V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V392920
V2EX  ›  信息安全

老铁们,被勒索了,但是想不明白是怎么被黑的,求大佬分析

  •  
  •   V392920 · 252 天前 · 14539 次点击
    这是一个创建于 252 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天在清理 163 邮箱的时候,发现了这样一封邮件,是自己发给自己的

    正文里写的密码确实是我其他一些账号使用中的密码,但不是我 163 邮箱的密码(163 的密码是 1p 生成管理的),没搞懂是怎么登录我邮箱的(邮箱没有开二次验证,但没看到异常登录)

    这是附件 html 中的内容,其中还提到了成人网站(虽然看,但是没注册过,也从来没有用过 163 邮箱与成人网站有关联),按他的说法是入侵了我的设备,我的设备都是苹果,且系统均为最新,不排除他们使用 0day(但是使用 0day 搞个人这种勒索是不是有点鸡肋了呃),实在没想通是怎么登录到我邮箱的,文中提到的我那个密码倒是可能在很多社工库都能查到.求大佬分析一波.
    58 条回复    2024-02-27 07:30:15 +08:00
    dko
        1
    dko  
       252 天前
    考虑过是诈骗邮件吗
    diivL
        2
    diivL  
       252 天前
    这个就是诈骗邮件,我好几年前就收到个,那个发件地址是伪造的。
    Curtion
        3
    Curtion  
       252 天前
    开启了 SMTP? 网易邮箱的 SMTP 密码是单独的密码, 也不会触发异常登录
    janzwong
        4
    janzwong  
       252 天前
    个人认为是利用从社工库里拿到的个人信息群发诈骗邮件。
    InDom
        5
    InDom  
       252 天前   ❤️ 53
    伪造发件人,社工库密码。

    赌你会怕了...


    楼主你别怕,我打飞机的照片据传每个联系人都看过几百遍了,但我从来不在乎他们无知的眼神。
    V392920
        6
    V392920  
    OP
       252 天前
    @InDom 哈哈,怕倒是没怕,这个邮件都过去几个月了,就是想知道原理
    Ervin
        7
    Ervin  
       252 天前   ❤️ 2
    you are a big fan of adult websites
    V392920
        8
    V392920  
    OP
       252 天前
    @diivL 发件地址伪造?还有这种操作么,我搜搜去
    InDom
        9
    InDom  
       252 天前
    @V392920 #6 你把这封邮件的原始 eml 文件 贴过来 给你 分析分析
    PqgpNgA0wk
        10
    PqgpNgA0wk  
       252 天前
    一些教程介绍伪造发件人用的也是 163 做示例😂
    liuxyon
        11
    liuxyon  
       252 天前 via Android
    我经常收到类似邮件, 163 应该邮件服务器没这种安全验证过滤. 不要用这种国内邮箱了. 我的邮箱带着校验发件人. 邮件上有标识. 我搜集成列表, 目前已经搜集 8300 多个 ip 段发送垃圾邮件 或者要黑服务器.
    panfenglai
        12
    panfenglai  
       252 天前   ❤️ 3
    给他回复“我看不懂英文”
    IBN5100
        13
    IBN5100  
       252 天前   ❤️ 1
    发邮件问他还有新的 adult website 吗 我是 big fan
    V392920
        14
    V392920  
    OP
       252 天前
    @InDom 大佬,我截图了一部分,邮箱脱敏了,麻烦看看呢
    V392920
        15
    V392920  
    OP
       252 天前
    @IBN5100 回复不了哇,发件人是自己
    czfy
        16
    czfy  
       252 天前
    这是群发的
    8355
        17
    8355  
       252 天前
    @InDom #5 还的是你啊。
    xenme
        18
    xenme  
       252 天前 via iPhone
    仔细核对下你脱敏的邮件地址和你的邮箱是否完全一致,copy/paste/find 对比一下。 验证下发件人是近似的地址还是伪造地址,还是真的是你的邮箱。
    flyhaozi
        19
    flyhaozi  
       252 天前
    你这才 1 封还好,我 edge 泄露了 300 多个生成的密码,天天给我发,每封邮件内容都一样就是密码换了,不过没有邮箱的密码,还好邮箱没存密码管理器。他就是赌你邮箱密码跟其他网站的一样,让你以为是邮箱被登了
    V392920
        20
    V392920  
    OP
       252 天前
    @xenme 我 find 试了,确实和我的邮箱地址是一致的,copy/paste 出来也是一致的
    V392920
        21
    V392920  
    OP
       252 天前
    @flyhaozi 就是因为他写的密码不是我的邮箱密码,所以我觉得他没登录我的邮箱,但是不知道他怎么做到的发件人是我自己,看起来就像登录我邮箱发的一样
    keyfunc
        22
    keyfunc  
       252 天前
    @V392920 spf 都没有,正经邮箱不可能用 58866 这种端口,网易不会用 postfix
    qianckjuan
        23
    qianckjuan  
       252 天前
    假邮件可以理解,密码是怎么拿到的呢
    keyfunc
        24
    keyfunc  
       252 天前
    可以用网易邮箱给其他的发封先,看看原始信息,我记得网易是带 dkim 的
    flyhaozi
        25
    flyhaozi  
       252 天前
    @V392920 邮箱伪造发件人是很容易的,主要还是靠邮箱服务商自己的安全机制,比如发件服务器黑名单之类的来防
    V392920
        26
    V392920  
    OP
       252 天前
    @qianckjuan 密码很简单,他拿我这个邮箱去那些社工库查询就能查到,很多免费社工库都可以查到,但这个密码确实是我很多年前使用的(邮箱由于用的比较频繁早就改过密码了)
    ho121
        27
    ho121  
       252 天前
    邮件发件人伪造很容易的,就像伪造 User-Agent 一样容易
    littiefish
        28
    littiefish  
       252 天前 via iPhone
    163 邮箱就是大坑
    lovedebug
        29
    lovedebug  
       252 天前
    这是一种邮件的攻击方式,利用退信机制仿造自己给自己发邮件
    mschultz
        30
    mschultz  
       252 天前
    Email spoofing: https://en.wikipedia.org/wiki/Email_spoofing
    另,Google 搜索「伪造发件人地址」也有很多科普文章。

    所以情况大概是:1.这个邮件是群发的诈骗邮件,可以忽略它; 2.骗子可能用自动化程序,对某个(某些)以前泄露的数据库/社工库里面的邮箱都发了这种勒索邮件; 3.骗子并没有登录你的 163 邮箱,发件地址是伪造的

    一些建议:
    1.使用密码管理器,不同网站使用不同密码,能开 2FA 的开 2FA
    2.除非你现有的 163 邮箱地址已经广泛用于工作或亲友等现实世界通信,暂不好放弃,其他使用场景下建议逐渐换用口碑更好、垃圾邮件识别更有效的邮箱服务,例如 Gmail 。
    dya
        31
    dya  
       252 天前
    还是要定期更改全部密码。不是有 1password 这个软件帮你管理记住密码吗?然后建议只使用 gmail 或者 outlook 邮箱。这两个是大厂。比国内的大厂要好很多。
    InDom
        32
    InDom  
       252 天前
    @V392920 #14 你看 Received 字段,客户端伪造国外中转。
    1d074bfa18d34f6c
        33
    1d074bfa18d34f6c  
       252 天前
    应该是假的,图 2 解释太多了,真的有料几张截图就好,看起来是个模板
    V392920
        34
    V392920  
    OP
       252 天前
    @InDom 确实,那个 ip 是国外的,按理说如果是自己发自己,走 163 的服务器也应该是国内的哈
    liuidetmks
        35
    liuidetmks  
       252 天前
    @flyhaozi edge 怎么泄露的?
    syh2
        36
    syh2  
       252 天前
    多年以前,我的 163 也搜到过类似的邮件, 刚看到的时候愣了一下,后面没有理会, 然后就没有后文了
    ClosureEleven
        37
    ClosureEleven  
       252 天前
    不清楚发件人是自己的原理,不过看内容很典型,我在很多地方看到过这种勒索文案,就是伪装自己是个高级黑客吓唬你的(不会有人不看 porn 吧)
    Greenm
        38
    Greenm  
       252 天前
    教你怎么伪造:

    swaks --body "testmyself" --header "Subject: hello I am you " --attach "You can put." -t "[email protected]" -f "[email protected]"

    如果用第三方代发的话,还能绕过 SPF ,我就试过用 trump 的邮箱发给我的 gmail ,完全看不出来伪造的。

    当然楼上说退信的话也是有可能的。
    woody3rd
        39
    woody3rd  
       252 天前
    我也收到过,勒索要比特币,无所谓,没搭理
    salor
        40
    salor  
       252 天前
    namelesswryyy
        41
    namelesswryyy  
       252 天前
    简单,前些年有很多泄露的数据包括国内
    有人整合这些泄露的信息搞勒索,账号密码姓名手机什么的
    邮件说什么照片基本都是捏造,就看你会不会怕
    发邮件显示自己地址,这都是黑进一些不安全的邮箱账号后发的
    虽然显示是自己邮箱但是这是发邮件的时候改的,有的邮箱管理差就能发出去
    看似是自己,其实只是显示而已
    ldapadmin
        42
    ldapadmin  
       252 天前
    社工库撞一下历史泄露的密码,然后给你发勒索。能骗一个是一个。
    gongquanlin
        43
    gongquanlin  
       252 天前
    大学刚毕业的时候就用 Go 写过一个小程序,专门发送邮件包括 DKIM 都能搞,专门用来发营销邮件。可惜找不到这么大量的 ip 和支持 25 端口就放弃了
    leaflxh
        44
    leaflxh  
       252 天前
    没提到“我利用你设备的摄像头,捕获到了你 fap 的视频”,我是不认可这封诈骗邮件的
    giffgaffman
        45
    giffgaffman  
       252 天前
    网易邮箱都是老裤子了,赶紧弃坑国内邮箱,gmail 不香吗?
    sampeng
        46
    sampeng  
       252 天前
    台式。。哪来的摄像头
    ibinary
        47
    ibinary  
       252 天前
    兄弟不要怕,我之前也是这样。网易给别人发的。里面带着你的账号密码。然后紧接着发送给你邮件。邮件信息就是你看的信息。 然后说你看成人网站啥的。 不用管。删除就行。不过后面你会遭遇邮箱轰炸,各种垃圾信息。 这些都是信息泄露引起的。没办法。不用怕。
    blankmiss
        48
    blankmiss  
       252 天前
    发件地址可以伪造
    xuanbg
        49
    xuanbg  
       252 天前
    钓鱼诈骗邮件,直接删除就好。
    kaidaren
        50
    kaidaren  
       252 天前
    v 站怎么看图啊
    Rickkkkkkk
        51
    Rickkkkkkk  
       252 天前
    密码可以认为是 csdn 泄露

    csdn 很早之前泄露过一波密码, 不幸的是 csdn 是明文保存的密码, 所以注册过的人用的那个账号/密码等于就是公开的
    cnt2ex
        52
    cnt2ex  
       252 天前
    这封邮件缺少很多重要的 Header ,比如 Return-Path ,而且 Received 这个 Header 里甚至出现了 1.45.182.097 这种地址里 0 开头的 IP 。

    感觉是 163 邮箱自己 SPF 检查之类的反垃圾邮件机制不过关导致这封伪造邮件送到了你邮箱里。
    SeleiXi
        53
    SeleiXi  
       252 天前 via Android
    他说是点击了邮件里面的链接然后下载了病毒,但下载后也不会自动运行吧?一个设备点击了这个链接,又怎么传染到其他设备上?技术上求教一下
    showgood163
        54
    showgood163  
       252 天前
    我的 126 邮箱里收到过一样的邮件。

    https://haveibeenpwned.com/ 有记录

    无视了,然后账号也弃用了。
    ReZer0
        55
    ReZer0  
       252 天前
    也有可能是通过社工库泄露的密码信息来诈你。真要搞你早修改你原密码或者密保验证信息了。估计是从哪里渠道获取了你曾经被泄露的站点和密码信息,然后模拟一个邮箱用来诈你上当。
    flyhaozi
        56
    flyhaozi  
       252 天前
    @liuidetmks 多半是下载什么软件中了木马或者安装的浏览器扩展里有问题,排查发现有个从第三方下的 three.js developer tool 里有下载脚本的恶意代码(官方没上架),但不知道是不是它泄露的
    LRf5sETzOgzGvk6u
        57
    LRf5sETzOgzGvk6u  
       251 天前
    问题出在浏览器扩展
    1. 邮箱登录没异地提示且对方不知道密码
    可能性:伪造邮箱, 拥有你的 Cookie
    2.知道你浏览器过色情网站并且并没有在网站注册过
    可能性: 拥有你浏览器历史记录
    至于密码信息那个明显就是社工库找到的
    1 和 2 同时出现 99%就是浏览器扩展出现问题了.
    xguanren
        58
    xguanren  
       251 天前
    @InDom who cares
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1152 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:31 · PVG 02:31 · LAX 10:31 · JFK 13:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.