WordPress站点被入侵 进行Dropbox钓鱼
今天,我收到了好几封电子邮件,这些电子邮件提醒我,我的Dropbox账号(电子邮件账号)需要进行强制更新。
这些电子邮件的整体外观和整体感觉都是模仿Dropbox的,而且邮件的发件地址使用的是dropbox@smtp.com。这一切其实并不是什么坏事,因为它给我们提供了一个很好的研究案例,通过这个案例,我们就可以深入地了解到底应该如何防御这种类型的网络钓鱼电子邮件了。
“spf2.0/pra,mfrom include:_spf2.smtp.com ~all”
“v=spf1 ip4:192.40.160.0/19 ip4:74.91.80.0/20 include:salesforce.com ?all”
但是,请你注意其中的“?all”部分,这个部分是专门为不存在于列表中的IP地址而设计的,这通常意味着电子邮件已经被接收了。所以,这些电子邮件最终被证实为无效的SPF记录,但是垃圾邮件过滤器仍然可以检测到相关信息。
现在,我们将注意力转移到垃圾邮件过滤器上。我们这个并未设置恰当的SpamAssassin(这是一种安装在邮件伺服主机上的邮件过滤器,它可以用来辨识垃圾邮件。)给出的评分为33分。以电子邮件中的URL地址黑名单为例,电子邮件代理(Outlook)与MIME消息的布局并不匹配。
如果电子邮件成功地进入了你的收件箱,那么你可能会被诱导去点击它。攻击者并不会试图去混淆邮件中的URL地址。你的浏览器将会直接被定向至一个.vn(越南)网站。这个网站已经被添加进了黑名单,而且你的浏览器也会警告你有关这个网站的相关信息。但事实证明,通过这个URL地址,攻击者成功地入侵了一个Wordpress网站,并上传了一个简单的网络钓鱼表单。为了“验证”用户的凭证,该表单将会向目标用户提供一系列用于选择表单的不同的电子邮件服务。无论用户使用的是哪一个电子邮件地址/密码,目标用户都将会被定向至一个谷歌文档页面,如果用户发现了上述一系列情况中的任何一种,那么就说明这位用户遇到了网络钓鱼诈骗。
这些电子邮件在被加入黑名单之前,在它们的生命周期的前期往往是攻击成功率最高的(在这些邮件进入了我的收件箱之后,我对这些电子邮件进行了好几个小时的研究。);
网络钓鱼是一种数字游戏。因为在成百上千的网络钓鱼电子邮件中,只有少数的用户会去“点击”这些钓鱼邮件,而在这些用户中,又有极少数的人会向其输入他们的“用户凭证”。
不要以为所有的攻击者在攻击活动中都能够成功地获取到非法的钱财。和其他的网络犯罪活动一样,只有很少的一部分人可以从中获利,其中绝大部分的人都生活在他们父母的地下室里,然后梦想着有一天能够赚大钱,但是这些人并不拥有实现这些梦想的能力。