简单分析群发的垃圾/钓鱼群邮件
前言
这几天 天天收到某个群里的群发的垃圾钓鱼邮件,前几天本想做一期的,单由于种种原因拖到现在,这样也好,收集到了不同的邮件。
注:本文属小白操作,大佬请绕道,小白有兴趣的可以看看,不喜勿喷。
内容
点进去任意一封邮件
基本上这种邮件都是诱人的标题,内容就是给你个链接,点进去要你输入QQ的账号密码,一输入玩,该账号基本上就中毒了。
先曝光下这些害人的QQ账号(当然,其中也有部分是自己点击进去然后中毒导致的,所以对账号部分信息进行马赛克处理,如有认识的请转告,再勿上当受骗)
部分始作俑者账号已进行举报,账号已封
网站
第一个链接网站
域名信息
综合了好几个账号收到的邮件内容,下图这个域名就是最多的
打开域名就是熟悉的QQ邮箱登陆页面,我想问那些中毒的受害者:你们看到过学校发东西何时是通过发群邮件给你的吗?别看到一个链接就一股脑的输入你的账号密码。
基本上不用想,这种域名都是没有备案的
但是可以查询到域名的注册信息(注册、备案等信息均为可见公示信息)
通过whois反查
反查得到,同一个邮箱/人,注册了上万条域名,就算一块钱一条的域名也要上万,.cn的域名活动价也要15块左右,土豪啊,基本上都是在2020年2月16日开始注册的,是否涉及“灰产”,这不做讨论,有渠道的可以举报一下。
服务器IP
通过dos命令可查到网站服务器ip,但是这没啥用,因为都是用的国内一些互联网站提供的免费备案虚拟主机或者云服务器,这也是有时候涉及到犯罪,国内网安等部门进行侦办遇到的棘手的一个问题
源码
打开页面调用开发工具页面,可以很清晰地看到源码
将源码复制下来,新建一个html文件
打开后可以得到一个一模一样的
代码中涉及到的一个QQ账号,不知道是始作俑者的还是受害者的,一个小号,已被官方永久冻结
第二个链接网站
下图这种是垃圾邮件中经常见到的,是用的短网址,下图的t.cn是新浪的短网址
还原后
最后还进行了跳转,结果还是同一种页面
域名同样是没有备案,有意思的是这个域名还套了个CDN,可能是主机自带的。
源码也差不多,在此不赘述
其余链接网站
其余的站点一个是短网址过期了
另一个还是第一个网址一样的注册信息
原理
其实这些站点的原理很简单,发到邮件并能打开的页面是前端(前台),它是连接着服务器,只要某一人输入账号和密码点击登录的那一瞬间就是相当于将自己账号密码保存到后台了,也就是保存到服务器的一个文件中,有些就是不保存而是连接着群发器等,一点击登录就直接开启群发了。而你自己这边啥也发生一样。
测试
注意:进行测试时请确保使用的浏览器QQ邮箱无cookie,因为他会调用QQ邮箱在你浏览器的cookie。
我这进行测试用IE浏览器以表尊敬
用了某厂大boss的账号试了一下,最后出现了第三张图的提示
调用了QQ邮箱登陆
最后博主做了个大胆的测试,用自己常用的浏览器(其中有QQ邮箱账号密码cookie)
它果不其然的调用了我的cookie登陆了,最后跳转到了移动端的QQ邮箱页面。为了以防翻车我就立马在安全中心打开了邮箱保护,作用就是登陆需要进行扫码,而这种网站,大部分是记录你的账号密码,一般做这种网站的还没能力进行记录并cookie解码,登录后顶多让你账号中毒。
仿站
弄一个并演示一下和其的原理一样的一个钓鱼网站
首页
登录页
最后跳转
后台得到的账号密码
最后
1、不要随便去乱点击一些链接后输入自己的账号密码,就算你开了设备锁也可能无济于事;
2、这些页面大部分不会有一键登录,就算有也是没用的,登录不了的,因为调用QQ一键登录是需要网站备案和QQ官方进行审核,所以,如一定要登陆就尽量使用一键登录;
3、钓鱼网站除了伪装QQ邮箱登陆,最多的还是使用QQ空间登录页面;
4、一般官方邮件或者通知都是放首页或者活动页面链接,不会一上来就让你登陆,想上述邮件的内容,官方也不会通过这种形式发送;
5、保护好自己的QQ账号,这种网页是真正的姜太公钓鱼-愿者上钩。
6、有渠道的有方法的劳烦举报一下上面那个,可能涉及灰产。
评论列表(2条)
本文百度已收录,肃由博客小程序用户可复制标题在百度中搜索即可查看
@肃由:简析群发的垃圾/钓鱼群邮件 | 肃由