釣魚信在企業一直都是最常遇到的風險之一
這部影片也很好的說明了釣魚信內的信件內容架構
影片:https://www.youtube.com/watch?v=I9SDnshT3pk
樣本:https://urlscan.io/result/da7dd4f0-6109-413f-80ea-2faf5aa02c76/
原始信件我沒有,不過內容不外乎就是透過合約簽屬等等的內容吸引對方點進去釣魚網站,映入眼簾的會是一個煞有其事的驗證畫面
當使用者輸入玩自己的密碼,駭客將登入資訊騙到手後,就會隨機跳到一個頁面敷衍
比較特別是這次的樣本是透過 google firebase 的網域作為釣魚網站,一般企業應該設備無法對其域名進行阻止
首先來看釣魚網站吧
從主要的 request 看
https://urlscan.io/responses/8b8b717e06022801220cc521bc0d1bd45e5ba187f7caad57952e8fc7138f5131/
第一個看起來是正常預設的 jq
第二個js就很奇怪了
可以看到他有一個 encodedStringAtoB 的變數
直接將這個變數做 base64 decode 會得到以下連結的內容
https://urlscan.io/responses/737fdc147db500731bc9ec95bf2f2ed44894915d3e344a9b6c4d52f182ab682e/
這個應該就是釣魚網站本身的 html code
在最下面有一個 <!-- Coded by + for Education purpose only --> 可以看出應該是某個地方的 exmaple code 去改的,至於是哪一個 example code 我就沒追了
然後再往上看一點
可以看到他將使用者輸入的 email 和密碼送到 gocatgo.net 這個網站,這應該就是駭客的 c2 了
