文、创作诗歌,还能编写代码、生成剧本等等,可谓是“上知天文,下知地理”,在展现出AI惊人能量的同时,也为世界带来了不可思议的新能力。
干货满满 建议收藏 反复阅读钓鱼邮件钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动。 邮件安全意识培训资料下载1、关注【CACTER邮件安全公众号】,后台回复关键词【邮件
在这个日益数字化的时代,对电子邮件安全需求是至关重要的。新兴的高级威胁邮件:应用社工技术的钓鱼邮件,仿冒公检法的钓鱼邮件等等,都需要更高级的防御策略。 Coremail邮件安全人工智能实验室,整合了高级文本语境理解和智能图像处理能力,得以显著增强钓鱼邮件的检测能力,为千万级各行业终端用户提供服务。 Coremail邮件安全人工智能实验室介绍Coremail邮件安全人工智能实验室
gophish钓鱼平台搭建
2022-07-18 10:59:57
近期需要组织个应急演练,其中有个科目就是邮件钓鱼,为了这个科目进行相关环境搭建,主要利用Gophish搭建钓鱼平台,由于是使用ubuntu所以使用
网络钓鱼攻击是最常见、最容易让受害者中招的网络犯罪之一,随着网络技术的不断发展,攻击者的伪装手段也变得愈发狡诈,攻击频次也再增高,各种新奇的攻击方式层出不穷。有些攻击者可通过网络钓鱼窃取企业内部的关键信息,对企业组织的业务安全、信息安全防护带来了巨大的风险,如何识别攻击者的各种诈骗花招,保护企业和员工的关键信息安全已经成为大多数企业的重要任务。
VSole
网络安全专家