那個釣魚郵件又來了,這次干他!
釣魚郵件重現(xiàn)江湖
前段時間,我寫了一篇關于釣魚郵件的文章,受到了大家熱烈討論。
上次釣魚郵件傳送門:昨天晚上,收到了一封釣魚郵件!
不過現(xiàn)在那個釣魚網站已經無法訪問了,服務器已經關閉了。
端午期間,又有另外的小伙伴遇到了釣魚郵件。
一個北大的讀者朋友,自稱收到了一封來自“北京大學教務處”釣魚郵件:
看來背后的黑手還是做了準備功課的,定向投遞釣魚。
聰明的小伙伴一看就是釣魚郵件,準備扒一扒。
釣魚地址:http://1mp.bar/6645
和上次一樣的短鏈接,短鏈接解析后的地址:
http://icnl.eoytc.cn/lao/e1?username=EGfXf2
打開以后,一樣的QQ登錄界面:
非常讓我懷疑這是不是和上次那個是同一個人干的。
這一次我還發(fā)現(xiàn)了頁面的一個bug,看來弄的太匆忙,自己都沒好好測試就“上線”了:
扒一扒
老規(guī)矩,來查一下這個釣魚網頁的域名whois信息:
PS:上次有不少人問我這個查詢whois信息的網址是什么,這里統(tǒng)一說一下:https://whois.gandi.net/zh-hans
可以看到,名字和QQ注冊郵箱和上次的不太一樣。不知道是不是之前的文章被對方看到了,關閉了QQ號搜索功能,這一次搜索這個QQ號已經搜索不到了。不僅如此,連QQ空間功能都沒有開啟,很可能是臨時注冊的新號,在互聯(lián)網上并沒有留下太多的信息。
通過注冊人反查,還發(fā)現(xiàn)了他注冊的另外一個域名:
我在瀏覽器調試窗口,看到了服務器的IP地址:
好眼熟!我翻看了上一次的釣魚郵件IP地址:
這是巧合嗎?我反正不信。
接著我又查看了釣魚頁面的源代碼,好家伙,簡直如出一轍,再看網站首頁,又是同樣的Apache Tomcat 7.0.75,我確信了,這就是一個團伙干的!
這位北大的小伙伴可不是吃素的,第一時間發(fā)群郵件通知所有收件人這是釣魚郵件,讓大家別上當。
接著,他寫了一個Python腳本,打算用假的數(shù)據(jù)刷爆釣魚者的數(shù)據(jù)庫。
這釣魚幕后黑手,也沒有做什么驗證碼機制,接口可以隨意提交數(shù)據(jù)。
程序開始跑起來,不斷調用接口,往里面灌數(shù)據(jù):
沒過多久,程序就沒繃住,接口開始報錯了:
這時,再去釣魚頁面查看,哈哈,真被干趴下了
當然這種方式不是太值得提倡,還是要交給警察叔叔去解決,遇到這種事情,可以登錄網絡違法犯罪舉報網站進行舉報。
http://www.cyberpolice.cn/wfjb/
這伙人屢教不改,這一次,行動起來!
