事件概述

5月25日，#搜狐全體員工遭遇工資補助詐騙#沖上微博熱搜第一。據一份流傳網絡的聊天記錄顯示，搜狐全體員工在5月18日早晨收到一封來自“搜狐財務部”名為《5月份員工工資補助通知》的郵件。聊天記錄稱，不少員工受騙，工資卡余額被劃走，隨后張朝陽發博回應此次事件。

張朝陽微博截圖

綜合相關信息進行溯源追蹤，經中睿天下郵件安全響應中心確認，此黑產組織與去年中睿天下郵件安全響應中心捕獲并持續追蹤的黑產組織為同一團伙。

技術分析

此黑產組織是通過網絡攻擊手段獲取到目標郵件服務器高級權限賬號后，以財務部、稅務局、人力資源和社會保障服務平臺及國家社會保險公共服務等部門名義下發的《關于發布2022最新補貼通知》郵件，其中2022年3月至4月近1個月以來已監測到數萬封此類詐騙郵件，從平臺上發現活動的釣魚網站鏈接近千個，帶有密碼的銀行卡信息近千條，涉及銀行45家，從受害者自己填寫的余額來看涉及詐騙金額總計近2000萬，范圍涉及高校、IT行業、制造業、外貿、服務業等各類企事業單位，經深度溯源發現該黑產組織詐騙涉案金額已高達上千萬元，其具體詐騙手法分析如下：

1釣魚郵件詳情

黑產組織以高權限郵箱賬號向全員發送釣魚郵件，該封郵件正文是工資補貼通知，在正文中放置了一張二維碼圖片，誘導收件人掃描正文中二維碼。郵件附件的內容和郵件正文一樣，并未攜帶病毒和可執行文件。

郵件正文

2解析郵件頭信息

通過對郵件頭分析，發現該封郵件是通過outlook發送，源碼中的IP也是outlook的IP，郵件頭未內獲取更多信息，需要從其他方面著手進行溯源反制。

郵件頭源碼

溯源反制

01溯源分析

釣魚頁面

通過查看釣魚頁面的前端JS發現該頁面調用api接口，域名為api.klh****.***，查詢api域名解析IP47.5*.*.***。

API接口

對此域名進行端口掃描，發現開啟8888端口，訪問該端口為發現寶塔登錄面板，此釣魚網站為寶塔統一部署，針對寶塔技術突破研究是另外的技術問題，不在此表述。

寶塔面板

對IP47.5*.*.***反查域名發現關聯200多個域名，因為運用了cname，真實綁定在此IP上的域名只有api.klh***.***和new.****.***。登錄此域名發現為該黑產組織的總后臺。

旁站查詢

綁定域名查詢

02反制過程

通過某種方法我們成功進入總后臺，在其中發現大量受害者信息，并取得關鍵證據。

分管后臺

嘗試通過總后臺顯示的域名和賬號密碼進行登錄，登錄成功

受害者信息

03黑產釣魚手法分析

攻擊者通過在正文和附件放置惡意二維碼，誘導收件人掃描二維碼，收件人掃描該二維碼后會跳轉到仿冒銀聯的頁面，該頁面誘導用戶輸入個人信息及銀行卡信息，釣魚網站主要目的是獲取用戶姓名、身份X證號、手機號和銀行卡號等信息。

釣魚頁面

在獲取到用戶輸入到敏感信息之后，通過API接口將敏感信息傳輸到管理后臺，以便黑產人員進行定向詐騙。

04黑產網站功能分析

通過總控后臺可以發現有眾多的分管后臺，同時由總控后臺可以編輯分管后臺的域名跳轉、續期、受害人提取等操作方式。因此可以判斷這是一個實行分銷制的黑產團伙。

總控后臺

用戶功能處顯示所有受害者的姓名、銀行卡號、身份x證號、手機號、支付密碼、IP地址\地區、在線狀態、使用設備、操作記錄和添加時間等信息。

受害者詳情

提示跳轉處是釣魚網站收集受害者信息頁面跳轉的規則設置。通過此頁面可以控制受害者的網頁跳轉階段，以及網頁的彈窗提示。

訪問IP

黑產管理后臺同時可配置釣魚頁面和釣魚模板正文選擇，可以用來針對不同的受害者定向編輯模版。

釣魚后臺系統配置

05黑產組織架構

通過對黑產業務的摸排，還原出黑產團隊的組織架構。由主團伙負責開發和維護建站模版，使用寶塔統一部署。在找到分銷的下線之后，為下線部署一個管理后臺，然后將一個隨機生成的域名綁定到釣魚服務器上。

黑產架構1

黑產架構2

釣魚相關域名的WHOIS信息

06相似黑產郵件預警

通過對黑產后臺的摸排，同時還掌握了一批未經利用的郵件釣魚模版。

可用于提醒員工一旦收到的類似的短信或者域名請不要輸入任何的敏感信息。

ETC模板

新ETC模板

社保模版

醫保模板

美團模板

工資模板

小結

通過中睿天下郵件安全團隊的溯源以及反制分析成功獲取到該黑產組織的相應信息，總計掌握該黑產組織十余個分銷后臺，發現近千余名受害者，涉及釣魚域名800余個。