年7月第二周
样本概况
?类型1:伪造身份型钓鱼邮件
1
钓鱼邮件攻击方为了提高钓鱼成功率,往往会对钓鱼邮件进行“包装”,让钓鱼邮件看起来无比接近正常邮件。
如图所示:
以上样本内容均是伪造通过领英发送的业务邮件,大意是对收信人的产品表示很感兴趣,想要询价/获取试用订单一类的内容。
需要注意的是,尽管邮件内容出现了多处领英相关的商标、相关信息,但该类邮件实际上是针对收信人精心准备的“陷阱”。当点击邮件中的链接后便会跳转到以下钓鱼界面:
该界面将领英的某用户界面当作背景,并做了模糊处理,在左上角提示“EmailLogintimedout,pleaseloginagain”,意图收割用户的账号密码信息。
天空卫士启发式规则库针对该类伪造身份类邮件,结合邮件的链接、文本特征、发件地址、路由信息等多方面进行检查,已编写较为完善的检测规则,能对该种特征进行识别检测并拦截。
?类型2:滥用组合用字形连接符
本周收到一封主题为“关?于?2?0?2?3?工?资?调?整”的扫码类钓鱼邮件反馈,肉眼所见内容如下:
启发式规则库早对该类邮件有相关的拦截策略,在排查为何出现漏拦的过程中,我们发现肉眼看到的内容并不完整。显示文本的Unicode后我们找到了问题所在。
首先是正常的输入“财务部”三个字,显示unicode为:\u8D22\u52A1\u90E8
但当拷贝邮件中的发件人时,显示unicode为:\u8D22\uF\u52A1\uF\u90E8\uF
\uF是组合用字形连接符,属于unicode中的结合附加符号,与零宽字符一样肉眼不可见,但却实际存在。加入该类字符之后一些文本特征的检测就存在被绕过的可能。
目前启发式规则库已针对该类绕过手段编写了相应规则。
注意:该种绕过方式不仅可以用于关键字绕过,也能用于其他领域,例如短网址生成。如下图所示:
将网易云的链接转变为“