其实是一个技术上啥都不懂的小白在这装正经……
事情是这样的,前些日子收到一封邮件,说让绑定账户以便退税,需要填写一大堆个人信息,好像还包括邮箱密码(也不奇怪,我司长期使用邮箱密码来做身份验证,我一直很有吐槽欲,还有另外一个槽点是这个密码竟然用明文传,然后整个内网都是通的,风险你懂的)。刚好我没看到通知错过了,过了半天群里开始讨论说这个邮件可能是钓鱼,后来确认是钓鱼。
在庆幸没有点开之余,我倒是对邮件本身产生了兴趣,这封邮件大概有这么几个有趣的地方:
- 发件人是货真价实的国家税务总局域名,注意不是显示的发件人名,而是发件人地址,并且我核对过unicode码,不是Punycode钓鱼,直接复制也真的能进到税务总局网站
- 邮件文字内容毫无漏洞,当时确实是退税的时间,里面的单位名称等等信息也完美匹配
- 邮件中的显示的链接是真的国家税务总局域名
- 我后来才发现整个邮件唯一的疑点:这个链接并不指向国家税务总局网站,只是一个简单的html代码上的伪装,实际的链接指向一个IP开头的地址,如果复制显示那个地址打开其实是404的
- 但是更有趣的是,指向的这个IP是我司的网段……
- 然后这个IP开头的地址后面还带一大串uuid和认证码,可能发给每个人的链接还不同?
说实话,整个邮件满满的都是可信度,唯一的疑点也没及时发现,如果我当时看到了邮件又比较闲,可能真就填了。
后来我开始思考这种钓鱼出现的可能性以及实现方法,当然我很菜,也没太搞懂,然后今天偶然看到一篇论文介绍了一系列针对邮件系统的攻击,其中包括了我司使用的coremail系统,大概有了一点头绪,这种钓鱼还是可能实现的,只是难度较高。因为通知一直含糊其辞,所以也不排除不是钓鱼的可能,以下是假设的情景,仅仅用于描述一种可能性:
- 攻击者获取了我司一台服务器的控制权(就是指向那个IP),并且借此获取了大量信息,以及邮箱地址,当然还有一种不大的可能,即攻击者是内鬼
- 攻击者利用这台服务器部署了钓鱼网站
- 攻击者利用简单的html trick掩盖了真实地址,伪装成国家税务总局的链接,并且这个链接的格式和真的差不多
- 攻击者利用coremail系统的漏洞,使邮件的发现人显示伪装的税务总局域名(论文中说coremail已经修复了这些漏洞,可能我司的后端没更新吧,或者还有别的漏洞)
不得不说,部署这一套,攻击者真的非常下功夫了。
由此我又想到,多年前同一个邮箱曾收到DHL的国际邮件通知,而前不久我刚往国外寄过东西,当时我也核对过发件人地址,货真价实的dhl.com,unicode也正确,不过可能是攻击者功课没做到位,没了解到我当时发的快递是FedEx😂,然后我查了那个单号发现很多人都收到过,才确认是钓鱼。如果攻击者再用心一点,说不定我就上钩了。
这其实是一个细思极恐的东西,我自认为安全意识已经很强了,加上运气好才得以幸免,我很多同事都上钩了。可想而知,如果大规模部署,会有多少人中招,一台电脑中招后,攻击者又可以以此为跳板在内网或者亲友圈子中进行更多的攻击或钓鱼。
所以永远不要低估黑客的实力和高估自己的防范意识呀。。。
文章评论