HW不知不觉很快就要开始了,很多重要行业单位每日都在承受着不一样的网络攻击,最近这一段时间还是属网络钓鱼攻击最为疯狂,让人防不胜防,也意味着现如今网络安全意识的重要性......
今年五一假期某金融企业单位大量员工账号收到钓鱼邮件两封,由于专业性问题,该单位人员找到了我赶赴现场进行研判分析,经过分析钓鱼邮件二维码、URL、钓鱼文件未存在病毒传播风险;第一封是为进行个人信息收集(邮箱账号、邮箱密码、公司职位等)的钓鱼邮件,第二封疑似为利用第一封钓鱼邮件收集到的信息进行群发金融诈骗的钓鱼邮件。 首先是一段文字强调该邮件的重要性,表明目的:(1)数据迁移(2)不主动上报即停止服务,影响业务运行(3)原始数据不会发生改变;一步步诱导用户进行操作,所谓“用心良苦”! 点击登录之后跳转到钓鱼攻击者精心设计的界面,该界面经过与之前该金融企业单位之前界面是非常相似的! 工资补贴也是戳中了一些打工人员的心,毕竟五一过后很难拒绝这一笔来之不易的补贴!(包括贫穷的我) 紧着着扫描该二维码,看看这个二维码有何异样!扫完发现该二维码与附件二维码一致,只是指向域名不一致,里面均有声明,有备案,整的非常的严谨与正规!后续经过研判分析发现,这是一个对自己银行卡等敏感信息的收集,攻击者利用这个收集信息进行转账、取钱、诈骗等危险手段。 通过以上两份钓鱼邮件分析发现,这两份钓鱼邮件并无太大的联系,但是也就意味着互相打着掩护,也利用了假期回归后公司对员工的关心这一特点,让其放下防备心理,从而导致了金额损失!
我们知道,发送钓鱼邮件的时候,我们的IP是附带在我们邮件的请求头中的,所以第一时间是分析该邮件请求头信息,发现了攻击者IP。
既然攻击者已经设计好了两个网页,那么这两个网页就证明了是攻击者的资产,我们就可以通过这两个网页去进行研判,从而找到攻击者留下的蛛丝马迹。
word文档的二维码扫描的地址为:a.2s***.work附件二维码扫描解析地址为:x7***W.y****.fu* 经过上面一系列分析,我们继续对该金融公司的邮件登录系统进行排查,排查过程发现有很多用户账户以及管理员账户使用了异地IP进行登录,,经过排查发现以下特点:(1)登录过程使用了暴力破解、一次性登录(之前收集了一波钓鱼信息,估计一次登录由此而来,经过后续的对比以及与账号本人确认确实如此); 利用第三点,发现其中一个IP为该公司网站IP,后续发现该网站存在一定的漏洞量,后续也通过微步以及该IP的端口开放情况(有灯塔系统,22端口弱密码、ftp弱口令,其中微步还识别还有相关病毒文件传播嫌疑),得知该IP是已经被入侵了,由于未得到该公司授权,后续无法继续对该IP进行排查!
最后的最后由于发现得早,未造成大金额财产损失,某受伤的员工最后也得到公司的帮助,平息了此事......还是很人性化的 网络安全就在身边,涉及金钱交易时请一定记得多方确认才能实施信息填写,多点防范,就能让想违法犯罪的黑客无所用处。扫码回复“进群”加入交流群
文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247492918&idx=2&sn=6df14fd3e5b5bc594443fbd11c5484f2&chksm=c0c844c2f7bfcdd4199a61c120ee134a2fdc7628fce5e3272180d9105f83f4cbb195105fea1e#rd
如有侵权请联系:admin#unsafe.sh