首先,让我们对收到的这封邮件做一个基本概述
得益于正确的过滤器设置,这封邮件被立即移至垃圾邮件文件夹。然而,并非所有系统都启用了这些设置,或者配置得当。因此,我们假设,就像60%的企业邮箱一样,我们的邮箱也没有这些设置。
我们可以观察到:
1. 行动号召。“需要采取行动”
2. 操纵“重要性”。“重要邮件延迟”
3. 操纵发件人。发件人同时也是收件人
发件人身份是通过自定义构建的 SMTP 消息伪造的。此外,该邮件还经过代理服务器转发,并使用了来自巴基斯坦某教育机构的被盗凭据,从原始邮件头信息中可以看出:
Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher0. 首次查看
让我们打开邮件中的链接。警告:请勿在您的设备上打开可疑链接——它们可能含有病毒。
该链接格式如下: https://****.gitlab.io/#clients@pwn-all.net
为什么链接中会出现“GitLab”?
因为攻击者利用了 GitLab 托管静态网站的功能。托管本身并无不妥,但 gitlab.io 域名所带来的可信度有助于提升该域名的可信度,从而绕过某些系统的过滤机制。
步骤 1. 让我们来看看
让我们看看点击该链接后会发生什么,以及为什么会看到我们网站的首页(尽管显示有些怪异)。
我们可以看到,攻击者正在利用以下合法服务:
Google 和 ClearBit:获取网站图标(favicon
);Thum:获取网站宽度为 1200 像素的截图
此举主要旨在增强普通用户对假网站的信任——让用户看到熟悉的徽标以及背景中熟悉的公司网站。
步骤 2. 发送数据
假设我们是一位没有多加注意、输入了个人信息的普通用户。接下来会发生什么?
在此,我们已经可以看到对第三方服务的调用,例如:
1. ipinfo —— 用于收集用户的 IP 地址信息,具体包括:国家、地区、组织、大致位置、时区和邮政编码。 这很可能是为了确定后续登录应使用哪些代理或 VPN,或是为实施另一种社会工程学攻击准备电子邮件。
2. Google DNS ——用于获取 MX 记录,以确定邮箱的入口点。 推测是为了尝试通过 SMTP
进行验证。3. 请求实际发送到的并非代理服务器,而是攻击者的 Web 服务器。
那么,发往该服务器的有效载荷中包含什么内容?
基本上是一套标准内容。但是……来自服务器的响应却非标准。
回复中包含了数据保存位置的路径。这看起来像个玩笑,但绝非如此。
步骤 3. 深入分析
攻击者令人震惊的愚蠢,以及研究人员难以置信的运气。在这里,我们可以立即注意到一些看似由攻击者本人使用塞浦路斯IP地址进行的测试。 我们还能看到他的时区,这与塞浦路斯 IP 地址的标准时区不符——即西非标准时间。这理论上可能揭示了该垃圾邮件发送者的实际位置。
而且,嗯,我想我们确实很幸运。在检查了他的日志后,我们成功识别出一个来自尼日利亚拉各斯的重复IP地址。
随后我们又发现了一个来自尼日利亚的 IP 地址;至此,我们大概可以肯定地说,这确实是垃圾邮件发送者本人进行的测试。
遗憾的是,包括某银行员工、图书馆工作人员、房地产中介人员在内的数人上当受骗。 该垃圾邮件发送者很可能正在清理日志。受害者和托管服务提供商已收到通知。
为帮助您避免上当受骗,我们提供企业级解决方案,包括适用于电子邮件客户端的插件以及面向企业用户的数据泄露监测服务。 此外,我们还为个人用户提供了一项解决方案,该方案专注于在超过600个来源(包括数据窃取者泄露的数据、遭入侵的网站,以及暗网、Telegram或Discord上的帖子)中搜索个人数据时保障机密性和隐私。点击链接,了解更多关于DarkWeb Monitor的信息。
步骤 4. 建议
为防止类似的钓鱼邮件进入用户收件箱,请在 SMTP 网关层面实施严格的发件人身份验证。
建议采取的控制措施:
- 发布并维护以
-all. - 使用 DKIM 对所有外发邮件进行签名。
- 实施采用“拒绝”策略的 DMARC 政策