2013年5月22日星期三

又一封有针对性的攻击邮件

收到一封邮件,被GOOGLE提示:
上面邮件中的查看和下载两个按钮不可点击,是因为GOOGLE帮用户挡住了,让用户免于上当受骗。查看邮件源代码发现:
--b1_9dcebdebd2073a764d2cdaa514815552
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit
To view the message, please use an HTML compatible email viewer!
--b1_9dcebdebd2073a764d2cdaa514815552
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 8bit
<p>
<b>20130604公告.doc</b><br />
12K&nbsp;&nbsp;&nbsp;<a href="http://login.yahoo.com.mailpseonfz.com:8080/mailurl/gmail/[email protected]&userid=54&mid=674">查看</a>&nbsp;&nbsp;&nbsp;<a href="http://login.yahoo.com.mailpseonfz.com:8080/mailurl/gmail/[email protected]&userid=54&mid=674">下载</a></p>
--b1_9dcebdebd2073a764d2cdaa514815552--
原来攻击就是想骗我去点击 login.yahoo.com.mailpseonfz.com:8080 这个网站上的链接,然后可能在网页中放攻击代码,或是提供一个假冒邮箱登录的界面来骗取用户密码。这种办法简单,但对我这个有经验的人就没有效果。仍然不可掉以轻心,网页中仍然有机会放攻击码,以前有java漏洞,对所有平台的浏览器都有效呢。
我查这个网站的IP,是 59.188.16.179,


是香港IP

通常能做的是向IP所在的管理员发投诉信,要是有DDOS工具,就可以让这个网站下载,避免更多人受害。

邮件原代码上传到 http://file.zuo.la/virusmail/2013MAY/mail.txt 供有兴趣研究攻击来源的人士研究。

我相信这邮件仍然是“国家资助的攻击邮件”,因为标题就用了64的日期。

没有评论:

发表评论

周曙光的网络日志