相信不少人都有收到過釣魚郵件的經歷。然而，隨著反垃圾郵件技術的更進，大多數這類郵件都會被系統自動屏蔽，而無法發送到用戶郵箱。但是，大多數并不代表全部。下面的這個例子就是個很好的說明。

這封郵件的主題是用巴西葡萄牙語寫的，主要內容是針對Santander銀行“溢價”賬戶持有人的警告。不難看出，這是一封典型的釣魚郵件。

附件誘騙釣魚

對于普通用戶而言，多數收到這類郵件的人，都只會通過簡單的發件人信息來判斷郵件的可信度，或者直接將其拖放到垃圾箱。但是對于安全分析師而言，我們希望深入了解附件包含的內容和消息的真正來源。

通過查看HTML源碼，我們可以看到一個非常簡單的圖片鏈接：

　　打開該圖片鏈接，是一個類似于Santander銀行的頁面。如下：

可以看到，該頁面的內容依舊是用巴西葡萄牙語寫的，并且頁面上所有的聯系電話，都為Santander銀行的真實電話，整個頁面的布局也完全與銀行的溝通界面類似。需要注意的是，巴西銀行從來不會通過電子郵件的方式，向客戶發送任何安全警告。

頁面的內容是在警告用戶，他們的計算機上的安全模塊已過期，如果不及時更新到最新版本，銀行將向他們發出246.67BRL的罰單（約$80.00）。

釣魚郵件來自何處？

一般情況下，攻擊者很少會使用自己的服務器來發送釣魚郵件。他們通常會利用手中的“肉雞”，來替自己發送。

攻擊者入侵或拿下一臺服務器，往往都有其目的性。例如竊取機密數據，實施網絡釣魚，黑帽SEO等。當攻擊者成功入侵并拿下服務器后，他們做的第一件事就是，創建一種方法來保持對該站點的持久控，制即便漏洞被修復。攻擊者通常會在網站安裝后門程序，根據我們2015年第三季度的“黑客入侵網站趨勢報告”顯示，72％遭到入侵的網站，都被安裝了至少一個的基于PHP后門，攻擊者通常都會安裝多個后門，來保證自己的訪問權。

一旦后門被成功安裝，攻擊者將會進一步的對目標站點進行滲透，以保證利益的最大化。

郵件頭分析

我們可以通過對郵件頭的分析，得到一些有價值的信息。

例如：

X-PHP-Originating-Script - 郵件發送所使用的腳本語言

Message-ID - 顯示托管腳本的網站

X-Mailer - 郵件發送所使用的程序及版本

大伙可能注意到了，以上并沒有出現X-HEADER的內容。這是因為X-HEADER，并非一個有效郵件事務所必須的。這些類型的頭，都是由程序添加用以跟蹤和調試目的的。

從以上頭信息中我們可以得知，原始消息發送自add-from-server.php這個腳本，并且使用的是PHPMailer [1.73版本]。PHPMailer 1.73是一個非常老的PHPMailer版本，并且存在遠程代碼執行漏洞。

從Message-ID中我們可以找到釣魚郵件的來源網站（上圖馬賽克），下面我將嘗試使用SiteCheck對該站點進行掃描檢測。

掃描原始站點

從掃描結果中我們驚訝的發現，該站點感染了垃圾SEO（黑帽SEO）：

并且…根據SiteCheck顯示的網站詳細信息標簽，我們可以看出該站點所使用的程序版本已經過時，并且存在安全漏洞。

我們不能確定，在網站上做垃圾SEO和發送釣魚郵件的是否為同一攻擊者，因為在此之前釣魚攻擊者對于發送垃圾SEO郵件的事并不知情。其實這也并不奇怪，一個網站同時遭受多個攻擊者攻擊的例子，在之前的文章我早有提及。

如何避免成為受害者？

現在讓我們把目光轉到之前發現的那個，用于發送消息的add-from-server.php文件上。該文件屬于add-from-server插件下的一個文件，并且該插件存在CSRF漏洞。攻擊者可以通過向管理員發送惡意構造的鏈接誘騙管理員點擊，從而觸發該漏洞將后門上傳至目標站點。

網站所有者或其他管理員，都可能是被攻擊的對象。下面是我的一些安全建議：

不要輕易相信您收到的電子郵件，特別是附件。

停用瀏覽器中的Javascript。

不要使用辦公電腦，瀏覽有風險的網站。

使用信譽良好的殺毒軟件。

設置足夠安全和強大的密碼。

對賬戶盡可能的啟用雙因素認證。

*參考來源 ：sucuri，FB小編 secist 編譯，轉載請注明來自FreeBuf（FreeBuf.COM）