一次釣魚(yú)郵件的溯源與反制

文/武強(qiáng) 劉光磊 李鎖鋼

近期，CERNOC安全小組一位同事在清理郵件垃圾箱時(shí)看到了一封釣魚(yú)郵件，立即對(duì)其進(jìn)行了跟蹤與分析，發(fā)現(xiàn)其網(wǎng)站漏洞，并成功入侵后臺(tái)數(shù)據(jù)庫(kù)。

釣魚(yú)郵件分析過(guò)程

一封躺在垃圾箱的釣魚(yú)郵件

這是一封標(biāo)題為“緊急：升級(jí)郵件配額”的電子郵件，并引導(dǎo)用戶點(diǎn)擊郵件中提供的鏈接，跳轉(zhuǎn)到 http://rnail.com.cn。該網(wǎng)站宣稱提供企業(yè)郵件升級(jí)服務(wù)，但實(shí)際是一個(gè)釣魚(yú)網(wǎng)站，旨在騙取用戶的個(gè)人賬號(hào)和密碼信息。

該郵件使用defsabyvo@mcbterfco.hk代發(fā)服務(wù)，并自定義了發(fā)件人信息為“OA升級(jí)通知”（Admin@xxx.com），其中“xxx.com”為收件人郵箱的域名。這種自定義方式極具迷惑性，容易讓人誤以為這封郵件來(lái)自本公司的郵件管理員。釣魚(yú)郵件通常以郵件系統(tǒng)升級(jí)為誘餌，誘導(dǎo)收件人打開(kāi)特定網(wǎng)頁(yè)并填寫(xiě)賬號(hào)密碼等敏感信息。

轉(zhuǎn)到釣魚(yú)網(wǎng)站

點(diǎn)擊OA升級(jí)頁(yè)面，轉(zhuǎn)到一個(gè)看起來(lái)像升級(jí)備案的網(wǎng)站，但實(shí)際上是一個(gè)惡意網(wǎng)站，該頁(yè)面地址為http://rnail.com.cn。當(dāng)用戶訪問(wèn)該頁(yè)面時(shí)，會(huì)被要求輸入當(dāng)前郵箱賬戶名和密碼進(jìn)行登記。一旦用戶點(diǎn)擊“登錄”按鈕，該網(wǎng)站就會(huì)彈出登記成功的信息，并跳轉(zhuǎn)到公司域名。然而，此時(shí)用戶所輸入的個(gè)人信息已經(jīng)被傳回對(duì)方服務(wù)器并寫(xiě)入數(shù)據(jù)庫(kù)中。

分析釣魚(yú)過(guò)程

以上過(guò)程復(fù)現(xiàn)了釣魚(yú)郵件及網(wǎng)站的基本工作流程，接下來(lái)我們嘗試從已知信息挖掘一些其他有價(jià)值的資料。

首先，分析郵件頭信息，查找釣魚(yú)郵件的來(lái)源（如圖1所示）。根據(jù)頭信息，我們了解到郵件發(fā)送過(guò)程：bodjto@jxlgewjv.hk→hkmail.eastmoney.com → 接收者郵件服務(wù)器。根據(jù)IP查詢可知，最開(kāi)始的發(fā)送地址來(lái)自泰國(guó)，但是域名jxlgewjv.hk沒(méi)有查詢到相關(guān)記錄，疑似已經(jīng)關(guān)閉。

圖1 郵件頭信息分析

其次，查看釣魚(yú)網(wǎng)站rnail.com.cn信息，whois查詢到域名持有者姓名、郵箱信息，注冊(cè)時(shí)間正是近幾天。根據(jù)反查信息，發(fā)現(xiàn)該用戶同時(shí)注冊(cè)了很多相似的域名。其中，啟用的域名大多指向同一臺(tái)服務(wù)器地址134.122.191.149。經(jīng)查詢，這是新加坡的服務(wù)器地址。

掃描釣魚(yú)服務(wù)器

使用工具對(duì)上述服務(wù)器IP地址進(jìn)行端口掃描，結(jié)果顯示，該地址開(kāi)放了FTP、 MySQL以及多個(gè)Web端口：

嘗試FTP匿名登錄失敗，MySQL端口做了地址限制，8888端口指向“/login”但是顯示“404 NOT Found”。

利用漏洞反入侵

接下來(lái)，我們把目標(biāo)轉(zhuǎn)向釣魚(yú)網(wǎng)站主頁(yè)80端口。在分析過(guò)程中，我們發(fā)現(xiàn)該網(wǎng)站存在SQL注入漏洞，能夠獲取攻擊者后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容。

由于輸入?yún)?shù)過(guò)濾不嚴(yán)格，表單中兩個(gè)參數(shù)都能作為注入點(diǎn)實(shí)施SQL注入攻擊：

嘗試通過(guò)SQL注入獲取后臺(tái)shell，但是權(quán)限不夠，失敗。利用SQL注入列出攻擊者數(shù)據(jù)庫(kù)目錄：

數(shù)據(jù)庫(kù)mailmail表信息：

數(shù)據(jù)庫(kù)表admin記錄了一個(gè)admin用戶以及密碼：

利用該信息嘗試登錄之前的FTP服務(wù)，登錄失敗。

數(shù)據(jù)庫(kù)表yu中記錄了受害用戶輸入的信息：

截至測(cè)試時(shí)間段，已有42名用戶受到影響，其中包括edu.cn、gov.cn等教育及政府用戶。由此可見(jiàn)，許多受害者輸入了真實(shí)的郵箱和密碼，導(dǎo)致相關(guān)信息被泄露。

釣魚(yú)攻擊威脅介紹

釣魚(yú)攻擊的概念

網(wǎng)絡(luò)釣魚(yú)是一種企圖竊取敏感信息并加以利用或出售的行為，主要形式為偽裝成信譽(yù)良好的來(lái)源，通過(guò)誘人的要求等手段來(lái)欺騙用戶，竊取其用戶名、密碼、信用卡號(hào)、銀行賬戶信息或其他重要數(shù)據(jù)。這種行為類似于漁夫使用誘餌來(lái)捕魚(yú)，因此被稱為“網(wǎng)絡(luò)釣魚(yú)”。釣魚(yú)網(wǎng)站則是攻擊者所創(chuàng)建的虛假網(wǎng)站，旨在模仿已知的合法網(wǎng)站，從而欺騙用戶輸入敏感信息。這些網(wǎng)站通常會(huì)使用與合法網(wǎng)站非常相似的域名和頁(yè)面設(shè)計(jì)，但實(shí)際上都是由攻擊者自己制作而成。需要注意的是，在網(wǎng)絡(luò)釣魚(yú)攻擊中，攻擊者往往會(huì)使用社交工程學(xué)等手段，通過(guò)破壞受害者的心理防線來(lái)達(dá)到詐騙的目的。

釣魚(yú)攻擊現(xiàn)狀

根據(jù)調(diào)查，近年來(lái)隨著互聯(lián)網(wǎng)的快速發(fā)展，新的網(wǎng)絡(luò)攻擊形式——“網(wǎng)絡(luò)釣魚(yú)”呈現(xiàn)逐年上升的趨勢(shì)。卡巴斯基的一份報(bào)告顯示，2022年網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量翻了一番，達(dá)到5億多次。《IBM:X-Force威脅情報(bào)指數(shù)2022》指出，網(wǎng)絡(luò)釣魚(yú)成為2021年的首要感染媒介，超越了2020年領(lǐng)先的漏洞利用。據(jù)統(tǒng)計(jì)，在X-Force修復(fù)的事件中，網(wǎng)絡(luò)釣魚(yú)事件占到了41%。因此，如何及時(shí)高效地對(duì)網(wǎng)絡(luò)釣魚(yú)行為進(jìn)行識(shí)別，成為亟待解決的安全問(wèn)題。

網(wǎng)絡(luò)釣魚(yú)攻擊通常會(huì)創(chuàng)建一個(gè)與合法網(wǎng)站相似度很高的虛假網(wǎng)站，從而通過(guò)誘騙用戶訪問(wèn)虛假網(wǎng)站來(lái)竊取重要隱私信息（如用戶姓名、電話、賬號(hào)和密碼等）。這將會(huì)造成嚴(yán)重的隱私泄露問(wèn)題，進(jìn)一步導(dǎo)致用戶財(cái)產(chǎn)受到威脅。釣魚(yú)網(wǎng)站的欺騙性很強(qiáng)，用戶不細(xì)心、不謹(jǐn)慎就很容易上當(dāng)受騙，而引導(dǎo)用戶進(jìn)入釣魚(yú)網(wǎng)站的主要手段就是釣魚(yú)郵件。圖2是通過(guò)釣魚(yú)郵件進(jìn)行網(wǎng)絡(luò)釣魚(yú)的全過(guò)程。

圖2 通過(guò)釣魚(yú)郵件進(jìn)行網(wǎng)絡(luò)釣魚(yú)的全過(guò)程

釣魚(yú)攻擊的危害

釣魚(yú)郵件有兩種侵害方式：第一種是用戶沒(méi)有發(fā)現(xiàn)郵件中鏈接的假網(wǎng)銀或假網(wǎng)站，并輸入了個(gè)人賬戶和密碼等信息，導(dǎo)致信息泄露造成經(jīng)濟(jì)損失。攻擊者可能會(huì)在假網(wǎng)站上記錄用戶的鍵盤(pán)輸入，以后再利用這些信息進(jìn)行詐騙。第二種是用戶即便識(shí)破了假網(wǎng)銀或假網(wǎng)站，也可能被攻擊者的后招所傷。這是因?yàn)榫W(wǎng)站上可能攜帶惡意軟件或木馬，當(dāng)用戶訪問(wèn)該網(wǎng)站時(shí)，其電腦可能會(huì)被感染。

郵件入侵風(fēng)險(xiǎn)也不能忽視，黑客通過(guò)上述方式獲取用戶的郵箱賬戶名和密碼，可以進(jìn)一步獲取更多敏感信息。在成功入侵用戶郵箱之后，黑客還可以修改密碼、刪除重要郵件、損壞聯(lián)系人資料等。如果被盜取的郵箱屬于商業(yè)用戶，則可能造成更大經(jīng)濟(jì)損失。更嚴(yán)重的是，國(guó)家公職人員，特別是敏感崗位工作人員在日常工作和生活中若不注意個(gè)人郵箱的安全問(wèn)題，不小心點(diǎn)擊了釣魚(yú)郵件中的相關(guān)鏈接，將可能給國(guó)家安全帶來(lái)極大危害。

釣魚(yú)攻擊實(shí)施步驟分析

釣魚(yú)郵件是一種利用人性弱點(diǎn)進(jìn)行攻擊的手段，通常會(huì)使用易于接受的方式進(jìn)行“釣魚(yú)”，其實(shí)施通常包括圖3所示的幾個(gè)步驟。其中，關(guān)鍵一步就是“設(shè)計(jì)釣魚(yú)郵件的內(nèi)容”。

圖3 釣魚(yú)郵件的實(shí)施過(guò)程

釣魚(yú)郵件在表面上看和正常郵件沒(méi)有太大區(qū)別，內(nèi)容通常類似于正常業(yè)務(wù)往來(lái)的郵件。但這些郵件內(nèi)容往往非常吸引人，具有真實(shí)感或誘惑力，容易引起用戶的重視。攻擊者通常會(huì)通過(guò)各種途徑獲得相關(guān)用戶信息，并向這些用戶發(fā)送釣魚(yú)郵件。

如果用戶讀取郵件時(shí)沒(méi)有仔細(xì)檢查，可能會(huì)根據(jù)釣魚(yú)郵件提示填寫(xiě)相關(guān)信息進(jìn)行回復(fù)，或點(diǎn)擊鏈接登錄釣魚(yú)網(wǎng)站，從而泄露個(gè)人重要信息。

釣魚(yú)攻擊特征分析

釣魚(yú)郵件利用人性弱點(diǎn)進(jìn)行攻擊，其實(shí)施過(guò)程和傳播方式具有一定規(guī)律。我們通過(guò)分析釣魚(yú)郵件的實(shí)施過(guò)程、傳播方式以及釣魚(yú)郵件相關(guān)實(shí)例，并結(jié)合垃圾郵件過(guò)濾器中垃圾郵件的特征進(jìn)行分析，歸納出釣魚(yú)郵件具有6個(gè)主要特征：一是郵件內(nèi)容包含HTML語(yǔ)言描述；二是所有鏈接域名至少有一個(gè)與被保護(hù)列表中的對(duì)象相同；三是鏈接中含有引導(dǎo)點(diǎn)擊的誘惑性關(guān)鍵字；四是郵件中多次出現(xiàn)的域名與鏈接登錄的域名不一致；五是郵件中登錄鏈接的域名與發(fā)件人郵箱域名不一致；六是發(fā)件人或收件人郵箱通常帶有admin或管理員等誘導(dǎo)字段。掌握了這6個(gè)特點(diǎn)，可以提高識(shí)別和篩選釣魚(yú)郵件的能力，降低信息泄露的風(fēng)險(xiǎn)。

釣魚(yú)攻擊防范指南

通過(guò)以上實(shí)例分析不難發(fā)現(xiàn)，釣魚(yú)郵件具有極高的危害性，因此加強(qiáng)防范工作尤為重要。以下是針對(duì)釣魚(yú)郵件攻擊的一些防范建議：

第一，安裝殺毒軟件，并定期更新病毒庫(kù)。開(kāi)啟殺毒軟件掃描郵件附件功能，并且定期下載和安裝系統(tǒng)和軟件更新，以確保最新的安全補(bǔ)丁已經(jīng)安裝。

第二，不要輕易泄露郵箱密碼信息，也不要將登錄口令寫(xiě)在辦公桌或容易被發(fā)現(xiàn)的記事本上，并定期更換辦公郵箱密碼。

第三，將個(gè)人手機(jī)號(hào)碼與郵箱賬戶綁定，這樣可以方便找回密碼并接收“異地登錄提醒”通知。

第四，不要使用工作郵箱注冊(cè)公共網(wǎng)站服務(wù)，也不要使用工作郵箱發(fā)送私人郵件。

第五，對(duì)于不再使用的重要郵件，請(qǐng)及時(shí)清空收件箱、發(fā)件箱和垃圾箱。備份重要文件以防止文件丟失，在發(fā)送重要郵件或附件時(shí)要加密，并在正文中避免附帶解密密碼。

第六，不要輕信顯示名。顯示名可以隨意設(shè)置，用戶要注意查看發(fā)件人的完整郵箱地址。

第七，不要隨意點(diǎn)擊陌生郵件中的鏈接。如果正文中包含鏈接，則應(yīng)該小心處理，因?yàn)榇罅康尼烎~(yú)郵件使用短鏈接或帶有鏈接的字詞來(lái)迷惑用戶。用戶如果收到類似于郵箱升級(jí)、郵箱停用的辦公信息通知郵件，并且需要點(diǎn)擊鏈接進(jìn)行操作時(shí)，請(qǐng)務(wù)必仔細(xì)比對(duì)鏈接中的網(wǎng)址是否與單位網(wǎng)址一致。如果不一致，則很可能是一封釣魚(yú)郵件。

第八，即使是來(lái)自熟人的郵件也要保持警惕。攻擊者往往會(huì)利用已攻破的組織成員郵箱發(fā)送釣魚(yú)郵件。用戶如果收到來(lái)自朋友或同事的郵件，并且懷疑郵件內(nèi)容的真實(shí)性，請(qǐng)直接撥打電話向其核實(shí)。

第九，不要在公共場(chǎng)所使用網(wǎng)絡(luò)設(shè)備進(jìn)行敏感操作。請(qǐng)勿在公共電腦上登錄電子郵箱、使用即時(shí)通訊軟件、網(wǎng)上銀行或執(zhí)行任何涉及敏感資料的操作。在連入WiFi后，請(qǐng)慎重考慮登錄和收發(fā)郵件，因?yàn)槊赓M(fèi)的無(wú)線網(wǎng)絡(luò)可能因缺乏管理而被不良分子利用來(lái)竊取用戶信息。

第十，不要在互聯(lián)網(wǎng)上發(fā)布敏感信息。用戶發(fā)布到互聯(lián)網(wǎng)上的信息和數(shù)據(jù)會(huì)被攻擊者收集，攻擊者可以通過(guò)分析這些信息和數(shù)據(jù)，有針對(duì)性地向用戶發(fā)送釣魚(yú)郵件。因此，請(qǐng)注意保護(hù)個(gè)人隱私，避免將敏感信息發(fā)布到互聯(lián)網(wǎng)上。

如果不幸點(diǎn)開(kāi)釣魚(yú)郵件并感染了病毒或惡意軟件，可以采取以下應(yīng)急措施來(lái)降低釣魚(yú)攻擊帶來(lái)的危害：

第一，立即向郵箱管理員報(bào)告，讓專業(yè)的安全人員進(jìn)一步處理，并開(kāi)展系統(tǒng)清理和恢復(fù)工作。

第二，郵箱登錄密碼可能已經(jīng)泄露，用戶應(yīng)該及時(shí)在其他機(jī)器上修改密碼，以防止攻擊者獲取郵件、聯(lián)系人等敏感信息，并阻止黑客進(jìn)一步的攻擊滲透。

第三，釣魚(yú)郵件中的鏈接或附件可能包含病毒、木馬或勒索程序。如果發(fā)現(xiàn)異常情況，請(qǐng)立即進(jìn)行全盤(pán)掃描并使用多個(gè)殺毒軟件進(jìn)行交叉檢測(cè)。

第四，斷開(kāi)受感染設(shè)備的網(wǎng)絡(luò)連接（如拔掉網(wǎng)線或禁用網(wǎng)絡(luò)），以避免其他設(shè)備被感染，同時(shí)控制安全事件的范圍，防止敏感文件被竊取，減少安全事件帶來(lái)的損失。

當(dāng)今社會(huì)，電子郵件在給人們的工作、生活等帶來(lái)巨大便利的同時(shí)，也帶來(lái)了許多安全風(fēng)險(xiǎn)。因此，我們需要采取積極有效的措施防止網(wǎng)絡(luò)釣魚(yú)攻擊。一方面，需要學(xué)習(xí)并掌握識(shí)別釣魚(yú)郵件的特征，以避免上當(dāng)受騙；另一方面，還應(yīng)跟蹤研究釣魚(yú)郵件的實(shí)施方法和相關(guān)特征，并提出自動(dòng)篩選釣魚(yú)郵件的新規(guī)則和相關(guān)技術(shù)方法，以確保網(wǎng)絡(luò)用戶的安全。綜上所述，在使用電子郵件時(shí)，請(qǐng)注意保護(hù)個(gè)人隱私安全，以確保工作和生活順利進(jìn)行。