在过去的几年中,使用IP电话进行了集中式攻击,这是一个新的回合,但是已经使用了电子邮件。 让我们分析有关此攻击的可用电子数据。
更新了有关02/01/2019的信息。
问题:
2017年:“通过使用IP电话的攻击者可以替代任何数量的呼叫者,包括来自世界任何地方的实际未连接订户的数量,确保了呼叫的匿名性。 IP电话的此功能使安全部队的工作复杂化。 将IP电话语音网关连接到电信运营商的网络通常是非法的,用呼叫者的号码,IP地址和其他标识符代替”2019年:根据主管部门的新闻服务以及来自不同地区和城市的医疗机构和学校的工作人员提供的消息,他们收到了带有威胁并要求通过电子邮件采取某些措施的消息。
执法机构与执行机构一起开始按照其权限行事,这意味着检查每个消息。
在信件正文中列出的机构中,紧急事件开始发生。
关于所收到威胁的任何事实都没有得到证实;各机构的工作已全面恢复。资料分析:所有电子邮件都是使用免费邮件服务mailfence dot com发送的,并将其自身定位为“安全且机密的电子邮件服务”。
当前,俄罗斯联邦的某些提供商对该服务的访问受到限制。
我们将尝试登录该服务并注册。 我们拒绝了:
使用VPN插件,您可以进一步进行注册:
但是,在这里,我们正在等待从可能的电子邮件地址中进行选择。
因此,有一种怀疑是,该攻击中使用的电子邮件地址是很早以前在此系统中创建的,因此可以更早地选择其他域名。 这意味着攻击不是自发的,并且地址是由某个池更早地创建的。
为什么我们需要在此服务中创建邮箱?
注册时,您需要指定您的工作电子邮件地址,他们将向其发送链接以确认在服务中的注册。
接下来,我们检查
在此服务中如何进行
密码重置过程。
输入您的用户名和/或您的电子邮件地址:
输入用户名或电子邮件(在测试用例中,我们有mail.ru)并获得:
要重置密码,已将电子邮件发送至:
sin***@***mail.ru
这样,我们可以识别用户名的前三个字符和第二级邮件域的后5个字符。 (感谢
michaelkl的
评论! )
此外,在请求重设密码时,您可以指定用户名或电子邮件。
并且根据发送的电子邮件中的地址,当您请求重设密码时,您只能指定电子邮件。
putin.fsb2@mailfence.com
要重置密码,已将电子邮件发送至:
kul***@***utoo.email
just.bro@mailfence.com
要重置密码,已将电子邮件发送至:
bbl***@***imail.com
唯一的线索通向gmail.com:
kor.bol@mailfence.com
重置密码,一封电子邮件已发送至:
vov***@***gmail.com
您可以在这里搜索完整的地址,但是需要很长时间:
顺便说一句,正是由于该地址与gmail.com有联系,该地址才从整个列表中剔除。
同一地点的另一个地址:
kiano.lok@mailfence.com
要重置密码,已将电子邮件发送至:
放***@***gmail.com
有人怀疑这是一个模仿者,作为一种选择,它也促成了邮件浪潮,但出于自私的目的,目的是在混乱的事件中犯下邪恶的意图(盗窃,周围没人时删除数据等)。
此外,如果地址中的某处有数字,则可以对其进行一些更改或删除,我们还可以检查以下地址:
putin.fsb@mailfence.com
要重置密码,已将电子邮件发送至:
poc***@***cloud.info
putin.fsb1@mailfence.com
o重设密码,一封电子邮件已发送至:
joo***@***email.com
putin.fsb3@mailfence.com
要重置密码,已将电子邮件发送至:
芽***@***email.com
putin.fsb4@mailfence.com
要重置密码,已将电子邮件发送至:
bep***@***itnow.com
因此,我们仍然可以期望收到来自这些电子邮件地址的信件。
但是,在这里,使用了temp-mail dot org服务向mailfence dot com注册
结果,八个电子邮件地址中使用了两种不同的邮件服务。
另外:新信件也来自免费的邮件服务器邮件点bg。
jekson.lo1@mailfence.com
o重设密码,一封电子邮件已发送至:
宠物***@***mail.bg
来自Mosigra的数据:
habr.com/cn/company/mosigra/blog/439036laki.kak@mailfence.com
要重置密码,已将电子邮件发送至:
ale***@***mail.uk
通过邮件列表判断如何选择受害者进行攻击,可以看出这些地址是从国家机构的网站复制的,或者是手动“驱入”的,因为这些数据是公开可用的。
电子邮件中的同时收件人范围(2-6-10)很小,因此邮件服务器不会限制分发,电子邮件也不会落入“垃圾邮件”文件夹。
服务标头摘录:收到:从wilbur.contactoffice.com(wilbur.contactoffice.com [212.3.242.68])
(不存在客户端证书)
返回路径:putin.fsb3@mailfence.com
mailfence.com的域指定212.3.242.68为允许的发件人,
规则= [ip4:212.3.242.64/26])smtp.mail=putin.fsb3@mailfence.com; dkim =通过
DKIM签名:v = 1; a = rsa-sha256; c =放松/简单; d = mailfence.com;
X优先级:3
回复:普京FSB <putin.fsb3@mailfence.com>
发件人:普京FSB <putin.fsb3@mailfence.com>
X-Mailer:ContactOffice Mail
X-ContactOffice帐户:com:188677102
收到:来自mxfront13g.mail.yandex.net([127.0.0.1])
由mxfront13g.mail.yandex.net与LMTP ID为a6sJli0I
为<info@mosigra.ru>; 2019年2月5日,星期二11:00:14 +0300
收到:从wilbur.contactoffice.com(wilbur.contactoffice.com [212.3.242.68])
通过mxfront13g.mail.yandex.net(nwsmtp / Yandex)使用ESMTPS ID jttuF4mQRo-0DAa1MBL;
2019年2月5日星期二11:00:13 +0300
(将TLSv1.2与密码ECDHE-RSA-AES128-GCM-SHA256(128/128位)配合使用)
(不存在客户端证书)
返回路径:laki.kak@mailfence.com
X-Yandex-Front:mxfront13g.mail.yandex.net
X-Yandex-TimeMark:1549353613
身份验证结果:mxfront13g.mail.yandex.net; spf = pass(mxfront13g.mail.yandex.net:mailfence.com的域指定212.3.242.68为允许的发件人,规则= [ip4:212.3.242.64/26])smtp.mail=laki.kak@mailfence.com; dkim =通过header.i=@mailfence.com
X-Yandex-Spam:2
X-Yandex-Fwd:MzM4MDAwNDcyNDYzOTM2Mzg1OSwyMTg3Njc1NDQ5ODIwMzIwNzMz
收到:从ichabod.co-bxl(ichabod.co-bxl [10.2.0.36])
由wilbur.contactoffice.com(Postfix)使用,ESMTP ID为16350329D;
2019年2月5日,星期二09:00:13 +0100(CET)
DKIM签名:v = 1; a = rsa-sha256; c =放松/简单; d = mailfence.com;
s = 20160819-nLV10XS2; t = 1549353613;
bh = gADFkQslj8dDCkx + Y9OhJNmeT7fosViIkpUDPPk1UO8 =;
h =日期:收件人:主题:回复收件人:发件人:发件人;
b = Th6eWs74xYE35Y5pouZD / 9vbA / oJZ6jyrtzWrMs3XilthYjL3DnwVm1SiysHGHr4J
6ROHYI / HMAnLOJfv + JsKC574UzsmjU1yhikwYLakMPTWKiqcR6knC4mXkfWFm / fXHU
LPod1MeMeNlD1rqEXnkr8wJk4GX / s6DzCUVxC5qzcv6ChEwa5DJOvIg0mxMxP9UfMr
LaPBQIGOiELGYfFOWi8XwGW1BDFfKXCgE0vxYYo8lqgXuXN720BHTv + CksccUdo44v
KyDZEQYqM7J3JhjL8GCiaWxfLBbEkLqYCHnRUEGyKbC2pqT23c2TaafXXW7g5raN63
WyVocjjQbTDpA ==
日期:2019年2月5日,星期二09:00:10 +0100(CET)
消息ID:<790975597.619629.1549353610731@ichabod.co-bxl>
MIME版本:1.0
内容类型:文本/纯文本; 字符集= utf-8
内容传输编码:base64
收件人:info @ torrogrill.ru,kapitoly_adm @ cosmik.ru,kashirskaya.enkatc @ enka.com,
6112158 @ re-reserved.ru,info @ mosigra.ru,info @ toy.ru,
filion @ minisolife.ru,6412027 @ re-reserved.ru,info @ modi.ru,
office@melonfashion.ru
主题:=?Utf-8?B?0L7RgtCy0LXRgiDQvdCwINC30LDQv9GA0L7RgQ ==?=
X优先级:3
回复至:laki kak <laki.kak@mailfence.com>
来自:laki kak <laki.kak@mailfence.com>
X-Mailer:ContactOffice Mail
X-ContactOffice帐户:com:190697286
X-Yandex转发:c4503a689c840ee5c1704413e6045827
建议:如果可能的话,机构的系统管理员应更频繁地检查电子邮件,为“ mailfence dot com”中的字母创建一个过滤器,并将其过滤到单独的文件夹中,并根据其职务说明立即报告它们,保存服务标题和所有数据以进行进一步分析。
战术:所以问题是-为什么新闻通讯中使用这么多的电子邮件地址?
答案很简单-所使用服务的致命弱点是服务的货币化能力以及通过一次性邮箱(一次性邮件服务)进行注册的能力。
1.因此,很可能所有用于邮寄的帐户现在都是免费计划,其中仅包含500 MB电子邮件。
如果此框被“抛出”带有附件的邮件且已满,则您首先必须清理它才能继续发送邮件。 付费计划已经在为服务付款以及对其银行数据的其他发现。
因此,您可以通过向下面的地址发送尽可能大的字母来帮助解决此问题。
putin.fsb@mailfence.com
putin.fsb1@mailfence.com
putin.fsb2@mailfence.com
putin.fsb3@mailfence.com
putin.fsb4@mailfence.com
just.bro@mailfence.com
kor.bol@mailfence.com
kiano.lok@mailfence.com
jekson.lo1@mailfence.com
laki.kak@mailfence.com
2.通过
重置密码并
通过一次性邮件服务选择
登录来拦截邮箱管理。
从理论上讲,如果您可以执行大量操作,则可以访问第1段中列出的邮箱:
-在temp-mail dot org中选择必要的登录名和域
-将密码重置命令发送到地址mailfence dot com
-在临时邮件点组织中获取密码重设字母
-登录到mailfence dot dot com
供选择的数据(其中*是用户名中的一个或多个字符(最可能是1-4个拉丁字母):
困难处境:密码重置-putin.fsb1@mailfence.com
一次性邮件服务-joo*@321-email.com
一次性邮件服务-joo*@braun4email.com
一次性邮件服务-joo*@utooemail.com
密码重置-putin.fsb3@mailfence.com
一次性邮件服务-bud*@321-email.com
一次性邮件服务-bud*@braun4email.com
一次性邮件服务-bud*@utooemail.com
只有一个域要检查:密码重置-putin.fsb2@mailfence.com
一次性邮件服务-kul*@utoo.email
密码重置-putin.fsb4@mailfence.com
一次性邮件服务-bep*@4senditnow.com
密码重置-just.bro@mailfence.com
一次性邮件服务-bbl*@heximail.com
3.或者,通过对
提供的
常规登录名 (长4-8个字符)进行排序(单击服务中的“删除”按钮),从
提供的新
登录名中查找以
kul / bep / bbl / bud / joo开头的
登录名 。
点3可以使用软件方法来实现。
如果有人感兴趣,并且可以通过登录一次性邮件服务通过大量枚举找到对至少一个邮箱的访问权,并且可以(阻止)阻止他的邮件发送,那就太好了。
尽管将对字母内容进行语言和风格分析,但再加上拼写错误和文本中的一些辅音节,我们仍然需要考虑一些问题。 但是,有可能将此辩证法专门引入折中方案。
本文涉及分析主题,我要求您遵守评论中的资源规则,并且不要超出公认的框架