2020年2月12日,国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称CNCERT/CC)公布了一则《关于防范网络不法分子利用新型肺炎相关主题进行钓鱼邮件入侵的预警通报》。
通报里称,有网络不法分子利用最近疫情新型冠状病毒相关题材进行邮件攻击,导致部分用户终端被远程控制或用户信息被窃取。众多网友纷纷发来疑问二连击:什么是钓鱼邮件?钓鱼该如何来防御?“钓鱼邮件”是利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。许多人可能还是会觉得看不懂,那咱们直接来几个实例:当我们收到这样一封邮件时,可能会去打开并访问对应链接,进行相应信息的填报,然而,事情没有那么简单。
填写信息后,大家可以看到两个同样的链接,一个打开了另一个无法找到,其中第一副图的链接是真实填报健康信息的链接,而另一副的链接就是黑阔构造的链接。
看上去两个链接完全一样,但其实无法访问的那个链接已经利用IDN(国际域名)的特性进行了网址中y字母的改写(从word文档中看特别明显,大家可以都访问试试)真正上海的疫情填报信息网址是https://www.wdjky.com,而这封邮件伪造的网址为https://www.wdjkу.com,通过URL编码我们便能识破它的真面目,у字符变成了%D1%83的URL编码格式,而真正的y字符仍然保留。真正的字母y Unicode编码为:U+0079,而攻击者所改写的字符у Unicode编码为:U+0443。一旦黑阔利用相关伪造链接进行钓鱼,利用前端网页语言模仿真实疫情信息填报页面的话,那基本上是一个钓一个准的。这是一篇来自美国盆友的邮件,信中说明了新型冠状病毒很严重,请阅读相关文档来确保一些常见安全措施,但其实这篇描述如何确保自身安全不受疫情影响的附件文档本身却并不“安全”当邮件接收者下载并点开这类PDF、Word等通过office软件打开的文档时,文档上的文字会提示你“这是一个受保护的文档,需要点击启用内容来填写详细信息”,一旦你启用后,就会执行相关宏命令,它是一处可以写VB代码的地方,就像平时的Python,JAVA编程一样,VB代码也可以执行相关程序操作,当你启用宏以后它可能会进行如下代码工作- 从黑阔服务器中http://47.92.167.xx/file/background.png下载一个png伪装图片文件(其实是一个可执行木马文件)
- 将文件保存为$TEMP$/svchost.exe(伪装系统文件执行)
所以,一旦进行了相关操作,意味着你的电脑已经中了黑阔的相关木马,如果电脑上已经装有相关杀毒软件,那基本上可以进行防御(具体看黑阔的代码混淆、脱壳等免杀技术做的如何)。如果没有,恭喜你,你的计算机已经沦为黑客的"傀儡机"了。我们知道了常见的钓鱼邮件形式以及黑阔邮件钓鱼的手法,钓鱼邮件又该如何来防御?
警惕邮件钓鱼,不要轻易点击和打开来历不明邮件中的链接和附件;
及时升级系统,安装杀毒软件并更新病毒库,保证杀毒软件程序随时启动;
除非文档来自可信来源,否则请关闭 Office 宏。
及时更新操作系统补丁,避免漏洞被攻击者利用。
2月22日,纽盾股份首席网络安全专家针对此事件教您如何发现网络安全威胁,练就一双“火眼金睛”,提高网络安全意识。
![]()
纽盾股份
【公司介绍】
纽盾股份成立于2009年,是一家以“网络安全”为主轴,以“科技源自生活,纽盾服务社会”为核心经营理念,以网络安全产品的研发、生产、销售、售后服务与相关安全服务为一体的专业安全公司,致力于为数字化时代背景下的用户提供安全产品、安全服务、安全教育以及等级保护等网络安全整体解决方案。
【联系我们】
官网:www.newdon.net
电话:400-804-8858
总部地址:上海市杨浦区国权北路1688弄A5栋11层
分公司遍布北京、湖南、青海、海南、内蒙古、陕西、广州、深圳、河南等各大地区
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458303600&idx=5&sn=e9da2d842bb2162cda94627c000d21b5&chksm=b1818cfa86f605ecf63f28498e860e7571c6dbebd6351bf71a6fc4ae11fb3ecfb2e177fa9ccb#rd
如有侵权请联系:admin#unsafe.sh