故事背景#
在 8 月初外出的时候,女朋友在外粗心大意遗失了一部苹果手机,第一时间开启了丢失模式 挂失手机卡 并在购买新手机后开启联网清空数据。
随后今天突然想到这个事情,并且我前段时间把原来 DDOS 成本那么低 26 行代码完成测试 代码改良了一下,想着有没有 Apple ID 钓鱼邮件过来,ddos 一下钓鱼网站。
警防邮箱钓鱼 + 诈骗#
先到短信里面从遗失手机开始找有没有类似的钓鱼短信,发现并没有 然后找到一条 189 邮箱的提示,提示收到了一些邮件。
大家注意看我标注的这 3 条邮件,第一条第二条看起来没有什么 是一些乱打的字,第三条是钓鱼邮件本体。
诈骗邮件#
首先我们来看一二邮件的内容:
邮件里面显示的链接直接来一个www.pbc.gov.cn对于普通用户来说,以为是真网站 说不定就点击进去。
我们大家都知道可以以:
<a href="https://www.k7blog.com">www.www.pbc.gov.cn<a>
来显示出来,但是它特殊的地方并不是在于这里,比如我把邮件里面的【中国人民银行征信中心通知】这一段复制出来内容确是下面的内容。
【畅愁丽呵胡活纶中里殴鲸举福亢国乐急闭人亮灿卡厕民察葱壳很乘钞银炼斌华撑毁行鸟盲公检炼积据征练亏断信讲疆据极弗罢阔中较饺蚂颗边鸽浆心局杆睛改痉镰痴闯通火币滥乐锰还知美诽构恨】
我们再来这个样子看:
【.......中......国...人....民......银.....行.......征...信.......中.......心........通......知....】
此处一个点代表一个多余的乱码字,用这个办法去混淆邮件内容防止被拦截 真的佩服这些人的智商和脑筋。
不过基本上这些网站都无法打开了,包括今天早上发的最新邮件对应的诈骗链接也无法打开了。
钓鱼邮件#
目标网站:appie.szhjmr.com 可惜已经打不开了,去通过工具查询历史解析没找到一些内容。
但是通过 SEO 查询工具找到了域名历史记录:https://seo.chinaz.com/szhjmr.com
标题为:九游体育 app 官网下载 (全站) IOS/Android/ 手机 APP 下载 那么历史是一个黑产网站,并且查询出域名在 GNAME 注册 也快过期了。
对应的服务器 IP:168.76.114.42 通过 fofa 查询 IP 和域名也没有找到什么有效的信息。
我目前猜测域名是在 GNAME 二手市场购买的快过期域名,GNAME 不需要实名认证并且支持加密货币付款 打一枪换一炮。
通过邮箱头得出以下内容:
X-Transaction-ID: 1b97a9970d4e4bfd92ab3ef43e1cea99
X-Real-From: [email protected]
X-Receive-IP: 117.57.106.35
X-MEDUSA-Status: 0
Sender: [email protected]
发件人 IP:117.57.106.35 来自安徽 / 淮北 邮箱前缀是一个手机号 通过免费的社工机器人查询出对应的 QQ LOL 游戏角色 但是并没有查出什么有用的信息,并且别人也不至于用自己的手机号注册邮箱发送这些钓鱼邮件。
至此到此结束!