高校钓鱼的攻与防

大家好我是任意(ArBitrarily)，从实验室实习结束后也一直在研究安全防御。现在是在学校的168号安全团队，负责安全防御研究。今天写的文章是近期针对我们学校的钓鱼攻击事件。

168号安全团队和校信息处共同完成溯源，也希望给各位高校的同学做一个钓鱼邮件的警示

168号安全团队官网：usafe.club B站公众号：UID：435624941

安全分析：

我今天下午收到了一封奇怪的信息，点开一看好家伙我什么时候是21届了？

本来没在意，结果问了一下工作室和院里的群，发现这好像是针对我们学校大规模的钓鱼

发现我们工作室的几个队员好像都收到了

好家伙，这就感觉有点问题了，已经有学校的小伙伴上当了

朋友圈这几天也是一片凄惨，不少被骗的

问了辅导员之后，确定这就是个钓鱼邮件

辅导员立马进行了一波应急响应，提醒大家不要上当（点赞）

点击访问域名后，我们访问的是另一个ip：194.49.113.227（这里就怀疑其实这个域名是个短域名，后续会进行证明）

使用ip的好处就是，第一不用申请域名进行备案，第二就是会少暴露很多信息，给后续渗透的信息搜集造成难度

先进行分析，然后简单渗透一波

先分析一下他的ip，发现暂时没找到什么有用的whois信息，但是能确定的是他的ip是国外的。

尝试分析他的域名，查看文章

发现域名是一个提供短连接网站

排除通过域名进行分析这个方向，这个钓鱼链接是通过这个网站进行了一次短链接生成

分析url后提示为诈骗类网站

在微步上分析这个未知ip，发现是真正的qq邮箱

这个钓鱼团伙的攻击路线图是：想办法获取大量学生的qq账户-->制作假的qq邮件-->引导学生输入账户和密码-->学生输入密码后，钓鱼网站自动跳转到真正的mail登录界面-->钓鱼服务器194.49.113.227保存学生的账户和信息到服务器上（暂时无法确定是否有第三台服务器用来接收数据）

我很好奇这个是怎么跳转的，看一下他的network信息：

抓包截断，一步步的放包，然后看他的network链接过程

这里我就明白了，index.php是负责接收数据，然后test.php是负责进行页面跳转

验证猜想：

这个域名经过查询是微信公众号的域名

请求的url是一个json文件，发现了一个ip9.146.224.162

这个网站是应该是腾讯网的登录地址

这个9.146.224.162是美国北卡罗来纳州达勒姆的一个ip，但是暂时无法判断其是否是和钓鱼网站相关，或者是否是钓鱼网站用来接收数据的服务器