黑客笔记42:黑产开始用在线文档来钓鱼了

xiaozhupeiqi嘀嘀嘀
363 阅读3分钟

之前接到的诈骗类的钓鱼邮件一般是有一个二维码的图片,让扫描之后,填写银行卡相关的个人信息,进行诈骗。

还有其他类型,例如在附件里面直接放一个文档,可以是doc,ppt,excel,pdf,里面是诈骗相关的二维码素材,有的会给你的文档加一个打开密码,密码在邮件正文。

最近这一封邮件做的还算比较用点心,多加确认收件人阅读的功能,你阅读完了,可以回复已阅读。

1719208909065.png

点击查看全文后进入到一个腾讯文档。

1719209096422.png

有16个人在看,都是潜在的受害者

1719209166050.png

分析一下这个邮件的源代码:

Received: from spam.BBA.com (spam.BBA.com [10.200.10.200])
	by BBA.com (MTA v483e020) with ESMTP id 9dd007821bd9a7454b9606354db34dba
	for <it@BBA.com>; Mon, 24 Jun 2024 11:15:43 +0800
Received: from positair.com.cn ([122.51.240.31]) by spam.BBA.com with ESMTP id VZcMa1TF1UUAu7pP (version=TLSv1.3 cipher=TLS_AES_256_GCM_SHA384 bits=256 verify=NO) for <it@BBA.com>; Mon, 24 Jun 2024 11:13:40 +0800 (CST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=email; d=positair.com.cn;
 h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type;
 i=admin@positair.com.cn;
 bh=Cx1CfJcG+KHOqi3vaney2NDkVEFh14IzovAVqOv5XvI=;
 b=dmdotXkvIrZuQizoAMxghcz1FimF8+PCyVAL6PJ7n82QAnz947S7edw9BC5JjeBxSk/965gGa0pZ
   qAYBF8tIqMO7dOvpaSkdo5WQpTp3Rrh5d+l2zr0s5WJy2DVcui6TF7LHKw3cl6awzcjdQxzjBbCU
   UVuzC3sGtRRDdEmZD7c+S2UW+wAz6xALSq6hAPLvv6ClA7nHWY8VXPiEmnA4WMELL+7oAHvnA1Rc
   wIRb8FIw9cNkR2OrzYvJQJB7jLyRjz5UGcO9FuZ/Gm0//Xgzc5qeBDZigPGlW3jLPJ6U2SHIQiou
   QTwSbirsRMuguXBbi808cjCrM4HEskpnyHNs+w==
Message-ID: <36E0B1F420976D5FB27D61794D6CA4D1@btmookzy>
From: =?utf-8?B?6LSi5Yqh6YOo?= <admin@positair.com.cn>
To: it <it@BBA.com>
Subject: =?utf-8?B?W3NwYW1dICA=?= =?utf-8?B?5oKo5pyJ5LiA5Lu96YeN6KaB5paH5Lu277yM6ZyA6KaB5Y+K5pe25pS26ZiF77yB?=
Date: Mon, 24 Jun 2024 11:15:14 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_001_798050cd22c81ed4_=----"
X-Priority: 3
X-Mailer: Supmailer 39.2.1
Disposition-Notification-To: woaini831112@qq.com
X-Virus-Scanned: by bsmtpd at BBA.com
X-Eyou-Sender: <admin@positair.com.cn>
X-Eyou-MID: <d49359c1cba85c17d70f94ee31e79ad9>

发件人是admin@positair.com.cn

DKIM-Signature: 表明邮件通过了DKIM(DomainKeys Identified Mail)签名验证,这是一种用于验证邮件是否由声称的域名发送的技术,增强了邮件的可信度。这里包含了签名版本、使用的算法、域名、签名头域等信息,以及用于验证签名的数据。

如果你遇到的邮件源代码没有DKIM-Signature,可以认为是有问题的,现在有那种自己给自己邮箱发的钓鱼邮件,发件邮箱完全是伪造的。

X-Mailer: 显示使用了Supmailer 39.2.1这个邮件发送工具或库来构造和发送邮件。 Disposition-Notification-To: 请求阅读回执,希望知道邮件何时被打开,回执将发送,woaini831112@qq.com

这里可以找到发钓鱼邮件的人涉及大邮箱是woaini831112@qq.com,估计他的腾讯文档可能也是这个邮箱登录的。

不排除这个邮箱是购买的或者是用于混淆视听的。

Supmailer是来自海外的一个发件工具。

1719215708571.png

avatar
文章
阅读
粉丝