钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

近几年的数据显示钓鱼邮件的数量少了，但是质量有所提高，特别是攻防演练中的大佬做的钓鱼，让人防不胜防，有兴趣的可以看一下

1、小心辨认，切勿打开链接

今天我正在奋发图强的康正能量，突然收到教育部来的邮件，后面还给我整了个挂科名单，你吓唬谁呢

这用脚丫子想也不可能啊，前段时间的考试我都是花了钱的（哈哈，开玩笑，凭我的才智还需要花钱么），我二话不说直接F12找到真实链接

有些粗心大意的小盆友可能直接点了，它万一是下载什么东西自动执行那你直接玩完，不过这个还好，被浏览器拦了

但是有些浏览器不会，比如火狐，直接跳到了QQ邮箱登陆界面

它的域名与真实邮箱域名很相似，一般人很难注意到，而且这是手机版登陆界面，手机中的浏览器一般不会显示url地址，这就大大增加了钓鱼成功率，警觉的人应该很容易就能看穿，不过总有些小可爱会以为是自己账号登陆过期了，然后毫不犹豫的再输入自己QQ账号和密码

我顺便查了下这个url的微步情报，不出所料，结果为安全，毕竟刚出来没多久

那咱不能惯着他，我反手就是一个举报

2、确认钓鱼，赶紧发出预警

既然确定了是钓鱼我就赶紧一个个添加抄送的QQ，并附上一句刚才有个钓鱼邮件【千万别点】，这是个人邮箱，抄送都不认识。如果是企业邮箱，当然是立即上报，并在内部群或OA里发布全体通告

别问为什么都是女的，问就是女士优先。加她们的时候我注意到都有一个特点，就是地址都在山东，有一个还跟我是一个地方的

而且还有一个相同之处，我们都有好几个共同好友
还有就是都会自动分到这个组里，我们都知道如果被添加人跟你有共同好友，那添加的时候就会自动分到一个组里

而我这个组里都是以前的同学，聪明的人已经想到了，这一定是某位同学的QQ被盗了，然后黑客通过好友关系锁定我们的QQ邮箱开始扩散钓鱼邮件，如果有人上钩，又会通过他的QQ再次扩散，以此类推，所以要想追查到最先被盗的QQ是很难的，除非这个钓鱼刚开始，还没有几轮

3、溯源反制，找出幕后黑手

从发件人邮箱入手

找黑手就需要社工的手段了，我们先从这个所谓孙老师的邮箱开始，这极有可能也是个受害者，大家看看就好别攻击

基本信息就这些，空间也限制了访问

用tg查到了手机号

通过手机号又查到了他的微信

还有他的支付宝信息，应该住在泰安，但是这个已实名就搞的我很怀疑人生，从微信和QQ看他怎么也是个男的，到支付宝这怎就变成女的了？难道是两性人？这个问题留给你们

点击转账猜到他应该叫什么爱梅

百度搜关键词会出来很多名字，支付宝每个账号每天可以试十次，用两三个账号应该很快会出结果，无聊的话可以试试，我感觉这个线索没啥用，所以就到此为止吧

从钓鱼链接入手

这个链接是注册的短域名，主要做跳转和防拦截，没有啥溯源价值

直接查跳转后的域名，刚刚注册了14天

通过注册人反查，发现共注册了7个链接，不过其他几个都打不开

目录扫描无果，也没有子域名，只扫描出三个端口，url大小写判断是Linux系统，然后用root用户爆破一下

爆破间隙看了下这个网站，Apache Tomcat/7.0.75版本

使用goby也没有扫出漏洞

正想手工测试的时候

​

网站打不开了

再扫一下，web服务已被关闭

再看爆破成果，爆破出了3389端口，难道那边检测到爆破成功就停止服务了？看来远程桌面能连啊，他们害怕了，嗯一定是这样的

你体会过心情从起飞到坠毁是什么感觉么？呵呵，我体会到了，这是为什么啊！！！

使用CVE-2019-0708检测工具显示有NLA验证，我吐了，链接已经没心情放了，想用的自己百度去，或者来求我呀

哎！气是前天生的，文章是今天写的，所以你猜怎么着，我已经不生气了

所以链接就放这了：https://free.360totalsecurity.com/CVE-2019-0708/detector\_release.zip

​由于本人太菜了，这次溯源就到此为止吧，请原谅我

4、疑问及总结

爆破3306端口时一直提示这个，是站库分离的意思么

还有个问题，这又不是window系统，怎么会有NLA验证呢？还请大佬解答

总结：如何规避钓鱼邮件带来的风险

1.尽量避免直接点击邮件中的网络连接

2.回复邮件时，如果回复的地址与发信人不同，要谨慎对待

3.对于要求提供任何关于自己隐私（如：账号名、口令、银行账号等）的邮件，要谨慎对待

4.不要使用很简单的口令，如全零，生日等

5.尽量不要使用同一个口令，不同的账号，使用不同的口令

欢迎关注公众号，原创不易，转载请注明来源哦