近期有部分同事接到自己给自己发的钓鱼勒索邮件,当时还以为是他们自己的电脑中毒了,而且邮箱账号密码被盗走,然后黑客利用邮箱发的邮件。因为此,还排查了用户电脑被入侵的痕迹,现在看来,当时应该先上网查一下有没有类似的先例再说。
公司的邮箱只能在内网使用,外网也无法登录,也无法发送,黑客拿下员工电脑之后,入侵邮箱还要再发送钓鱼勒索邮件,这个思路其实挺不合逻辑的,外部黑客直接发起勒索病毒攻击不更好吗?
事后判定是外部黑客伪造的一封邮件,当时此类邮件被拦截的很多,只有少部分是漏网之鱼,如果真是自己给自己发,邮件安全网关也不会去拦截的呀。
这个就是对方发的钓鱼邮件,说什么已经远控了员工的电脑,发现员工在看情色网站,想要不被监控,就要支付比特币。
为此还贴心提供了买比特币的网址和黑客自己的比特币钱包。
当时看了一下邮件的邮箱服务器地址,是哈萨克斯坦的,这个一点就不正常了,哈萨克斯坦和公司可以说没有半毛钱关系。
最近看到coremail的用户手册也专门提及了自己给自己发的情形。
这个是一个垃圾邮件的头信息,从里面我们可以知道对方的邮件服务器相关信息。
195.76.176.52 Madrid, Comunidad de Mostoles 欧洲 西班牙
185.236.231.206 Lisboa Lisbon 欧洲 葡萄牙
ini
Received: from spam.BBA.com (spam.BBA.com [10.200.1.20])
by BBA.com (MTA v483e020) with ESMTP id 9676c8ae3f8f38044c15e581bc134d01
for <[email protected]>; Fri, 22 Dec 2023 11:09:35 +0800
Received: from mailserver.datalogic.es (fw2.ticnova.es [195.76.176.52]) by spam.BBA.com with ESMTP id s8pTBkREMyEDMaYY (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128 verify=NO) for <[email protected]>; Fri, 22 Dec 2023 11:09:23 +0800 (CST)
Received-SPF: pass (mailserver.datalogic.es: authenticated connection) receiver=mailserver.datalogic.es; client-ip=185.236.231.206; helo=pcbox.es; [email protected]; x-software=spfmilter 2.001 http://www.acme.com/software/spfmilter/ with libspf2-1.2.10;
DKIM-Filter: OpenDKIM Filter v2.10.3 mailserver.datalogic.es 3BM3E0JR030531
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=pcbox.es;
s=mailserver_pcbox; t=1703214866;
bh=+W/jVDcd4XoWSYaFkgtsmGJ+YwJat+imZL/bfIMFSfY=;
h=From:To:Subject:Date;
b=kjlPfyohhukCL/QsWzZAdKd4m/xhy7GtI8O9NcGAPdiD7QO8ZnezD1lLGGUHMMsh7
nJaW2rffISwiAInNnWE5wxKucyTJRgaXuf0xgltVQkQHDzzI8SpXW+YZRAZEmRDIE4
9t6uhnXtasIxuW4Vxdh+u+5wLpDUanj6FvzYvZeI=
Received: from pcbox.es (briny.com [185.236.231.206] (may be forged))
(authenticated bits=0)
by mailserver.datalogic.es (8.15.2/8.15.2) with ESMTPSA id 3BM3E0JR030531
(version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
for <[email protected]>; Fri, 22 Dec 2023 04:14:26 +0100
From: Made-in-china<[email protected]>
To: [email protected]
Subject: Re: New order
Date: 21 Dec 2023 19:14:26 -0800
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Virus-Scanned: clamav-milter 0.101.1 at mailserver
X-Virus-Status: Clean
X-Greylist: Sender succeeded SMTP AUTH, not delayed by milter-greylist-4.6.2 (mailserver.datalogic.es [10.12.2.34]); Fri, 22 Dec 2023 04:14:26 +0100 (CET)
X-Virus-Scanned: by bsmtpd at BBA.com
X-Eyou-Sender: <[email protected]>
X-Eyou-MID: <d9d754634de208916bfc0d795e8033e0>遇到钓鱼邮件或者垃圾邮件,想要溯源就要先看邮件源码信息,这个是比较靠谱的分析办法。