針對銀行釣魚事件的分析

相信不少人都有收到過釣魚郵件的經歷。然而，隨著反垃圾郵件技術的更進，大多數這類郵件都會被系統自動屏蔽，而無法發送到用戶郵箱。但是，大多數並不代表全部。下面的這個例子就是個很好的說明。

這封郵件的主題是用巴西葡萄牙語寫的，主要內容是針對Santander銀行「溢價」賬戶持有人的警告。不難看出，這是一封典型的釣魚郵件。

附件誘騙釣魚

對於普通用戶而言，多數收到這類郵件的人，都只會通過簡單的發件人信息來判斷郵件的可信度，或者直接將其拖放到垃圾箱。但是對於安全分析師而言，我們希望深入了解附件包含的內容和消息的真正來源。

通過查看

HTML

源碼，我們可以看到一個非常簡單的圖片鏈接：

打開該圖片鏈接，是一個類似於Santander銀行的頁面。如下：

可以看到，該頁面的內容依舊是用巴西葡萄牙語寫的，並且頁面上所有的聯繫電話，都為Santander銀行的真實電話，整個頁面的布局也完全與銀行的溝通界面類似。需要注意的是，巴西銀行從來不會通過電子郵件的方式，向客戶發送任何安全警告。

頁面的內容是在警告用戶，他們的計算機上的安全模塊已過期，如果不及時更新到最新版本，銀行將向他們發出

246.67BRL

的罰單（約$80.00）。

釣魚郵件來自何處？

一般情況下，攻擊者很少會使用自己的伺服器來發送釣魚郵件。他們通常會利用手中的「肉雞」，來替自己發送。

攻擊者入侵或拿下一台伺服器，往往都有其目的性。例如竊取機密數據，實施網路釣魚，黑帽SEO等。當攻擊者成功入侵併拿下伺服器後，他們做的第一件事就是，創建一種方法來保持對該站點的持久控，制即便漏洞被修復。攻擊者通常會在網站安裝後門程序，根據我們2015年第三季度的「黑客入侵網站趨勢報告」顯示，72％遭到入侵的網站，都被安裝了至少一個的基於PHP後門，攻擊者通常都會安裝多個後門，來保證自己的訪問權。

一旦後門被成功安裝，攻擊者將會進一步的對目標站點進行滲透，以保證利益的最大化。

郵件頭分析

我們可以通過對郵件頭的分析，得到一些有價值的信息。

例如：

X-PHP-Originating-Script

- 郵件發送所使用的腳本語言

Message-ID

- 顯示託管腳本的網站

X-Mailer

- 郵件發送所使用的程序及版本

大夥可能注意到了，以上並沒有出現X-HEADER的內容。這是因為X-HEADER，並非一個有效郵件事務所必須的。這些類型的頭，都是由程序添加用以跟蹤和調試目的的。

從以上頭信息中我們可以得知，原始消息發送自

add-from-server.php

這個腳本，並且使用的是

PHPMailer [1.73版本]

。PHPMailer 1.73是一個非常老的PHPMailer版本，並且存在遠程代碼執行漏洞。

從

Message-ID

中我們可以找到釣魚郵件的來源網站（上圖馬賽克），下面我將嘗試使用

SiteCheck

對該站點進行掃描檢測。

掃描原始站點

從掃描結果中我們驚訝的發現，該站點感染了垃圾SEO（黑帽SEO）：

並且…根據SiteCheck顯示的網站詳細信息標籤，我們可以看出該站點所使用的程序版本已經過時，並且存在安全漏洞。

我們不能確定，在網站上做垃圾SEO和發送釣魚郵件的是否為同一攻擊者，因為在此之前釣魚攻擊者對於發送垃圾SEO郵件的事並不知情。其實這也並不奇怪，一個網站同時遭受多個攻擊者攻擊的例子，在之前的文章我早有提及。

如何避免成為受害者？

現在讓我們把目光轉到之前發現的那個，用於發送消息的

add-from-server.php

文件上。該文件屬於

add-from-server

插件下的一個文件，並且該插件存在CSRF漏洞。攻擊者可以通過向管理員發送惡意構造的鏈接誘騙管理員點擊，從而觸發該漏洞將後門上傳至目標站點。

網站所有者或其他管理員，都可能是被攻擊的對象。下面是我的一些安全建議：

不要輕易相信您收到的電子郵件，特別是附件。

停用瀏覽器中的Javascript。

不要使用辦公電腦，瀏覽有風險的網站。

使用信譽良好的殺毒軟體。

設置足夠安全和強大的密碼。

對賬戶儘可能的啟用雙因素認證。

*參考來源 ：sucuri，FB小編 secist 編譯，轉載請註明來自FreeBuf（FreeBuf.COM）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: