一封钓鱼欺骗邮件分析,看看到底是谁在偷偷的关注你
2023-4-24 22:10:21 Author: www.freebuf.com(查看原文) 阅读量:58 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一、基本情况

今天一早上班,打开电脑,邮件中又多了一封”退税补助“的欺诈邮件。进入4月份,类似的邮箱真的太多了,光是4月18日那天就连续收到7封,这些骗子真的是太猖狂了,平时一般都不看直接删除了。

今天抽点时间,来看看到底想干嘛?

我们先来看看这封邮件:

1、群发邮件,收件人看邮箱地址来自国内不同地区、不同行业的公司和机构。

2、邮件附带一个退税.png的图片,里面是二维码

3、邮件内容要求及时申报退税,同时还有一个错别字,“以”应该是“已”,说明对方用的是拼音输入法。看到这里,忍不住对“骗子”提出一点意见:做人要有良心,做事更要用心!

具体邮件内容如下图所示:

af35c81255005c5bcdaabde64e0d01ff_1682343666.5164_706.png

二、邮件头分析

我们先来看看,邮件来自哪里。从邮件属性可以看到,邮件服务器是:mail8.dkcqrjw.cn,IP位于香港地址是:115.126.67.83,发送邮箱是:[email protected],具体如下表所示

2eb859bef486995dc51d39e6e8da6e7d.jpeg

从mail8我们可以大胆猜测是不是还有其他的mail1、mail2...,于是经过手动ping测试,发现竟然确实存在mail1到mail20共20个子域名,分别对应从115.126.67.76到115.126.67.95的IP地址,好富有。

dkcqrjw.cn域名经过查询,可以查到具体的注册人和QQ邮箱地址,如下图所示:

209ba392db07c6939e23cf57894e65a2_1682343666.9706_361.png

通过注册邮箱反查,发现其只有注册一个域名:

3005e5d433e18ba17c4df4605680ab17_1682343667.2387_329.png

三、欺骗二维码图片分析

接下来,我们来看看欺骗二维码的情况。

打开图片文件,二维码如下所示,竟然还自带“国徽”,赤裸裸的伪造国家单位。

1682344835_64468b83d8a89fefa1781.png!small

通过在线解析二维码,发现其指向的域名是:http://www.butie-users.cn,如下图所示:

1682344856_64468b985173bed446b37.png!small

于是,我们通过网络查询,发现butie-users.cn解析的IP地址是45.131.177.188,依然位于香港, IP地址的历史域名如下:

cbc43cdd8833baa90a6dda456f4a1d69_1682343668.0799_651.png

再次网络查询butie-users.cn域名的注册情况,如下图所示:

c71750feedb11e91835983edab01c536_1682343668.3436_347.png

通过注册邮箱进行反查,发现注册了两个域名,还有一个是:mail-admin.cn,当前解析的IP是103.225.84.143,依然位于香港。

12584e3eacb8ae41f2215cea7d5eb72a_1682343668.592_770.png

直接访问该域名,发现其是一个“OA邮箱实名备案系统”,猜测用于实施“备案”诈骗,获取用户邮箱地址和密码信息。

54340e724375017178313b72361fd297_1682343668.8145_505.png

查看103.225.84.143IP绑定的历史域名情况,主要如下:

7bff6bf66109ce23602e1f44c29c3078_1682343669.0701_450.png

发现这些批量的域名都是2023年2、3月注册的,目的应该是用于批量邮件攻击行动,通过频繁换域名来规避查杀、实行新攻击行动,目前对其中的一些域名的注册信息查询,基本都是中文名字,注册的邮箱主要来自:gmail、qq等。比如下表是另一个域名:bt41y.cn的查询结果:

df85092f131ee8859defebf532fac561_1682343669.3683_222.png

四、小结

综上分析,该行动属于"团伙"欺诈行动,主要是面向用户开展信息欺骗,骗取目标的个人信息,比如邮箱账户密码、身份信息等。因此,平时收到邮件信息一定要注意:

1、收件人是否为自己,常见群发、匿名攻击

2、发件人是否为熟人,沟通确认最安全

3、各种附件谨慎点,可执行文件最危险

4、输入身份信息前,切记要三思而行


文章来源: https://www.freebuf.com/articles/paper/364720.html
如有侵权请联系:admin#unsafe.sh