V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
SaltyLeo
V2EX  ›  信息安全

最近有多少人收到了 [email protected] 发送的钓鱼邮件?

  •  
  •   SaltyLeo · 2019-09-14 23:56:59 +08:00 · 4725 次点击
    这是一个创建于 1896 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我今天收到了四封,看起来都是钓鱼,接受邮件的邮箱在 leancloud 国际版有一个账户并且有一个不使用的应用,但是钓鱼邮件内的应用名称完全不对。

    最搞笑的是 leancloud 根本没有提供重置"应用密码"这种操作,"应用"本身根本就没有密码!

    正文的上下文也完全对不上,前面请求的是重设应用密码,后面给的链接是重置账号密码。

    假的

    部分 eml 细节:

    Received: from ucmaild009.sendcloud.org (unknown [106.75.2.252])
    ...
    Received:from uluru-consumer-86685cd4b8-n7ssp (Unknown [127.0.0.1]) by SendCloud Inbound Server with ESMTPA id 9D86A043-3268-4F69-8535-3EA6EBB5464D.1 envelope-from <[email protected]> (authenticated bits=0); Sat, 14 Sep 2019 20:39:15 +0800
    Date:Sat, 14 Sep 2019 20:39:15 +0800 (CST)
    From:isme <[email protected]>
    ...
    REPLY-TO:isme <[email protected]>
    ...
    List-Unsubscribe:<http://sctrack.sc.gg/track/unsubscribe.do?p=eyJ1c2VyX2lkIjogNjMwLCAidGFza19pZCI6ICIiLCAiZW1haWxfaWQiOiAiMTU2ODQ2NDc1NTc0NV82MzBfMjA4OTZfNTM0NS5zYy0xMF85XzQwXzE2NC1pbmJvdW5kMCRzYWx0eWxlb0B0c3Rycy5tZSIsICJzaWduIjogImQ1NTQxOGU1NzFlZTM3YzhjZDlkNzM1ZjU2MmUyMjQwIiwgImxhYmVsIjogMCwgInJlY2VpdmVyIjogInNhbHR5bGVvQHRzdHJzLm1lIiwgImNhdGVnb3J5X2lkIjogODQ0MTl9>,<mailto:0_84419_1568464755745_630_20896_5345.sc-10_9_40_164-inbound0@apps.leancloud.cn>
    ...
    <br/><br/><div style=3D"width:1px;height:0px;overflow:hidden"><img style=3D=
    "width:0;height:0" alt=3D"" src=3D"http://sctrack.sc.gg/track/open/eyJtYWls=
    bGlzdF9pZCI6IDAsICJ0YXNrX2lkIjogIiIsICJlbWFpbF9pZCI6ICIxNTY4NDY0NzU1NzQ1XzY=
    zMF8yMDg5Nl81MzQ1LnNjLTEwXzlfNDBfMTY0LWluYm91bmQwJHNhbHR5bGVvQHRzdHJzLm1lIi=
    wgInNpZ24iOiAiOTI0N2ZmMTBmN2MxZGU1ZTQ5MmQ4NTI4ZDk3YTQ3ZTgiLCAidXNlcl9oZWFkZ=
    XJzIjoge30sICJsYWJlbCI6IDAsICJ1c2VyX2lkIjogNjMwLCAiY2F0ZWdvcnlfaWQiOiA4NDQx=
    OX0=3D.gif"/></div>
    

    邮件正文:

    上面 leancloud 的重置密码链接是可以打开的,并且看起来完全就是真的一样,但是密码可以是任何组合,包括 111 都行(我填 111 并且提示重置成功了),这很明显不是正常的重置密码链接。

    有兴趣的可以检测下这个链接:https://leancloud.cn/dashboard/reset.html?token=wQerxnG2tMRBX2W5W8eusRYaQkVC634m


    真的

    然后我作死真的重置一次密码,发来的邮件 eml 信息和钓鱼邮件的基本一致,部分 eml 细节:

    Received: from ucmaild003.sendcloud.org (unknown [106.75.2.41])
    ...
    Received:from uluru-api-7b7c5fb6f6-2lww2 (Unknown [127.0.0.1]) by SendCloud Inbound Server with ESMTPA id D61AD613-184D-47A0-AF39-D7CCC4E5CD32.1 envelope-from <[email protected]> (authenticated bits=0); Sat, 14 Sep 2019 21:37:21 +0800
    Date:Sat, 14 Sep 2019 13:37:21 +0000 (UTC)
    From:LeanCloud Team <[email protected]>
    ...
    REPLY-TO:LeanCloud Team <[email protected]>
    ...
    List-Unsubscribe:<http://sctrack.sc.gg/track/unsubscribe.do?p=eyJ1c2VyX2lkIjogNjMwLCAidGFza19pZCI6ICIiLCAiZW1haWxfaWQiOiAiMTU2ODQ2ODI0MTk4NF82MzBfMTY3MV8zNTIyLnNjLTEwXzlfMV83NS1pbmJvdW5kMCRzYWx0eWxlb0B0c3Rycy5tZSIsICJzaWduIjogImJiNGE3OWIyZmU1YWNlODU0MTE1YTk5YTIwY2I4MTE3IiwgImxhYmVsIjogMCwgInJlY2VpdmVyIjogInNhbHR5bGVvQHRzdHJzLm1lIiwgImNhdGVnb3J5X2lkIjogODQ0MTZ9>,<mailto:0_84416_1568468241984_630_1671_3522.sc-10_9_1_75-inbound0@hello.leancloud.cn>
    

    邮件正文:

    这才是真的重置邮件,和假的一眼就能分辨出来。瞎猜一波只是使用 Swaks 伪造了发件人等信息伪造邮件来钓鱼,最坏的情况就是 apps.leancloud.cn 这个三级域名被黑产控制了。

    我就很好奇这种邮件到底有什么用,我在邮件内容本身上没有发现任何病毒或木马载荷,重置密码链接是 leancloud 的,并且全程 https 域名看起来都是正常的,应该动不了手脚吧?那个 gif 外链最多最多只能获取我的 ip 和浏览器版本以及系统信息?更加详细的例如 cookie 应该拿不到吧?

    最后想问下这种黑产到底怎么恰饭

    SaltyLeo
        1
    SaltyLeo  
    OP
       2019-09-15 01:46:32 +08:00
    找到原因了,原来是邮件模板(x
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2774 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:03 · PVG 21:03 · LAX 05:03 · JFK 08:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.