一次钓鱼邮件的溯源与反制
2023-08-15武强刘光磊李锁钢
文/武强 刘光磊 李锁钢
近期,CERNOC安全小组一位同事在清理邮件垃圾箱时看到了一封钓鱼邮件,立即对其进行了跟踪与分析,发现其网站漏洞,并成功入侵后台数据库。
钓鱼邮件分析过程
一封躺在垃圾箱的钓鱼邮件
这是一封标题为“紧急:升级邮件配额”的电子邮件,并引导用户点击邮件中提供的链接,跳转到 http://rnail.com.cn。该网站宣称提供企业邮件升级服务,但实际是一个钓鱼网站,旨在骗取用户的个人账号和密码信息。
该邮件使用defsabyvo@mcbterfco.hk代发服务,并自定义了发件人信息为“OA升级通知”(Admin@xxx.com),其中“xxx.com”为收件人邮箱的域名。这种自定义方式极具迷惑性,容易让人误以为这封邮件来自本公司的邮件管理员。钓鱼邮件通常以邮件系统升级为诱饵,诱导收件人打开特定网页并填写账号密码等敏感信息。
转到钓鱼网站
点击OA升级页面,转到一个看起来像升级备案的网站,但实际上是一个恶意网站,该页面地址为http://rnail.com.cn。当用户访问该页面时,会被要求输入当前邮箱账户名和密码进行登记。一旦用户点击“登录”按钮,该网站就会弹出登记成功的信息,并跳转到公司域名。然而,此时用户所输入的个人信息已经被传回对方服务器并写入数据库中。
分析钓鱼过程
以上过程复现了钓鱼邮件及网站的基本工作流程,接下来我们尝试从已知信息挖掘一些其他有价值的资料。
首先,分析邮件头信息,查找钓鱼邮件的来源(如图1所示)。根据头信息,我们了解到邮件发送过程:bodjto@jxlgewjv.hk→hkmail.eastmoney.com → 接收者邮件服务器。根据IP查询可知,最开始的发送地址来自泰国,但是域名jxlgewjv.hk没有查询到相关记录,疑似已经关闭。
图1 邮件头信息分析
其次,查看钓鱼网站rnail.com.cn信息,whois查询到域名持有者姓名、邮箱信息,注册时间正是近几天。根据反查信息,发现该用户同时注册了很多相似的域名。其中,启用的域名大多指向同一台服务器地址134.122.191.149。经查询,这是新加坡的服务器地址。
扫描钓鱼服务器
使用工具对上述服务器IP地址进行端口扫描,结果显示,该地址开放了FTP、 MySQL以及多个Web端口:
尝试FTP匿名登录失败,MySQL端口做了地址限制,8888端口指向“/login”但是显示“404 NOT Found”。
利用漏洞反入侵
接下来,我们把目标转向钓鱼网站主页80端口。在分析过程中,我们发现该网站存在SQL注入漏洞,能够获取攻击者后台数据库内容。
由于输入参数过滤不严格,表单中两个参数都能作为注入点实施SQL注入攻击:
尝试通过SQL注入获取后台shell,但是权限不够,失败。利用SQL注入列出攻击者数据库目录:
数据库mailmail表信息:
数据库表admin记录了一个admin用户以及密码:
利用该信息尝试登录之前的FTP服务,登录失败。
数据库表yu中记录了受害用户输入的信息:
截至测试时间段,已有42名用户受到影响,其中包括edu.cn、gov.cn等教育及政府用户。由此可见,许多受害者输入了真实的邮箱和密码,导致相关信息被泄露。
钓鱼攻击威胁介绍
钓鱼攻击的概念
网络钓鱼是一种企图窃取敏感信息并加以利用或出售的行为,主要形式为伪装成信誉良好的来源,通过诱人的要求等手段来欺骗用户,窃取其用户名、密码、信用卡号、银行账户信息或其他重要数据。这种行为类似于渔夫使用诱饵来捕鱼,因此被称为“网络钓鱼”。钓鱼网站则是攻击者所创建的虚假网站,旨在模仿已知的合法网站,从而欺骗用户输入敏感信息。这些网站通常会使用与合法网站非常相似的域名和页面设计,但实际上都是由攻击者自己制作而成。需要注意的是,在网络钓鱼攻击中,攻击者往往会使用社交工程学等手段,通过破坏受害者的心理防线来达到诈骗的目的。
钓鱼攻击现状
根据调查,近年来随着互联网的快速发展,新的网络攻击形式——“网络钓鱼”呈现逐年上升的趋势。卡巴斯基的一份报告显示,2022年网络钓鱼攻击数量翻了一番,达到5亿多次。《IBM:X-Force威胁情报指数2022》指出,网络钓鱼成为2021年的首要感染媒介,超越了2020年领先的漏洞利用。据统计,在X-Force修复的事件中,网络钓鱼事件占到了41%。因此,如何及时高效地对网络钓鱼行为进行识别,成为亟待解决的安全问题。
网络钓鱼攻击通常会创建一个与合法网站相似度很高的虚假网站,从而通过诱骗用户访问虚假网站来窃取重要隐私信息(如用户姓名、电话、账号和密码等)。这将会造成严重的隐私泄露问题,进一步导致用户财产受到威胁。钓鱼网站的欺骗性很强,用户不细心、不谨慎就很容易上当受骗,而引导用户进入钓鱼网站的主要手段就是钓鱼邮件。图2是通过钓鱼邮件进行网络钓鱼的全过程。
图2 通过钓鱼邮件进行网络钓鱼的全过程
钓鱼攻击的危害
钓鱼邮件有两种侵害方式:第一种是用户没有发现邮件中链接的假网银或假网站,并输入了个人账户和密码等信息,导致信息泄露造成经济损失。攻击者可能会在假网站上记录用户的键盘输入,以后再利用这些信息进行诈骗。第二种是用户即便识破了假网银或假网站,也可能被攻击者的后招所伤。这是因为网站上可能携带恶意软件或木马,当用户访问该网站时,其电脑可能会被感染。
邮件入侵风险也不能忽视,黑客通过上述方式获取用户的邮箱账户名和密码,可以进一步获取更多敏感信息。在成功入侵用户邮箱之后,黑客还可以修改密码、删除重要邮件、损坏联系人资料等。如果被盗取的邮箱属于商业用户,则可能造成更大经济损失。更严重的是,国家公职人员,特别是敏感岗位工作人员在日常工作和生活中若不注意个人邮箱的安全问题,不小心点击了钓鱼邮件中的相关链接,将可能给国家安全带来极大危害。
钓鱼攻击实施步骤分析
钓鱼邮件是一种利用人性弱点进行攻击的手段,通常会使用易于接受的方式进行“钓鱼”,其实施通常包括图3所示的几个步骤。其中,关键一步就是“设计钓鱼邮件的内容”。
图3 钓鱼邮件的实施过程
钓鱼邮件在表面上看和正常邮件没有太大区别,内容通常类似于正常业务往来的邮件。但这些邮件内容往往非常吸引人,具有真实感或诱惑力,容易引起用户的重视。攻击者通常会通过各种途径获得相关用户信息,并向这些用户发送钓鱼邮件。
如果用户读取邮件时没有仔细检查,可能会根据钓鱼邮件提示填写相关信息进行回复,或点击链接登录钓鱼网站,从而泄露个人重要信息。
钓鱼攻击特征分析
钓鱼邮件利用人性弱点进行攻击,其实施过程和传播方式具有一定规律。我们通过分析钓鱼邮件的实施过程、传播方式以及钓鱼邮件相关实例,并结合垃圾邮件过滤器中垃圾邮件的特征进行分析,归纳出钓鱼邮件具有6个主要特征:一是邮件内容包含HTML语言描述;二是所有链接域名至少有一个与被保护列表中的对象相同;三是链接中含有引导点击的诱惑性关键字;四是邮件中多次出现的域名与链接登录的域名不一致;五是邮件中登录链接的域名与发件人邮箱域名不一致;六是发件人或收件人邮箱通常带有admin或管理员等诱导字段。掌握了这6个特点,可以提高识别和筛选钓鱼邮件的能力,降低信息泄露的风险。
钓鱼攻击防范指南
通过以上实例分析不难发现,钓鱼邮件具有极高的危害性,因此加强防范工作尤为重要。以下是针对钓鱼邮件攻击的一些防范建议:
第一,安装杀毒软件,并定期更新病毒库。开启杀毒软件扫描邮件附件功能,并且定期下载和安装系统和软件更新,以确保最新的安全补丁已经安装。
第二,不要轻易泄露邮箱密码信息,也不要将登录口令写在办公桌或容易被发现的记事本上,并定期更换办公邮箱密码。
第三,将个人手机号码与邮箱账户绑定,这样可以方便找回密码并接收“异地登录提醒”通知。
第四,不要使用工作邮箱注册公共网站服务,也不要使用工作邮箱发送私人邮件。
第五,对于不再使用的重要邮件,请及时清空收件箱、发件箱和垃圾箱。备份重要文件以防止文件丢失,在发送重要邮件或附件时要加密,并在正文中避免附带解密密码。
第六,不要轻信显示名。显示名可以随意设置,用户要注意查看发件人的完整邮箱地址。
第七,不要随意点击陌生邮件中的链接。如果正文中包含链接,则应该小心处理,因为大量的钓鱼邮件使用短链接或带有链接的字词来迷惑用户。用户如果收到类似于邮箱升级、邮箱停用的办公信息通知邮件,并且需要点击链接进行操作时,请务必仔细比对链接中的网址是否与单位网址一致。如果不一致,则很可能是一封钓鱼邮件。
第八,即使是来自熟人的邮件也要保持警惕。攻击者往往会利用已攻破的组织成员邮箱发送钓鱼邮件。用户如果收到来自朋友或同事的邮件,并且怀疑邮件内容的真实性,请直接拨打电话向其核实。
第九,不要在公共场所使用网络设备进行敏感操作。请勿在公共电脑上登录电子邮箱、使用即时通讯软件、网上银行或执行任何涉及敏感资料的操作。在连入WiFi后,请慎重考虑登录和收发邮件,因为免费的无线网络可能因缺乏管理而被不良分子利用来窃取用户信息。
第十,不要在互联网上发布敏感信息。用户发布到互联网上的信息和数据会被攻击者收集,攻击者可以通过分析这些信息和数据,有针对性地向用户发送钓鱼邮件。因此,请注意保护个人隐私,避免将敏感信息发布到互联网上。
如果不幸点开钓鱼邮件并感染了病毒或恶意软件,可以采取以下应急措施来降低钓鱼攻击带来的危害:
第一,立即向邮箱管理员报告,让专业的安全人员进一步处理,并开展系统清理和恢复工作。
第二,邮箱登录密码可能已经泄露,用户应该及时在其他机器上修改密码,以防止攻击者获取邮件、联系人等敏感信息,并阻止黑客进一步的攻击渗透。
第三,钓鱼邮件中的链接或附件可能包含病毒、木马或勒索程序。如果发现异常情况,请立即进行全盘扫描并使用多个杀毒软件进行交叉检测。
第四,断开受感染设备的网络连接(如拔掉网线或禁用网络),以避免其他设备被感染,同时控制安全事件的范围,防止敏感文件被窃取,减少安全事件带来的损失。
当今社会,电子邮件在给人们的工作、生活等带来巨大便利的同时,也带来了许多安全风险。因此,我们需要采取积极有效的措施防止网络钓鱼攻击。一方面,需要学习并掌握识别钓鱼邮件的特征,以避免上当受骗;另一方面,还应跟踪研究钓鱼邮件的实施方法和相关特征,并提出自动筛选钓鱼邮件的新规则和相关技术方法,以确保网络用户的安全。综上所述,在使用电子邮件时,请注意保护个人隐私安全,以确保工作和生活顺利进行。