这个帐户更改 PDF 电子邮件(可能来自 Paypal)是一个漏洞吗?

信息安全 网络钓鱼
2021-09-07 11:44:20

我最近收到了以下(相当明显的)网络钓鱼电子邮件:

在此处输入图像描述

我不是 PayPal 用户,所以这对我来说特别不令人担忧。但是,当以纯文本查看时,很明显每个单词的每个显示字母之间都有隐藏字符,如下所示:

------------------------------ -------------------- ---------- ---------- 声明您的帐户已于 2017 年 12 月 22 日星期五下午 12:30:14 成功更新

赫格勒莫,

YmocuTr aMcacdoduvnbt cfhoannlgze1s sHuzcocXeysVsmfEudlIlKy cwh9a2nOgVead。

Tfhfe Dhept2aani2lgs ozf thhte cthzaanagje3s abr9e aztbteavcshsegd dlorwcnilfo6ald ayn0d rgeuaid tchge altjtfascmhjepd yzobu w3inlwl foianfd m5edsds0ahgje iqn a2dtoebee rgefaedaenr(kpydkfv)afwohr1mramtn。

TuhsaunxkWs fjorr jXori1neienRg t6hKe mkimlAlci4oKn6s off pkeiospslLe w8h8o rieGlDy oSn tho mpatkEe s4e2csu3rie fFiqnNaXnsccikaEl thrtaEnOsia2cFt6iWocn2s a7rUoPuTned tLh1e wIoxr5

SIiTnocAefrSeVlWyd,W

PVacy6Pka1l1bidttS0u4pjp0oErCtE.k

HbeUlrp r|xddl8vSme5cKu6rQi8tcyoslnnfCte8nrtDrDe

PcavyqPzaDlkix8tt(yEGuIrRodp9eP) S.à ri.jlH.IeSt C3i2ee, Sb.rC8.EAp.M SyobcHiété eOn CqoGmImwaBnmdhiYtfe plaAr AacNtkiIonXs。RoeSgPirsNtpe6rreWd oefGfJi1cteD:212w-t2P4 BloJuJl5ejvBaYrmd R6oGykahl,Ls-c2S4r4r9 Lzulx1etmbb7u9rkg1。RKCHS LmuFxweCmUbyuLrmg BE 161t8 3V419a。

这是为了什么?有人见过这个吗?

更新- 这里是 From + Subject 标题

发件人:service@intl.paypal.com。

发送:2017 年 12 月 24 日星期日晚上 9:39

主题:案例 ID 号 PP-M-LL0PUG4V:声明您的帐户已于 2017 年 12 月 22 日星期五下午 12:30:14 成功更新

4个回答

这只是普通的恶意软件垃圾邮件。

此消息的邪恶部分可能是它提到的附加 PDF。它可能包含针对一个或多个 PDF 阅读器中的漏洞的利用,如果使用易受攻击的程序打开,则会造成不良后果。所以不要打开附件。

电子邮件源代码中乱码文本的原因可能会混淆垃圾邮件过滤器,因此他们不会过滤它。

这是某种过度设计的恶意软件垃圾邮件,由于乱码文本而逃脱了典型的电子邮件客户端(例如 Outlook 客户端)简单的垃圾邮件过滤器。但是,对于维护良好的垃圾邮件扫描引擎,它是无用的,它能够处理 HTML 垃圾邮件,寻找可疑/混淆的 javascript 代码。

(更新)正如一些人提到的,电子邮件客户端不会执行 javascript 来进行去混淆。一个简单的谷歌“混淆垃圾邮件”你会得到一些类似的例子由于 OP 没有向我们显示实际的电子邮件标头,我只能假设内容已被反混淆并使用 javascript 重写。

我只是发现可以使用CSS 样式表来鬼混,但你仍然需要 javascript 。所有这些混淆-去混淆机制都会暴露垃圾邮件,以帮助构建某种垃圾邮件检测。

胡言乱语旨在混淆病毒和/或垃圾邮件过滤器。如果过滤器读取实际(乱码)文本,它将无法识别触发词或模式,因为我假设乱码字母是随机生成的,并且对于每条消息都是不同的。一些垃圾邮件过滤器(例如来自 gmail 的过滤器)依赖于识别垃圾邮件,因为它们也与发送给其他用户的邮件相同。

根据过滤器的质量,这种混淆可能有效,也可能无效。但垃圾邮件的原则是它不必对每个人都有效,只对足够多的目标有效。所以只要绕过一些过滤器,就值得使用。

我的猜测是邮件的文本版本是显示的,然后是 HTML 版本,它可以包含额外的混淆(例如隐藏的带有不必要文本的跨度,例如H<span style="visiblity:hidden">bz<span style="visiblity:hidden">ZornWasHere</span>w</span>ello),再次,以避免垃圾邮件过滤器。

如果您将电子邮件客户端设置为显示电子邮件的纯文本,那么您粘贴的内容可能会显示为电子邮件的内容。

是否附加了 PDF(或带有类似 PDF 图标的 EXE)的事实与垃圾邮件发送者避免检测的方式无关。

其它你可能感兴趣的问题
上一篇Java 的 hashCode() 有多安全? 下一篇回复从政府域发送的网络钓鱼电子邮件的最佳方式是什么?