从钓鱼邮件溯源到反制上线
The following article is from 雁行安全团队 Author sharlongwen
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
“
背景
某天下午紧急接到一个溯源的活儿:客户收到一封可疑邮件,要求判断是否为钓鱼邮件,如果是钓鱼邮件,则要求尽可能找到人员信息。由于保密要求,所以部分信息必须厚码,请各位师傅见谅。
邮件内容如下:
“
溯源 - 信息收集
1.首先看发件人邮箱账号:funny@***
对邮箱进行了信息收集,发现邮箱服务器归属于上海xxxx运输公司,且该域名为xxxx运输公司官网。经过证实该公司非客户的合作商,所以钓鱼邮件的概率在80%,邮箱账号疑为发件人盗用上海xxxx运输公司的邮箱账号。
伪装成客户方财务加群[859******],进行进一步信息搜集。
申请加群后没过多长时间,就通过审核了,群内除了我一共就2个人,命名均为职务+姓名,分别为董事长-慕容云海(化名)、监事-上官瑞谦(化名)。
经过证实,还真是客户那里的领导层。不过加群的时候留了一个心眼子,财务的名字是胡编的,所以审核能通过也证明这个群绝对是假的。趁空隙提前看了下他们的QQ信息,没有在sgk里查到,涉及个人QQ:151******(董事长***), 192******(监事***)。
又过了一段时间,董事长-慕容云海主动找我说话了,这一上来就是图穷匕首见,那好吧!您(骗子)等下,老Z在做操,一会儿核对。先吊他胃口,再慢慢聊,看这厮想干啥!
过了3分钟,骗子说钱到账了,让我赶紧查下,并发了一张某银行的汇款单,大眼一过还以为真的,结果放大一看转账金额那一块是PS上去的,标红框的都是假的,那就继续跟他玩。
接下来骗子不仅着急并且胃口还大,Hey! Brother你一上来就骗283万,It’s my dream。
根据付款信息搜了一下这个公司,发现是刚成立的,没啥有用的信息
好家伙,本来还烦着怎么把你反制上线,结果你把我当傻子,那我也就不演了。
“
反制上线
啪的一下,很快啊,就上线了。骗子疯狂戳我的马,把本就脆弱CS都填满了。
由于时间紧,就简单的对该主机进行了信息收集,主要是查找犯罪证据。发现该IP为香港云服务器对应IP,随后搞到密码【账户密码:Administrator/16**(这个密码感觉不太对劲)】,尝试连接3389也连不上,感觉是当前已经有用户登陆的情况下,在3389远程,对方会有提示。
截图看了下桌面,骗子使用telegram进行信息交互,并且说了一句:“醒鱼,下一只更乖”……。
在服务器上发现大量其他企业的详细内部信息,诈骗话术脚本(什么一剑封喉.txt、什么L骚.txt…),以及其他受害者信息和犯罪分子所用账户等信息:
再深入一点,发现了骗子的密码本,其中包括以上QQ群内两个QQ号的密码,尝试对两个QQ号溯源登录均失败。
再深入一点点,发现了骗子的其他社交帐号的密码本(玩的还挺花,应该是买的黑号)。根据两个密码本发现骗子的密码均为有规律的弱口令,可以生成相关字典。
通过已有的信息未搞到骗子的真实身份,为了不引起警觉,并未做过多的动作,所以想先放到池塘里,通过社工的方式慢慢钓。
“
总结
从这个过程中,可以看到骗子的手法很简单,只是骗子手上拥有大量的个人或企业真实信息和社会工程学话术脚本,导致受害者因为这些信息而相信骗子。其次一个诈骗团伙的业务也很广,不单单是对个人,还有对企业的诈骗,所以还是要保护好个人或组织的信息,谨防电信诈骗。