PhishingEmailsinActionTHM
Introduction
现在我们已经介绍了网络钓鱼电子邮件 1 中有关电子邮件的基础知识,接下来让我们直接深入了解实际的网络钓鱼电子邮件示例。
此房间中展示的每封电子邮件样本都将展示用于使网络钓鱼电子邮件看起来合法的不同策略。钓鱼邮件出现得越有说服力,收件人点击恶意链接、下载并执行恶意文件、甚至向某个国家的王子进行电汇的可能性就越大。
警告:整个房间的样本包含来自实际垃圾邮件和/或网络钓鱼电子邮件的信息。如果您尝试与任何 IP、域、附件等进行交互,请务必小心。
Cancel your PayPal order
此任务中的电子邮件示例将重点介绍以下技术:
- 欺骗性电子邮件地址
- URL缩短服务
- 冒充合法品牌的 HTML
以下是对此电子邮件样本的一些快速观察:
- 这是一个不寻常的电子邮件收件人地址。这不是与雅虎帐户关联的电子邮件地址。
- 这种不匹配应该立即凸显出来。发件人的详细信息 (service@paypal.com) 与发件人的电子邮件地址 (gibberish@sultanbogor.com) 不匹配。
- 主题行暗示您进行了某种购买或交易。如果您不记得此帐户,那么它会引起您的注意。这种社交工程策略是促使您快速与电子邮件进行交互。
现在让我们看看电子邮件正文的内容。
电子邮件正文(图 1):
同一电子邮件正文的后半部分(图 2):
电子邮件正文补充了发件人信息和主题行。该电子邮件被设计为来自 PayPal 的合法电子邮件。
没有任何与此电子邮件关联的附件。此电子邮件中唯一的交互元素是取消订单按钮/链接。
让我们通过查看电子邮件的原始 HTML 源代码来进一步调查这一点……
电子邮件超链接:
该链接使用 URL 缩短服务。如果您不知道该链接会将您带到哪里,那么单击该链接并不是一个好主意。
幸运的是,我们可以使用一些在线工具来了解缩短的 URL 的目的地。
奇怪的。此链接重定向至 google.com。
注意:扩展缩短 URL 的工具将在网络钓鱼电子邮件 3 会议室中讨论。
Track your package
此电子邮件示例将重点介绍以下技术:
- 欺骗性电子邮件地址
- 像素追踪
- 链接操作
以下是对此电子邮件样本的一些快速观察:
- 该电子邮件经过定制,看起来像是从某种邮件分发中心发送的。
- 主题行添加了“跟踪号码”。
- 电子邮件正文中的链接与主题行匹配。
注意:在此电子邮件示例中,雅虎阻止了图像自动加载。有什么猜测吗?
通常,人们可以将光标悬停在链接上以查看链接指向的位置,但在此示例中,该技术不起作用,因为雅虎禁用了电子邮件中的链接。我们可以查看电子邮件的原始源代码并找出答案。
电子邮件超链接:
这里我们看到一个图像文件,它被明确命名为 Tracking.png。这些跟踪器将信息发送回垃圾邮件发送者的服务器。
垃圾邮件发送者将跟踪像素(非常小的图像)嵌入到垃圾邮件中的原因有很多。要了解有关此概念的更多信息,请参阅 The Verge 上的这篇文章此处。
现在我们可以理解为什么雅虎自动屏蔽了这封电子邮件中的图片。许多电子邮件提供商也这样做。
回到超链接,该链接指向一个看起来可疑的域。该域唯一可以关联的分发中心是恶意软件,但进一步分析是确认这一点的唯一方法。
Select your email provider to view document
此电子邮件示例将重点介绍以下技术:
- 紧急
- 冒充合法品牌的 HTML
- 链接操作
- 凭证收集
- 语法错误和/或拼写错误
让我们仔细看看…
以下是对此电子邮件样本的一些快速观察:
- 该电子邮件于 2021 年 7 月 15 日星期四发送。
- 这封电子邮件引入了一种紧迫感。请注意,下载传真文档的链接将在同一天过期。
- 有一个动作需要执行。在本例中,有一个下载传真的按钮。
上图显示受害者被重定向到创建为 OneDrive 的页面。请注意,该 URL 与 Microsoft 无关。
还有两个链接可供受害者进行交互。受害者必须单击任一按钮才能获取设置为过期的传真文档。
受害者被引导至另一个网站。该产品的设计类似于 Adobe。再次注意 URL。看起来和Adobe没有关系。
另外,请注意选项卡中的页面标题。它的名字叫“Share Point Online”,是微软的一款产品。还有一些语法错误。
受害者可以选择使用他们选择的电子邮件提供商登录。
我们的受害者选择使用 Outlook 登录,因为根据说明,“要阅读文档,请输入此文件发送到的有效电子邮件凭据。”;该电子邮件已在 Outlook 中查看。
在此示例中,我们可以看出输入了虚假凭据,但即使受害者输入了有效凭据,错误消息也会是相同的。发生这种情况是因为受害者并未真正向电子邮件提供商进行身份验证。 相反,输入的凭据现在驻留在犯罪分子的服务器上。犯罪分子获取凭证的目的已经达到。
最后,注意更多的语法错误。他们投入的所有这些工作,你可能会认为他们会进行拼写检查。
此电子邮件样本是从 Any Run 获取的。如果您想与电子邮件互动并查看完整的分析,请参阅下面的链接。
Please update your payment details
此电子邮件示例将重点介绍以下技术:
- 欺骗性电子邮件地址
- 紧急
- 冒充合法品牌的 HTML
- 语法错误和/或拼写错误
- 附件
以下是对此电子邮件样本的一些快速观察:
- 这封电子邮件看似来自 Netflix Billing,但发件人地址是 z99@musacombi.online。
- 这是紧迫性的因素。该帐户已被暂停,因此受害者必须迅速采取行动。
- 电子邮件正文中更多的是这种紧迫感。
另外,请注意 Netflix 这个词的不同拼写错误。不确定这样做的目的是什么。
通常,当涉及到typosquatting时,您会看到这种技术 ,但这里的情况并非如此。
好的,这就是这封电子邮件的主要内容。显然,受害者需要打开附件 (PDF) 才能更新他们的 Netflix 帐户。
请注意“Netflix”的电话号码。乍一看,这是一个发送给美国受害者的不寻常的电话号码。
该附件包含标题为“更新付款帐户”的嵌入链接。
我们将在即将推出的网络钓鱼电子邮件 3 室中更详细地查看此电子邮件附件。
Your recent purchase
此电子邮件示例将重点介绍以下技术:
- 欺骗性电子邮件地址
- 收件人已密件抄送
- 紧急
- 语法错误和/或拼写错误
- 附件
以下是对此电子邮件样本的一些快速观察:
- 这封电子邮件看似来自 Apple 支持,但发件人地址是 gibberish@sumpremed.com。
- 这封电子邮件不是直接发送到受害者的收件箱,而是密件抄送([密件抄送](https://www.technology.pitt.edu/help-desk/how-to-documents/using-blind-carbon -复制密件抄送功能保护隐私电子邮件地址))。收件人电子邮件看起来像是另一封欺骗性电子邮件,看似合法的 Apple 电子邮件地址。
- 这是紧迫性的因素。需要代表受害者采取行动。
发件人和收件人电子邮件地址中都有一些明显的拼写错误:donoreply 和 payament。
这封特定的电子邮件不一定有电子邮件正文。完全是一片空白。该电子邮件仅包含一个附件。
这个文件扩展名你可能不熟悉。 .DOT 文件是与 Microsoft Word 关联的页面布局模板文件。
上图显示了附件中包含的内容。您可以看到该文件包含一个类似于 App Store 收据的大图像。
请注意,该链接包含与 Apple 相关的某些关键字:apps 和 ios。
DHL Express Courier Shipping notice
此电子邮件示例将重点介绍以下技术:
- 欺骗性电子邮件地址
- 冒充合法品牌的 HTML
- 附件
以下是对此电子邮件样本的一些快速观察:
- 发件人的电子邮件与被冒充的公司(在本例中为 DHL)不匹配。
- 主题行给人的印象是 DHL 将为您运送一个包裹。
- 电子邮件正文中的 HTML 设计得看起来像是从 DHL 发送的。
查看电子邮件的源代码,以网页形式查看电子邮件的链接不包含实际的目标 URL。
…
受害者在此电子邮件中可以交互的唯一元素是电子邮件附件,在本例中是 Excel 文档。
下图显示了附件中包含的内容。
附件运行的有效负载会引发错误。
我们将在即将推出的网络钓鱼电子邮件 3 室中更详细地查看此电子邮件附件。
Conclusion
在这个房间里,我们查看了各种网络钓鱼样本。
一些示例共享类似的技术,而其他示例则介绍了一种新策略供您查看和学习。
了解如何检测网络钓鱼电子邮件需要意识培训。
请访问以下资源,了解网络钓鱼电子邮件中需要注意的其他迹象。
其他资源: