故事背景#
8 月初に外出した際、彼女が外で不注意から Apple のスマートフォンを失くしてしまい、すぐに紛失モード 携帯電話の停止を開始し、新しいスマートフォンを購入後にネットワーク接続を有効にしてデータを消去しました。
その後、今日突然このことを思い出し、前に原来 DDOS 成本那么低 26 行代码完成测试のコードを改良したことを思い出し、Apple ID のフィッシングメールが来ていないか、フィッシングサイトを ddos しようと思いました。
警防邮箱钓鱼 + 诈骗#
まず、SMS の中から失くした携帯電話に関するフィッシング SMS がないか探し、類似のメッセージがないことを確認しました。その後、189 のメールからの通知を見つけ、いくつかのメールを受信したことが示されていました。
私がマークしたこの 3 つのメールに注目してください。1 つ目と 2 つ目は特に問題がないように見え、いくつかの乱打された文字です。3 つ目がフィッシングメールの本体です。
诈骗邮件#
まず、1 つ目と 2 つ目のメールの内容を見てみましょう:
メールに表示されているリンクは直接www.pbc.gov.cnに飛び、普通のユーザーは本物のサイトだと思い込んでクリックしてしまうかもしれません。
私たちは以下のように表示できます:
<a href="https://www.k7blog.com">www.www.pbc.gov.cn<a>
しかし、特にここにあるわけではありません。例えば、メールの中の【中国人民銀行征信中心通知】という部分をコピーすると、実際の内容は以下の通りです。
【畅愁丽呵胡活纶中里殴鲸举福亢国乐急闭人亮灿卡厕民察葱壳很乘钞银炼斌华撑毁行鸟盲公检炼积据征练亏断信讲疆据极弗罢阔中较饺蚂颗边鸽浆心局杆睛改痉镰痴闯通火币滥乐锰还知美诽构恨】
このように見てみましょう:
【.......中......国...人....民......银.....行.......征...信.......中.......心........通......知....】
ここで 1 つの点は 1 つの余分な文字を表し、この方法でメールの内容を混乱させて遮断されるのを防ぐことができます。本当にこれらの人々の知能と頭の回転には感心します。
しかし、基本的にこれらのサイトはすでに開けなくなっています。今朝送られた最新のメールに対応する詐欺リンクも開けなくなっています。
钓鱼邮件#
ターゲットサイト:appie.szhjmr.com 残念ながらすでに開けなくなりました。ツールを使って過去の解析を調べても何も見つかりませんでした。
しかし、SEO 検索ツールを使ってドメインの履歴を見つけました:https://seo.chinaz.com/szhjmr.com
タイトルは:九游体育 app 官网下载 (全站) IOS/Android/ 手机 APP 下载 ということで、歴史的にはブラックマーケットのサイトであり、ドメインが GNAME に登録されていることも確認でき、もうすぐ期限が切れそうです。
対応するサーバー IP:168.76.114.42 fofa で IP とドメインを調べても有効な情報は見つかりませんでした。
現在、私はドメインが GNAME の中古市場で購入された期限切れ間近のドメインであると推測しています。GNAME は本人確認を必要とせず、暗号通貨での支払いをサポートしているため、すぐに使い捨てることができます。
メールヘッダーから以下の内容が得られました:
X-Transaction-ID: 1b97a9970d4e4bfd92ab3ef43e1cea99
X-Real-From: [email protected]
X-Receive-IP: 117.57.106.35
X-MEDUSA-Status: 0
Sender: [email protected]
送信者の IP:117.57.106.35 は安徽 / 淮北からで、メールのプレフィックスは電話番号であり、無料のソーシャルエンジニアリングボットを使って対応する QQ LOL ゲームキャラクターを調べましたが、有用な情報は見つかりませんでした。また、他の人が自分の電話番号を使ってメールを登録し、これらのフィッシングメールを送信することはないでしょう。
これで終了です!