一次釣魚郵件的溯源與反制

文/武強 劉光磊 李鎖鋼

近期，CERNOC安全小組一位同事在清理郵件垃圾箱時看到了一封釣魚郵件，立即對其進行了跟蹤與分析，發現其網站漏洞，并成功入侵后臺數據庫。

釣魚郵件分析過程

一封躺在垃圾箱的釣魚郵件

這是一封標題為“緊急：升級郵件配額”的電子郵件，并引導用戶點擊郵件中提供的鏈接，跳轉到 http://rnail.com.cn。該網站宣稱提供企業郵件升級服務，但實際是一個釣魚網站，旨在騙取用戶的個人賬號和密碼信息。

該郵件使用defsabyvo@mcbterfco.hk代發服務，并自定義了發件人信息為“OA升級通知”（Admin@xxx.com），其中“xxx.com”為收件人郵箱的域名。這種自定義方式極具迷惑性，容易讓人誤以為這封郵件來自本公司的郵件管理員。釣魚郵件通常以郵件系統升級為誘餌，誘導收件人打開特定網頁并填寫賬號密碼等敏感信息。

轉到釣魚網站

點擊OA升級頁面，轉到一個看起來像升級備案的網站，但實際上是一個惡意網站，該頁面地址為http://rnail.com.cn。當用戶訪問該頁面時，會被要求輸入當前郵箱賬戶名和密碼進行登記。一旦用戶點擊“登錄”按鈕，該網站就會彈出登記成功的信息，并跳轉到公司域名。然而，此時用戶所輸入的個人信息已經被傳回對方服務器并寫入數據庫中。

分析釣魚過程

以上過程復現了釣魚郵件及網站的基本工作流程，接下來我們嘗試從已知信息挖掘一些其他有價值的資料。

首先，分析郵件頭信息，查找釣魚郵件的來源（如圖1所示）。根據頭信息，我們了解到郵件發送過程：bodjto@jxlgewjv.hk→hkmail.eastmoney.com → 接收者郵件服務器。根據IP查詢可知，最開始的發送地址來自泰國，但是域名jxlgewjv.hk沒有查詢到相關記錄，疑似已經關閉。

圖1 郵件頭信息分析

其次，查看釣魚網站rnail.com.cn信息，whois查詢到域名持有者姓名、郵箱信息，注冊時間正是近幾天。根據反查信息，發現該用戶同時注冊了很多相似的域名。其中，啟用的域名大多指向同一臺服務器地址134.122.191.149。經查詢，這是新加坡的服務器地址。

掃描釣魚服務器

使用工具對上述服務器IP地址進行端口掃描，結果顯示，該地址開放了FTP、 MySQL以及多個Web端口：

嘗試FTP匿名登錄失敗，MySQL端口做了地址限制，8888端口指向“/login”但是顯示“404 NOT Found”。

利用漏洞反入侵

接下來，我們把目標轉向釣魚網站主頁80端口。在分析過程中，我們發現該網站存在SQL注入漏洞，能夠獲取攻擊者后臺數據庫內容。

由于輸入參數過濾不嚴格，表單中兩個參數都能作為注入點實施SQL注入攻擊：

嘗試通過SQL注入獲取后臺shell，但是權限不夠，失敗。利用SQL注入列出攻擊者數據庫目錄：

數據庫mailmail表信息：

數據庫表admin記錄了一個admin用戶以及密碼：

利用該信息嘗試登錄之前的FTP服務，登錄失敗。

數據庫表yu中記錄了受害用戶輸入的信息：

截至測試時間段，已有42名用戶受到影響，其中包括edu.cn、gov.cn等教育及政府用戶。由此可見，許多受害者輸入了真實的郵箱和密碼，導致相關信息被泄露。

釣魚攻擊威脅介紹

釣魚攻擊的概念

網絡釣魚是一種企圖竊取敏感信息并加以利用或出售的行為，主要形式為偽裝成信譽良好的來源，通過誘人的要求等手段來欺騙用戶，竊取其用戶名、密碼、信用卡號、銀行賬戶信息或其他重要數據。這種行為類似于漁夫使用誘餌來捕魚，因此被稱為“網絡釣魚”。釣魚網站則是攻擊者所創建的虛假網站，旨在模仿已知的合法網站，從而欺騙用戶輸入敏感信息。這些網站通常會使用與合法網站非常相似的域名和頁面設計，但實際上都是由攻擊者自己制作而成。需要注意的是，在網絡釣魚攻擊中，攻擊者往往會使用社交工程學等手段，通過破壞受害者的心理防線來達到詐騙的目的。

釣魚攻擊現狀

根據調查，近年來隨著互聯網的快速發展，新的網絡攻擊形式——“網絡釣魚”呈現逐年上升的趨勢?？ò退够囊环輬蟾骘@示，2022年網絡釣魚攻擊數量翻了一番，達到5億多次?！禝BM:X-Force威脅情報指數2022》指出，網絡釣魚成為2021年的首要感染媒介，超越了2020年領先的漏洞利用。據統計，在X-Force修復的事件中，網絡釣魚事件占到了41%。因此，如何及時高效地對網絡釣魚行為進行識別，成為亟待解決的安全問題。

網絡釣魚攻擊通常會創建一個與合法網站相似度很高的虛假網站，從而通過誘騙用戶訪問虛假網站來竊取重要隱私信息（如用戶姓名、電話、賬號和密碼等）。這將會造成嚴重的隱私泄露問題，進一步導致用戶財產受到威脅。釣魚網站的欺騙性很強，用戶不細心、不謹慎就很容易上當受騙，而引導用戶進入釣魚網站的主要手段就是釣魚郵件。圖2是通過釣魚郵件進行網絡釣魚的全過程。

圖2 通過釣魚郵件進行網絡釣魚的全過程

釣魚攻擊的危害

釣魚郵件有兩種侵害方式：第一種是用戶沒有發現郵件中鏈接的假網銀或假網站，并輸入了個人賬戶和密碼等信息，導致信息泄露造成經濟損失。攻擊者可能會在假網站上記錄用戶的鍵盤輸入，以后再利用這些信息進行詐騙。第二種是用戶即便識破了假網銀或假網站，也可能被攻擊者的后招所傷。這是因為網站上可能攜帶惡意軟件或木馬，當用戶訪問該網站時，其電腦可能會被感染。

郵件入侵風險也不能忽視，黑客通過上述方式獲取用戶的郵箱賬戶名和密碼，可以進一步獲取更多敏感信息。在成功入侵用戶郵箱之后，黑客還可以修改密碼、刪除重要郵件、損壞聯系人資料等。如果被盜取的郵箱屬于商業用戶，則可能造成更大經濟損失。更嚴重的是，國家公職人員，特別是敏感崗位工作人員在日常工作和生活中若不注意個人郵箱的安全問題，不小心點擊了釣魚郵件中的相關鏈接，將可能給國家安全帶來極大危害。

釣魚攻擊實施步驟分析

釣魚郵件是一種利用人性弱點進行攻擊的手段，通常會使用易于接受的方式進行“釣魚”，其實施通常包括圖3所示的幾個步驟。其中，關鍵一步就是“設計釣魚郵件的內容”。

圖3 釣魚郵件的實施過程

釣魚郵件在表面上看和正常郵件沒有太大區別，內容通常類似于正常業務往來的郵件。但這些郵件內容往往非常吸引人，具有真實感或誘惑力，容易引起用戶的重視。攻擊者通常會通過各種途徑獲得相關用戶信息，并向這些用戶發送釣魚郵件。

如果用戶讀取郵件時沒有仔細檢查，可能會根據釣魚郵件提示填寫相關信息進行回復，或點擊鏈接登錄釣魚網站，從而泄露個人重要信息。

釣魚攻擊特征分析

釣魚郵件利用人性弱點進行攻擊，其實施過程和傳播方式具有一定規律。我們通過分析釣魚郵件的實施過程、傳播方式以及釣魚郵件相關實例，并結合垃圾郵件過濾器中垃圾郵件的特征進行分析，歸納出釣魚郵件具有6個主要特征：一是郵件內容包含HTML語言描述；二是所有鏈接域名至少有一個與被保護列表中的對象相同；三是鏈接中含有引導點擊的誘惑性關鍵字；四是郵件中多次出現的域名與鏈接登錄的域名不一致；五是郵件中登錄鏈接的域名與發件人郵箱域名不一致；六是發件人或收件人郵箱通常帶有admin或管理員等誘導字段。掌握了這6個特點，可以提高識別和篩選釣魚郵件的能力，降低信息泄露的風險。

釣魚攻擊防范指南

通過以上實例分析不難發現，釣魚郵件具有極高的危害性，因此加強防范工作尤為重要。以下是針對釣魚郵件攻擊的一些防范建議：

第一，安裝殺毒軟件，并定期更新病毒庫。開啟殺毒軟件掃描郵件附件功能，并且定期下載和安裝系統和軟件更新，以確保最新的安全補丁已經安裝。

第二，不要輕易泄露郵箱密碼信息，也不要將登錄口令寫在辦公桌或容易被發現的記事本上，并定期更換辦公郵箱密碼。

第三，將個人手機號碼與郵箱賬戶綁定，這樣可以方便找回密碼并接收“異地登錄提醒”通知。

第四，不要使用工作郵箱注冊公共網站服務，也不要使用工作郵箱發送私人郵件。

第五，對于不再使用的重要郵件，請及時清空收件箱、發件箱和垃圾箱。備份重要文件以防止文件丟失，在發送重要郵件或附件時要加密，并在正文中避免附帶解密密碼。

第六，不要輕信顯示名。顯示名可以隨意設置，用戶要注意查看發件人的完整郵箱地址。

第七，不要隨意點擊陌生郵件中的鏈接。如果正文中包含鏈接，則應該小心處理，因為大量的釣魚郵件使用短鏈接或帶有鏈接的字詞來迷惑用戶。用戶如果收到類似于郵箱升級、郵箱停用的辦公信息通知郵件，并且需要點擊鏈接進行操作時，請務必仔細比對鏈接中的網址是否與單位網址一致。如果不一致，則很可能是一封釣魚郵件。

第八，即使是來自熟人的郵件也要保持警惕。攻擊者往往會利用已攻破的組織成員郵箱發送釣魚郵件。用戶如果收到來自朋友或同事的郵件，并且懷疑郵件內容的真實性，請直接撥打電話向其核實。

第九，不要在公共場所使用網絡設備進行敏感操作。請勿在公共電腦上登錄電子郵箱、使用即時通訊軟件、網上銀行或執行任何涉及敏感資料的操作。在連入WiFi后，請慎重考慮登錄和收發郵件，因為免費的無線網絡可能因缺乏管理而被不良分子利用來竊取用戶信息。

第十，不要在互聯網上發布敏感信息。用戶發布到互聯網上的信息和數據會被攻擊者收集，攻擊者可以通過分析這些信息和數據，有針對性地向用戶發送釣魚郵件。因此，請注意保護個人隱私，避免將敏感信息發布到互聯網上。

如果不幸點開釣魚郵件并感染了病毒或惡意軟件，可以采取以下應急措施來降低釣魚攻擊帶來的危害：

第一，立即向郵箱管理員報告，讓專業的安全人員進一步處理，并開展系統清理和恢復工作。

第二，郵箱登錄密碼可能已經泄露，用戶應該及時在其他機器上修改密碼，以防止攻擊者獲取郵件、聯系人等敏感信息，并阻止黑客進一步的攻擊滲透。

第三，釣魚郵件中的鏈接或附件可能包含病毒、木馬或勒索程序。如果發現異常情況，請立即進行全盤掃描并使用多個殺毒軟件進行交叉檢測。

第四，斷開受感染設備的網絡連接（如拔掉網線或禁用網絡），以避免其他設備被感染，同時控制安全事件的范圍，防止敏感文件被竊取，減少安全事件帶來的損失。

當今社會，電子郵件在給人們的工作、生活等帶來巨大便利的同時，也帶來了許多安全風險。因此，我們需要采取積極有效的措施防止網絡釣魚攻擊。一方面，需要學習并掌握識別釣魚郵件的特征，以避免上當受騙；另一方面，還應跟蹤研究釣魚郵件的實施方法和相關特征，并提出自動篩選釣魚郵件的新規則和相關技術方法，以確保網絡用戶的安全。綜上所述，在使用電子郵件時，請注意保護個人隱私安全，以確保工作和生活順利進行。