这是一个创建于 1896 天前的主题,其中的信息可能已经有所发展或是发生改变。
我今天收到了四封,看起来都是钓鱼,接受邮件的邮箱在 leancloud 国际版有一个账户并且有一个不使用的应用,但是钓鱼邮件内的应用名称完全不对。
最搞笑的是 leancloud 根本没有提供重置"应用密码"这种操作,"应用"本身根本就没有密码!
正文的上下文也完全对不上,前面请求的是重设应用密码,后面给的链接是重置账号密码。
假的
部分 eml 细节:
Received: from ucmaild009.sendcloud.org (unknown [106.75.2.252])
...
Received:from uluru-consumer-86685cd4b8-n7ssp (Unknown [127.0.0.1]) by SendCloud Inbound Server with ESMTPA id 9D86A043-3268-4F69-8535-3EA6EBB5464D.1 envelope-from <[email protected]> (authenticated bits=0); Sat, 14 Sep 2019 20:39:15 +0800
Date:Sat, 14 Sep 2019 20:39:15 +0800 (CST)
From:isme <[email protected]>
...
REPLY-TO:isme <[email protected]>
...
List-Unsubscribe:<http://sctrack.sc.gg/track/unsubscribe.do?p=eyJ1c2VyX2lkIjogNjMwLCAidGFza19pZCI6ICIiLCAiZW1haWxfaWQiOiAiMTU2ODQ2NDc1NTc0NV82MzBfMjA4OTZfNTM0NS5zYy0xMF85XzQwXzE2NC1pbmJvdW5kMCRzYWx0eWxlb0B0c3Rycy5tZSIsICJzaWduIjogImQ1NTQxOGU1NzFlZTM3YzhjZDlkNzM1ZjU2MmUyMjQwIiwgImxhYmVsIjogMCwgInJlY2VpdmVyIjogInNhbHR5bGVvQHRzdHJzLm1lIiwgImNhdGVnb3J5X2lkIjogODQ0MTl9>,<mailto:0_84419_1568464755745_630_20896_5345.sc-10_9_40_164-inbound0@apps.leancloud.cn>
...
<br/><br/><div style=3D"width:1px;height:0px;overflow:hidden"><img style=3D=
"width:0;height:0" alt=3D"" src=3D"http://sctrack.sc.gg/track/open/eyJtYWls=
bGlzdF9pZCI6IDAsICJ0YXNrX2lkIjogIiIsICJlbWFpbF9pZCI6ICIxNTY4NDY0NzU1NzQ1XzY=
zMF8yMDg5Nl81MzQ1LnNjLTEwXzlfNDBfMTY0LWluYm91bmQwJHNhbHR5bGVvQHRzdHJzLm1lIi=
wgInNpZ24iOiAiOTI0N2ZmMTBmN2MxZGU1ZTQ5MmQ4NTI4ZDk3YTQ3ZTgiLCAidXNlcl9oZWFkZ=
XJzIjoge30sICJsYWJlbCI6IDAsICJ1c2VyX2lkIjogNjMwLCAiY2F0ZWdvcnlfaWQiOiA4NDQx=
OX0=3D.gif"/></div>
邮件正文:
上面 leancloud 的重置密码链接是可以打开的,并且看起来完全就是真的一样,但是密码可以是任何组合,包括 111 都行(我填 111 并且提示重置成功了),这很明显不是正常的重置密码链接。
有兴趣的可以检测下这个链接:https://leancloud.cn/dashboard/reset.html?token=wQerxnG2tMRBX2W5W8eusRYaQkVC634m
真的
然后我作死真的重置一次密码,发来的邮件 eml 信息和钓鱼邮件的基本一致,部分 eml 细节:
Received: from ucmaild003.sendcloud.org (unknown [106.75.2.41])
...
Received:from uluru-api-7b7c5fb6f6-2lww2 (Unknown [127.0.0.1]) by SendCloud Inbound Server with ESMTPA id D61AD613-184D-47A0-AF39-D7CCC4E5CD32.1 envelope-from <[email protected]> (authenticated bits=0); Sat, 14 Sep 2019 21:37:21 +0800
Date:Sat, 14 Sep 2019 13:37:21 +0000 (UTC)
From:LeanCloud Team <[email protected]>
...
REPLY-TO:LeanCloud Team <[email protected]>
...
List-Unsubscribe:<http://sctrack.sc.gg/track/unsubscribe.do?p=eyJ1c2VyX2lkIjogNjMwLCAidGFza19pZCI6ICIiLCAiZW1haWxfaWQiOiAiMTU2ODQ2ODI0MTk4NF82MzBfMTY3MV8zNTIyLnNjLTEwXzlfMV83NS1pbmJvdW5kMCRzYWx0eWxlb0B0c3Rycy5tZSIsICJzaWduIjogImJiNGE3OWIyZmU1YWNlODU0MTE1YTk5YTIwY2I4MTE3IiwgImxhYmVsIjogMCwgInJlY2VpdmVyIjogInNhbHR5bGVvQHRzdHJzLm1lIiwgImNhdGVnb3J5X2lkIjogODQ0MTZ9>,<mailto:0_84416_1568468241984_630_1671_3522.sc-10_9_1_75-inbound0@hello.leancloud.cn>
邮件正文:
这才是真的重置邮件,和假的一眼就能分辨出来。瞎猜一波只是使用 Swaks 伪造了发件人等信息伪造邮件来钓鱼,最坏的情况就是 apps.leancloud.cn 这个三级域名被黑产控制了。
我就很好奇这种邮件到底有什么用,我在邮件内容本身上没有发现任何病毒或木马载荷,重置密码链接是 leancloud 的,并且全程 https 域名看起来都是正常的,应该动不了手脚吧?那个 gif 外链最多最多只能获取我的 ip 和浏览器版本以及系统信息?更加详细的例如 cookie 应该拿不到吧?
最后想问下这种黑产到底怎么恰饭?
Select Language