944 字
5 分钟
QQ盗号网站攻击思路分析
最近QQ邮箱收到了一封伪装成”学籍信息核对”的钓鱼邮件,正好闲着没事,就对这个钓鱼网站进行了一次完整的分析。下面分享一下攻击者的思路和技术手段。
攻击链:
- 通过QQ邮件群发,主题是”26年个人学籍信息核对”,伪装成官方教育机构通知。
- 邮件包含恶意链接,声称需要验证身份后才能查询学籍信息,并制造紧迫感:“不另行通知”。
- 用户访问后看到伪造的”学生资料”页面,背景是教育系统界面,弹窗提示”当前文档过大,需要登录QQ才能查看”。
- 信息窃取
/step_in/- 收集个人基本信息/step_code/- 验证码确认/step_phone/- 手机号验证/app/cess/data.php- 最终数据提交
- 最终窃取:QQ账号密码、身份证号/学号、手机号等敏感信息。
网络基础设施
恶意域名:
- 主要域名:
dc.r***pr.top - 父域名:
r***pr.top - 关联域名:
ba***obgyn.com(仿冒美国医疗机构)
IP地址:198.18.1.*19
- 属于IANA保留段(198.18.0.0/15)
- 根据RFC 2544仅用于实验室网络基准测试
- 严禁在公共互联网使用
- 攻击者具备配置和使用保留IP的高超技术
服务器技术栈:
- Web服务器: nginx
- 后端语言: PHP
- 会话管理: PHPSESSID
- 数据提交: AJAX异步请求
- 虚拟主机: 一个IP托管多个域名
SSL证书信息:
- 颁发机构: Let’s Encrypt (R12)
- 证书主体:
ba***obgyn.com - 实际使用域名:
dc.r***pr.top - 证书主体与使用域名不符
钓鱼网站路径
入口页面: http://dc.r***pr.top/信息录入: /step_in/验证码页面: /step_code/加载处理: /step_load/手机验证: /step_phone/主控脚本: /app/cess/index.php数据收集接口: /app/cess/data.php静态资源:
/images/School.png- 伪造的学校背景图/images/reset.css- 样式文件/images/style.css- 样式文件
HTTP请求特征
数据提交示例:
POST /app/cess/data.php HTTP/1.1Host: dc.r***pr.topContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestCookie: PHPSESSID=4aa94109b5c9e59fb02c3***********Referer: http://dc.r***pr.top/step_load/
rs=rs💻 技术核心
反追踪措施
- 禁用ICMP响应(防止traceroute)
- 仅开放TCP 80/443端口
- 启用HSTS强制HTTPS
- 支持HTTP/3和QUIC协议
- DNS TTL设置为1秒,便于快速切换
滥用IANA保留IP地址
根据RFC 2544,198.18.0.0/15这个IP段仅用于实验室网络基准测试,严禁在公共互联网使用。ARIN官方声明明确指出:
“Addresses starting with ‘198.18.’ or ‘198.19.’ are set aside for use in isolated laboratory networks… They should never appear on the Internet”
在公开的钓鱼案例中滥用IANA保留IP地址极为罕见,这表明攻击者可能具备特殊的网络资源或技术能力。
SSL证书滥用
SSL证书颁发给ba***obgyn.com(一家已关闭的美国医疗机构),但实际用于dc.r***pr.top,这表明:
- 证书被滥用或域名被劫持
- 攻击者可能同时运营多个钓鱼站点
- 具有跨国诈骗特征
从SSL证书信息来看,攻击者不仅在针对中国学生(伪装学籍查询),还可能通过仿冒美国医疗机构域名ba***obgyn.com进行诈骗。这表明是一个国际化的诈骗集团。
总结
这是一个高度专业化的网络诈骗案例,攻击者不仅运用了精妙的社会工程学技巧,还展示了相当高的技术水平。滥用IANA保留IP地址的做法在公开的钓鱼案例中极为罕见,这表明攻击者可能具备特殊的网络资源或技术能力。
网络安全需要我们时刻保持警惕,遇到可疑链接时多一分谨慎,就可能避免一次财产损失。
本分析仅供网络安全研究和教育使用
分享
如果这篇文章对你有帮助,欢迎分享给更多人!
部分信息可能已经过时