一次学校集体被钓鱼事件分析
我们学校被钓鱼了,泄露了不少同学的邮箱信息。正好先来无事,实验室的师哥们就带这我们这帮菜鸡们玩了玩(呜呜呜~~基本都是师哥拿下来的,弟弟太菜了),毕竟在我们这种特殊院校出现这种事件说明犯罪分子十分嚣张了。
事件起因
前几天在我们学校,有不少同学收到了这个名为“校办处”,标题为“录取通知”的邮件:
邮件内容就给了你一个链接让你去看他所谓的“详情”。然后我们直接访问这个链接,便出现了一个QQ邮箱的登录页面:
有经验的同学很快就能反应过来这是一个钓鱼网站,但是这个网站除了链接以外,做的跟真的QQ登录页面一模一样,就不能避免一些好奇的同学输上密码试试,当你输入QQ号码和密码后就会跳转进入到真实的QQ邮箱页面:
这是钓鱼网站的一个最鲜明的特征,即输入账号和密码后自动跳转到真正的官网上。但是你的QQ账号和密码已经传输到了对方黑客服务器的数据库里,可以继续往下看。
尝试攻击
我们在尝试攻击该钓鱼网站时,我么先是发现了从该页面提交的登录信息都会发送到另一个,其服务器的IP为45.xxx.xxx.63,
本想尝试登录一下该服务器的后台,却发现对方给出的后台地址是个假的,进去之后只有无尽的挑衅并且太过“辣眼睛”:
然后扫描了一波目录之后也没有是什么发现。
然后尝试sql注入,一波注入猛如虎,发现居然有过滤机制,最后全被waf检测了。。。
尝试sqlmap又被封了IP。小白加菜鸡的我顿时陷入了懵逼的困境中。
前几天,就在前几天360CERT监测发现宝塔面板官方发布了数据库未授权访问漏洞的风险通告,漏洞等级为严重。远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限
之后对目标服务器进行了简单的信息收集:
得知该服务器位于美国弗吉尼亚州赫恩登(毕竟是干坏事怎么能在国内呢),并且一个重大的发现是,目标服务器开启了8888端口,这是服务器运维面板——宝塔的默认端口,而就在这几天刚刚披露出了宝塔数据库未授权访问的一个漏洞,实验室的师傅们便在这里试了试,竟然成功了,最终成功进入目标服务器的数据库管理页面,一键root哈哈哈:
如下,在qmail表的fish_user字段中发现了一些受害者的QQ账号和密码信息:
之后rayi师傅就其将交给了各位网警师哥们做相关的电子数据取证处理了,嘿嘿~~估计那个小黑客可以等着吃牢饭了。
事后与危害性分析
说到这里,你可能想问,那个黑客是如何给我们发送邮件的?他有是如何得到我们的邮箱信息的?我们的邮箱信息有是如何泄露的呢?
这太简单了,由于此次事件的发生是有一定的聚集型的,并且基本校内每个同学都收到了邮件,所以我们推测,对方可能是混入了我们的招生群:
那么黑客得到了我们的QQ好之后又有什么用呢,难道就是单纯的想盗你号然后给你发xx图搞恶作剧吗?当然不是,这背后牵扯的是一条黑色的产业链。
比如某某黑客负责盗号,然后把这些账号封装起来,出售给专门收信的人,只要密码是正确的,不管能不能登上去。收信人买来这些账号后,有的做成“社工库”。
而如果钓到的是游戏账号,收信人也会进行“洗信”(“信”的内容就是游戏账号密码等信息,洗信说白了其实就是盗号洗钱)。之后,“收信人”利用工具去批量测试这一个信封的号码,看看有多少个被冻结或者密码错误。最后将那些密码对的账号,进行游戏装备等清洗,比如转走你的游戏装备,积分,游戏币,等等。
像这样的一个账号只值六毛到八毛左右,这种交易当然是违法的不容置疑。
如何防范
像这种钓鱼网站无非有以下几个特征:
1、URL链接比较可疑:
你觉得但凡是他们QQ官方能用这么别扭的链接吗?
2、随便输入试试看
当你在登录页面输入账号和密码时,不管你输入的账号密码是否正确,都能跳转到官方页面,像这种情况在真是的官方登录页面是不会发生的,所以,当你进入这样一个登录页面时,可以先输上一个错误的账号和密码试试看,如果登录成功则为钓鱼网站,反之,登陆失败则为真是官方网站。如下:
但要注意,这种钓鱼站很久前就有考验人心理,第一次不管怎么输入,它都提示你输错,这时你第二次输入才进行跳转。而且两次数据都入库,更便于筛选,两次密码一致大概率就是真的密码。
3、提高警惕性
钓鱼网站大多的手段就是发送给你一个比较有诱惑的链接或者二维码(二维码扫描之后还是跳转至链接),所以警惕中奖、修改网银密码、QQ密码的通知邮件、短信,不要轻意点击未经核实的陌生链接和扫描二维码。
不要在多人共用的电脑上进行金融业务,如在网吧等。更不要将自己的隐私信息随便给他人。
Ending......
最后,还请大家在生活中提高安全防范意识,不要随便点击不明的链接和扫描不明的二维码,不要贪小便宜哦。
经过一番折腾,深知自己太菜,还要跟各位前辈们好好学习。