知识星球切换账号(垂钓星球怎么切换账号)快来看

2023-09-17Aix XinLe

钓鱼域名多为境外注册托管，文末附部分钓鱼IP

攻击概述自春节期间起，全国多个地市连续发生通过群发短信方式，以手机银行失效或过期等为由，诱骗客户点击钓鱼网站链接而盗取资金的安全事件。

欺诈者发送虚假的信息，谎称受害人手机网银失效或过期，需要点击链接进行一系列的操作。当受害人打开链接时，会发现所呈现的网站和正常的银行网站相似，被要求输入银行卡号、银行密码、手机号等个人信息示。

当受害人在钓鱼网站中提供了信息后，欺诈者也会同时在官方网站进行操作。受害人还会被要求输入银行实时验证码等信息，一旦完成这些操作，卡里的钱也就被骗子转走了。

攻击溯源天际友盟的恶意网站监测系统发现，大批钓鱼网站是在2月9日后被注册，并陆续投入使用，钓鱼网站域名主要有两种形式：1.金融机构客服热线电话+任意1到3个字母，tld为 .net, .org或 .cc。

比如，96***为某省农信客服热线，则欺诈域名为：96***gh.net96***rv.net96***mq.net96***bj.net96***po.net2.金融机构网站相似域名，例如某省农信的官方网站为**nx.com（**为该省名称缩写），欺诈者注册相似域名如下：

**nxch.cn**nxae.cn**nxeq.cn**nxdl.cn**nxec.cn这些域名多为境外域名注册商注册并托管天际友盟在对钓鱼攻击者进行情报溯源反查时发现，有几个攻击者邮箱最早从2013年开始就活跃于各种钓鱼攻击。

根据对钓鱼攻击的深度分析和攻击后台的指纹扫描，天际友盟发现发现虽然是同一时期发生钓鱼攻击，但背后团伙并不一致在最初发现的钓鱼攻击中，攻击者使用IIS server + ASP搭建后台，域名服务商，网站托管商选择境外的公司；而后期发现的钓鱼攻击，在技术上使用apache + thinkphp搭建后台，域名注册和托管有境内也有境外。

通过对攻击后台的深入分析，我们还发现，这个钓鱼模板支持攻击者对攻击对象可以进行快速切换，同一个URL，在不同的时间可以对不同的品牌进行攻击这个操作在普通钓鱼攻击中并不常见，作案动机也存在一些疑点，疑似有特定恐吓目的的安全企业或人员所为，趁这一批钓鱼爆发浑水摸鱼。

天际友盟将继续跟进，深入调查

从对攻击后台的指纹扫描中，我们还发现，在受害人访问钓鱼网站并输入银行信息后，钓鱼网站后台会提示攻击者，攻击者会使用受害人信息在对应的银行网站同步进行操作来窃取资产。如下是攻击者可进行的操作：

通过对攻击者溯源，并使用天际友盟的alice平台进行情报关联分析，发现攻击者不仅在国内进行非法活动，在2019年，攻击者也曾在日本进行短信钓鱼攻击。

钓鱼关停由于攻击者使用最新注册的域名，钓鱼网站也部署在海外的云服务器上，并且大部分上线的时间只有1-2天，传播渠道使用手机短信，这给金融机构和安全企业的检测和处置带来了一定的难度天际友盟在对钓鱼攻击团伙进行分析调查的同时，也通过快速关停服务，协助被攻击的金融机构打击了很多钓鱼欺诈网站。

除了保护天际友盟的客户外，我们还收到一些金融机构的应急求助，这些机构当前的服务商关停能力和速度上有所欠缺，无法响应如此大批量的境外钓鱼攻击天际友盟也进行了紧急支援，迅速协助金融机构定位钓鱼网站的境外服务商，并成功对目标网站完成了快速关停。

仅在过去的两周内，天际友盟便为7个金融机构成功关停了数百例钓鱼攻击截止到目前，针对这一波集中爆发的钓鱼网站，天际友盟的平均关停时长是5小时41分49秒，中位数关停时长是1小时27分钟22秒，大大的降低了钓鱼攻击给银行带来的危害，保护了用户的金融安全。

附：部分钓鱼IP8[.]210[.]182[.]25045[.]204[.]12[.]8045[.]192[.]165[.]13245[.]192[.]165[.]233203[.]78[.]141[.]12

203[.]78[.]140[.]153159[.]138[.]39[.]4159[.]138[.]6[.]4441[.]216[.]177[.]30103[.]127[.]83[.]33209[.]74[.]107[.]10

119[.]8[.]237[.]2441[.]216[.]177[.]183103[.]100[.]140[.]3841[.]216[.]177[.]249129[.]226[.]103[.]153154[.]204[.]28[.]16

119[.]8[.]55[.]137159[.]138[.]45[.]111156[.]226[.]17[.]10245[.]114[.]10[.]159129[.]226[.]102[.]30103[.]115[.]40[.]12

103[.]206[.]123[.]2123[.]27[.]77[.]21041[.]216[.]177[.]17641[.]216[.]177[.]11041[.]216[.]177[.]174103[.]59[.]103[.]63

41[.]216[.]177[.]14641[.]216[.]177[.]21241[.]216[.]177[.]20041[.]216[.]177[.]78154[.]223[.]154[.]108103[.]138[.]80[.]147

194[.]124[.]213[.]103194[.]124[.]213[.]210- End -RECOMMEND推荐阅读公益｜免费关停新冠疫情疫苗相关的钓鱼欺诈网站2020年度报告|天际友盟DBP数字品牌保护服务2020年度服务报告

56m05s关停钓鱼网站，DBP再次赢得客户认可天际友盟联手知识星球，打击知识盗版，保护创作生态「快讯」DBP数字品牌保护服务已正式上架华为云市场「DBP资讯·01」eSentire 2019年度威胁情报报告·钓鱼风险摘要

「DBP资讯·02」全球网络罪犯的COVID-19机遇：骗局、欺诈与虚假信息「DBP资讯·03」Zoom事件：APP如何做好SDK合规？「DBP资讯·04」域名领域中的品牌保护「DBP资讯·05」12种常用网络钓鱼手法，你知道多少？

「DBP资讯·06」Gartner九大安全与风险趋势（2020版）「DBP资讯·07」在线数字品牌保护完全指南「DBP资讯·08」网络钓鱼者正在努力工作：来自CERT-GIB的报告「DBP资讯·09」商标、LOGO、品牌的区别

关于天际友盟DBP从品牌战略到数字营销，从企业服务到移动电商，用户正在通过越来越多的触达点与企业品牌进行互动现代企业正在逐步建立跨职能的信任与安全团队，以洞察整体互动过程，保障用户与企业品牌每一步互动的基本安全。

Digital Brand Protection, 数字品牌保护服务，是指通过持续自动监测互联网存量数据和流量数据，及时发现存在的钓鱼欺诈、非法使用品牌标识及其他侵犯知识产权的行为，并通过高效的处置下线措施，实现对网络欺诈和品牌滥用的有效打击，协助企业保护数字时代的品牌价值。

数字品牌保护服务场景一览

网站钓鱼欺诈：攻击者仿冒企业真实网站的URL 地址以及页面内容，试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息APP钓鱼欺诈：攻击者开发仿冒的企业APP，试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息。

社交媒体钓鱼欺诈：社交媒体钓鱼这种手法又被成为灯笼式钓鱼，攻击者通过在社交媒体平台上仿冒企业账号，或假冒企业高管个人，试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息，并进行欺诈电子邮件欺诈。

：商业邮件欺诈，始终是全球恶意欺诈手法中的一大主流欺诈者通过注册与客户主体接近的域名，并发送相关邮件，利用社会工程学技巧，进行仿冒和欺诈活动与纯粹的电子邮件欺骗(Email Spoofing，伪造电子邮件头，散播钓鱼网址链接或恶意附件)不同，这类邮件欺诈往往更加隐蔽，目标对方一般是公司管理层或财务等核心部门人员，其欺诈目标和意图也更高，给企业带来的危害更大。

品牌侵权：与直接的钓鱼欺诈不同，攻击者通过未授权的网站、APP、社交媒体平台，滥用品牌Logo、商标，误导性地暗示与品牌之间的关联；或利用品牌知名度，注册与品牌相似的域名进行不正当竞争，以达到其恶意的目的。

数据泄露：企业用户信息泄露、市场战略、技术发明等核心内部资料遭到非法窃取，并公开在网站、文库、网盘、社交媒体等平台传播，不仅直接导致企业利益受损，也会给供应链环节的第三方企业造成不良影响，甚至导致供应链合作关系的破裂。

代码泄露：企业的系统源码里，往往会包含企业系统的配置文件甚至密码等敏感信息，如果泄露到第三方开放平台，攻击者可以进一步深入分析的代码逻辑漏洞，公司网站被攻击和入侵的风险大大增加威胁误报：杀毒软件等厂商为了确保“绝对”安全，有时会拦截所有敏感操作，加之机器学习等技术手段不够成熟，如果提取到"混淆"特征，对客户网站、软件、手机APP文件存在一定程度的误判，会引发病毒误报等错误告警，令客户应用无法上线，损害品牌形象和商业收益。

更多详情：https://www.tj-un.com/brandProtection.html