昨天晚上,收到了一封釣魚郵件!
來源 | 小白學(xué)黑客
作者 | 小白哥
一封釣魚郵件
昨天晚上,有讀者在微信群反饋,收到了一個釣魚郵件,讓我?guī)兔纯矗?br>
這封郵件主題是:院校通知。
內(nèi)容是通知注射新冠疫苗,并附了一個鏈接。
出于安全考慮,我在虛擬機(jī)中打開了這個鏈接,一個偽造QQ郵箱登錄的界面出現(xiàn)在我的面前:
大家注意看地址欄的域名,并非騰訊QQ的官方域名,十足的釣魚網(wǎng)站。
我隨意輸入了一些信息提交后,再次提示需要提供手機(jī)號:
好家伙,光釣到QQ密碼還不夠,還要你交出手機(jī)號。
再次隨意提交一個手機(jī)號后,跳轉(zhuǎn)到了另外一個網(wǎng)站,全程跟新冠疫苗注射沒有半毛錢關(guān)系。
扒一扒
接下來就來扒一扒背后的黑手!
首先來看一下這個釣魚鏈接:http://3ii.bar/8e89
這是一個短鏈接,點(diǎn)開后,跳轉(zhuǎn)后的鏈接:
http://xq.18n30e.cn/lao/e1m6ai9lL8og4in7?username=kYE0QY
請求時的服務(wù)器IP:85.8.182.75
在網(wǎng)絡(luò)空間搜索引擎Shodan上查一下這個IP地址的信息:
Shodan顯示,這臺服務(wù)器上開放了80、3306、3389三個端口。
80就是web服務(wù),通過HTTP的響應(yīng)字段來看,背后是一個Java tomcat服務(wù)器,這一點(diǎn),從網(wǎng)站上面的favicon也可以看出:
3306就是MySQL服務(wù),釣魚得到的QQ和密碼信息應(yīng)該就存在這里。
3389就是Windows上的遠(yuǎn)程桌面連接RDP服務(wù)。
在Shodan上,甚至還顯示出了遠(yuǎn)程桌面的圖片,可以看出,這是一個Windows 10系統(tǒng)的服務(wù)器。
好家伙,要是有個弱口令,這直接就進(jìn)去了!
或者沒有弱口令,整個tomcat的漏洞POC,進(jìn)去添加一個用戶,也就能遠(yuǎn)程進(jìn)去了!
不過入侵計算機(jī)可是違法的事情,咱不能干!
再來看一下這個域名:xq.18n30e.cn
上站長之家查一下這個whois信息,了解下這個域名背后是誰注冊的:
查出來了,是一個叫周*波的人注冊的域名。
再通過郵箱和姓名反查,這家伙居然注冊了一大堆的類似的奇奇怪怪的域名:
看來不是新手了,直覺告訴我這是個老司機(jī)。
其中的www.qqro.cn網(wǎng)站打開:
看來用的tomcat版本還挺低的,可以用的漏洞一大堆啊~
站長之家出于安全考慮,隱去了網(wǎng)站注冊人的郵箱聯(lián)系方式,給郵箱前面部分用*號表示。
于是我換了一個查詢whois的網(wǎng)站,就全部暴露了。
聯(lián)系方式是一個QQ郵箱:
這家伙估計是怕暴露,QQ是個小號,Q齡0年,里面啥也沒有。
有趣的是,我在這家伙的QQ空間訪問記錄里,我發(fā)現(xiàn)了有意思的人~
看來在我來之前,已經(jīng)有人造訪過了。
總結(jié)
釣魚無處不在,犯罪分子尤其偏愛學(xué)生群體、公司白領(lǐng),這些群體信息價值高,而且安全意識薄弱,大家要注意提防啊。
別人發(fā)來的鏈接不要隨意點(diǎn)!
讓你輸入賬戶密碼的要提高十二萬分的警惕!
歡迎添加程序汪個人微信 itwang007 進(jìn)粉絲群或圍觀朋友圈
往期資源 需要請自取
喜歡就"在看"唄^_^