1.背景
恒安嘉新水滴安全实验室近期监控到多起钓鱼欺诈邮件,该类型邮件谎称已经获取到被欺诈人的电脑权限,得到了被欺诈人访问黄赌毒网站的一些记录以及被欺诈人的音视频等资料,要求向指定比特币地址转入赎金,否则就向被欺诈人的亲朋好友公开相关隐私资料。
目前捕获到针对该类型的钓鱼欺诈邮件样本共计17万个,以下为具体分析。
2.钓鱼欺诈邮件分析
2.1 比特币钱包分析
对邮件正文中的比特币钱包地址进行提取后分析,涉及到48202个比特币钱包地址,其中使用最频繁的比特币钱包地址为:1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY,使用了458次,该地址总共接收到3.62个比特币,且目前均已被黑客转出,比特币钱包地址使用频次及对应接受到的比特币数量TOP10如下:
比特币钱包地址 | 次数 | 接收到BTC数目 |
| 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY | 458 | 3.62 |
| 145SmyE7DBEQExsnXZobojbQqr5UdgbCHh | 426 | 10.43 |
| 1AVSEj7UKjadhWCjcPcC1mbS5VVv89Hvgb | 381 | 0.94 |
| 1EiJMyvw2NP6T6vyWQ81HgUfBUVT1mqZkM | 376 | 0.78 |
| 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj | 339 | 5.10 |
| 1ELzee2T9Wd5YPTYhWbWD3xK7xB5tJ94J4 | 335 | 2.02 |
| 18z5c6TjLUosqPTEnm6q7Q2EVNgbCy16Td | 333 | 1.83 |
| 1EJcaYXy5AHuqPDSSSZ8rWiPXD5vsyfoAS | 332 | 3.50 |
| 1DG8pnwK9vdevHjB1nfDQRUmyYVJyPQNf9 | 331 | 3.02 |
| 1NXNt72qfMhPZDffUEqryCYpEUzyR6LmgH | 329 | 1.93 |
2.2 欺诈邮箱分析
共收集到欺诈邮箱51078个,使用的邮件服务器主要为以下几个厂商:
邮件服务器 | 邮箱数量 |
outlook.com | 30776 |
hotmail.com | 1897 |
yahoo.jp | 1166 |
gmail.com | 540 |
acjeducation.com | 231 |
protonmail.com | 220 |
ortangora.com | 209 |
yahoo.com | 185 |
svieducation.net | 174 |
nirakobca.com | 174 |
以下为黑客使用的欺诈邮箱top10:
欺诈邮箱 | 次数 |
mith@yahoo.jp | 933 |
contact@sqldb.to | 87 |
lifeng@01aiche.com | 81 |
support@mydatabase.to | 81 |
help@sqldb.to | 68 |
info@ednawest.com | 68 |
muhstik@protonmail.com | 65 |
olesya.pavlova@thcp.eu | 65 |
mateusz@usernet.org | 63 |
admin@hello-database.xyz | 46 |
2.3 中文邮件分析中文邮件40366条,涉及的欺诈手段主要是谎称有机器权限并且获取到了被欺诈人访问成人网站的音视频资料,不交赎金的话就直接将资料发送给亲朋好友,来达到欺诈钓鱼的目的。对于中文的这部分邮件正文,有很明显的翻译痕迹,基本都是黑客通过固定话术模板批量生成。
2.4 钓鱼欺诈邮件检测
通过恒安嘉新钓鱼邮件检测系统对该类型的17万封邮件正文进行分析检测,识别率在99%以上,涉及语言十几种,主要以中文、英文、日文、法文、德文邮件为主,以下为主要语种的识别情况:
邮件语言 | 欺诈邮件/总邮件 | 识别率 |
中文 | 40311/40366 | 0.9986374672 |
英文 | 64661/64701 | 0.9993817715 |
日文 | 3452/3480 | 0.991954023 |
法文 | 7312/7345 | 0.9955071477 |
德文 | 8145/8227 | 0.9900328188 |
3. 防范建议
1. 收到此类型的钓鱼欺诈邮件后不必惊慌,如果邮件中未出现实质性的证据,直接删除邮件或者联系网络安全专员进行妥善处理;
2. 平常养成良好的上网习惯,谨慎处理来历不明的链接和文件,遇到无法自行识别的情况,请联系网络安全专员进行妥善处理。
