邮箱被盗,受到网络钓鱼攻击,如何甄别规避?

news/2024/11/30 9:39:20/

文章目录

  • 前言
    • 🚀 一、概述
    • 🚀 二、事件分析
      • 🌈 2.1 邮件投递
      • 🌈 2.2 实施诈骗
    • 🚀 三、资产分析
      • 🌈 3.1 资产特点
      • 🌈 3.2 溯源结果

前言

微步情报局监测发现多起黑产组织针对国内手机用户的邮件和短信诈骗行为,防范网络钓鱼大多靠员工自觉,需要有“火眼金睛”去甄别

在这里插入图片描述
在这里插入图片描述

🚀 一、概述

2022年5月25日,微博认证为“搜狐公司董事局主席兼CEO张朝阳”的“搜狐charles”用户发布信息称,因搜狐员工内部邮箱被盗,进而受到网络钓鱼攻击,并表示目前技术部门及时介入,损失较小。

在这里插入图片描述

综合当前信息进行溯源追踪,经微步在线情报局确认,这是Ganb黑产组织(微步在线内部命名)发起的又一次“网络钓鱼”攻击。微步在线情报局早在去年就捕获并持续追踪一批灰黑产组织自2021年末至今以医疗保障金领取,公积金补贴等名义,通过大量群发钓鱼邮件和短信进行钓鱼诈骗。在2022年3月份左右,Ganb黑产组织攻击愈发猖獗,对金融行业展开大规模钓鱼攻击,微步情报局已及时对其活动进行通报。微步情报局对其具体分析如下:
🚩该黑产组织针对多个行业生成多种对应话术模板,通过邮件和短信大量群发进行广撒网钓鱼,使用的钓鱼话术以“医疗保障金领取”,”工资补贴”为主,其最终目的为盗取受害者的银行卡,手机号,银行卡密码,身份证号等信息并对其进行诈骗。
🚩关联发现,该黑产组织最早于2021年12月活跃至今,日渐猖獗。受害者涉及较多。
🚩该黑产组织关系模式属于“一人开发,分销多人”,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限,涉及多人。
🚩使用的资产具有较强的反侦察意识,相关域名、管理后台站点均隐藏信息,并使用全流量DNS解析服务进行分发流量,最终导向黑客组织拥有的香港亚马逊服务器
🚩该黑产组织使用DGA技术生成大量域名做跳板,保证其网站存活性同时具有迷惑作用,同时使用若干域名做调度,最终指向该组织的真实资产。
🚩该黑产组织使用的资产及跳板域名无明显特征,资产选用没有明显规律且资产变化部署极为迅速,便于在域名遭到封禁时快速转换资产绑定域名,保证其相关资产持续可访问。

🚀 二、事件分析

微步情报局监测发现多起黑产组织针对国内手机用户的邮件和短信诈骗行为,其目的为收集受害者身份证、银行卡号、手机号等多种隐私信息并对其进行诈骗。其详细诈骗手法分析如下:

🌈 2.1 邮件投递

首先该黑产组织群发邮件至受害者邮箱或群发短信至受害者手机(以邮件发送为主),邮件正文谎称”财务部发放工资补贴,扫码即可领取”,以及“领取医疗保险金”等来吸引受害者兴趣,该组织利用DGA域名生成技术,生成了大量用于做为跳板的DGA域名,将其制成二维码。受害者通过手机扫描二维码来解析到对应的钓鱼页面。

在这里插入图片描述

🌈 2.2 实施诈骗

当用手机扫描二维码后,进入对应钓鱼页面,值得一提的是,在跳转的过程中,
会通过获取请求流量中的特征(UserAgent字段和屏幕分辨率等信息)从而分辨受害者的手机系统类别(安卓,苹果)。检测到访问设备为电脑时会提示“请使用手机访问”,
此页面主要作用为诱导受害者填写银行卡,姓名,手机号,身份证号等详细信息。

在这里插入图片描述

当受害者如实填写信息提交后,该钓鱼页面会进行弹框提示,通过后台实时自定义的提示弹框提示对受害者进行下一步诈骗。如“CVV错误,请重新输入有效期和CVV”,“请输入网银密码”等,
通过后台实时人工针对不同情况对受害者进行精准诈骗。

在这里插入图片描述

🚀 三、资产分析

🌈 3.1 资产特点

1. 收集确认到大量的该黑产组织后相关资产及关联资产后,发现以下特征:
钓鱼邮件中二维码扫描后解析出的域名一般为自动生成的无规律域名(俗称DGA域名),
生成算法未知,但从注册域名长度一般为4-6位的随机数字或者字母组合,
配合run、xyz、pro、nuo等免费顶级域名组合使用,如下图所示:

在这里插入图片描述

2. 为管理生成的大量DGA域名并保证域名解析到指定的诈骗界面,
该组织使用配置cname指向特定调度域名来对DGA域名进行分类调度。
DGA域名被访问后,首先会解析到配置cname指向的某一site*.ganb.run域名,
再由site*.ganb.run域名指向对应的解析ip,开始业务通信。原理如下图所示:

在这里插入图片描述

3.根据其服务基本配置信息可以发现以下特征:
a)用site*.ganb.run的公网域名作为CNAME调度域名,公网域名如下:
i.site01.ganb.run
ii.site02.ganb.run
iii.site03.ganb.run
iv.site04.ganb.run
v.site05.ganb.run
vi.site06.ganb.run
vii.site07.ganb.run
b)实际的域名访问方式,DNS解析如下图所示,钓鱼域名cname到site*.ganb.run,随后由site*.ganb.run调度解析到实际解析ip。

在这里插入图片描述

c)目前收集到*.ganb.run最终解析到的ip共有12个,包含国内外的各种云主机。地址如下:
viii.103.123.161.205
ix.167.172.61.83
x.91.89.236.15
xi.163.21.236.11
xii.47.57.3.168
xiii.45.129.11.106
xiv.13.71.136.247
xv.119.28.66.157
xvi. 27.124.17.20
xvii.103.158.190.187
xviii. 47.242.105.202
xix.103.118.40.161

🌈 3.2 溯源结果

1.通过一定溯源分析手段,进入了该团伙后台总控地址,获取到网站详细信息。如下图所示:

在这里插入图片描述

通过分析发现,该平台共有8个用户账号,对应使用不同的钓鱼手法及模板进行钓鱼。也因此推测该开发者该黑产组织关系模式属于“一人开发,分销多人”,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限。且根据账号密码特征分析,该系统开发者自身也使用了其中两个账号参与到了此次钓鱼攻击中。

2.通过使用账号密码登陆对应后台,在后台界面发现大量用户信息,粗略统计,总体受害者规模已达数千人,且后台提交受害者数据仍在不断增加。

在这里插入图片描述
在这里插入图片描述

在其后台设置发现,其后台系统设置中,内置了一些钓鱼页面字段填写开关,例如姓名开关,银行卡号开关等。旨在指定手机受害者相关信息。
同时通过功能判断,其内置了共计8套钓鱼模板,且可自定义跳转的弹窗文字。

在这里插入图片描述

具体模板如下:
1.ETC模板(已有在野利用)
2.新-ETC模板(已有在野利用)
3.社保模板(已有在野利用)
4.医保模板(已有在野利用)
5.某团模板
6.工商模板
7.某政模板
8.某东-某政模板
9.某鱼模板(已有在野利用)
部分钓鱼邮件话术模板如下:

在这里插入图片描述
部分钓鱼网站模板如下:
在这里插入图片描述

建议企业根据以上信息内部自查是否有收到涉及相关主题、正文的邮件及短信,并及时对员工通报预警,提醒员工不要相信此类话术及网站。

3.通过其总控后台的域名管理发现,该黑产组织目前手中掌握有大量的DGA跳板域名,共计831个,用以快速变换域名绑定部署,对抗域名封禁。

在这里插入图片描述

同时通过其域名添加时间记录发现,相关域名最早添加于2021年12月26日,证明该组织至少于2021年12月左右就已经开始登场活跃。

在这里插入图片描述

4.通过以上多种数据维度分析,判断该组织为一个典型的黑产组织,以公积金,医疗保障金等生活相关的话术进行大批量撒网钓鱼,引导受害者进入其部署的诈骗网站。目前已有大量受害者。同时区别于以往黑产的自动化钓鱼方式,该组织使用了“人工值守”方式提高钓鱼成功率,即后台人员实时根据受害者填写提交的信息进行弹框提示,精准引导、诈骗受害者。
网络钓鱼攻击通常都基于社会工程学,利用了员工的心理漏洞,绕过了企业的被动防御技术/措施,从而导致“中招”,这是网络钓鱼攻击屡屡得手最关键的因素之一,这就形成了目前的尴尬局面,防范网络钓鱼大多靠员工自觉,需要有“火眼金睛”去甄别。
被动防御难以奏效,这就要求我么从一个新的角度,通过新的方法去主动防御。比如微步在线的OneDNS,通过DNS与威胁情报相结合,在点击链接或“扫码”跳转到“钓鱼网站”时,针对域名进行甄别,一旦发现是网络钓鱼等恶意域名时,就停止解析并返回拦截页面,提示访问有风险。

在这里插入图片描述

图注:OneDNS拦截页面,OneDNS在域名解析时,会与威胁情报库比对,一旦发现是恶意域名,就会停止解析,并返回拦截页面
如果您也担心或正在为网络/邮件钓鱼烦恼,那么不妨试试OneDNS。

OneDNS申请试用地址:
https://page.ma.scrmtech.com/landing-page/index?pf_uid=15831_1728&id=11278&channel=28881

在这里插入图片描述


http://www.ppmy.cn/news/746993.html

相关文章

网络入侵敲响警钟,数据安全不容忽视!

提起网络安全,很多人都会想到黑客入侵,DDoS攻击,这些大多数是对个人电脑的攻击,但实际上,在网络世界里,个人与企业同样需要重视网络安全,尤其是很多企业把数据上云,这个时候对数据资…

计算机检查到的无线路由信息,怎么检查自己的无线Wifi是否被盗用偷网

我们在生活中,可能随时就是在Wifi中,甚至会离不开它。然而,有时会发现自己的Wifi网速特别慢,可能你的Wifi已经被别人盗用了。怎么查看自己的Wifi被盗用呢?下面我就介绍一下具体怎么检查自己的无线Wifi是否被盗用偷网&a…

网络怎么查是否被盗用!?

在浏览器输入:192.168.1.1; 路由器设置 登陆帐号 密码分别 是 admin; 点系统工具-》流量统计 ; 就可以看谁在上你的网络,第一个是自己的,第二个就是别人的地址。

【网络安全】短信被盗刷怎么办?

一、参考资料 被恶意刷验证码短信怎么办?_风控牛的博客-CSDN博客_被恶意短信验证码攻击怎么办 防盗刷指南 - 短信服务 - 阿里云 攻击者用不同IP、号码大量恶意调用,牵涉到服务费用(短信接口被盗刷系列2)_newxtc的博客-CSDN博客…

leetcode周赛352

leetcode周赛352 1. 最长奇偶子数组 思路分析 这是一道变形的双指针题目我们可以使用相关算法模板基础上来书写左边界:偶数,且小于值threshold;所以我们需要寻找符合要求的左边界判断是否奇偶相间:只有 奇数偶数奇数 class Solution {static…

【Unity实战】制作类元气骑士、挺进地牢——俯视角射击游戏多种射击效果(二)(附源码)

文章目录 前言一、火箭筒1. 编写火箭筒脚本2. 创建火箭弹和新爆炸特效的预制体3. 编写火箭弹脚本4. 设置好火箭弹和火箭筒的脚本和参数5. 运行效果 二、激光枪1. 编写激光枪脚本2. 先运行游戏,看看效果3. 美化射线4. 完善代码5. 再次运行游戏6. 升级URP项目7. 后处理…

专注情感故事短视频,三感video获千万级A+轮融资...

3月15日消息,情感故事短视频三感video获得千万级A轮融资,投资方为微博和合一资本,本轮融资将用于拓宽内容品类、发力红人经纪以及情感服务平台“三感情感”的服务升级。 此前,三感video已经获得过两轮融资:2016 年获得…