Satz-N-Sentry/FUTURE_CS_02

# FUTURE_CS_02 — 钓鱼邮件检测与意识报告 ## SAIZERO — Ground Zero Defence ### *每道阴影皆有猎手* 🐺 ## 概述 本仓库包含一份作为 Future Interns 2026 网络安全实习项目一部分而进行的专业钓鱼邮件检测和意识分析。三个真实的钓鱼邮件样本从公共 honeypot 仓库收集，并使用多种行业标准工具进行分析，以识别攻击模式、社会工程学技术以及威胁行为者使用的恶意基础设施。 ## 目标组织 本分析是使用模拟客户资料进行的，作为 Future Interns 2026 网络安全实习项目的一部分。分析的钓鱼邮件样本是从公共 honeypot 仓库收集的真实样本。 | 字段 | 详情 | |-------|---------| | 客户 | Pinnacle Capital Group LLC *(模拟)* | | 行业 | 金融服务与投资 | | 地点 | 美国纽约州纽约市 | | 联系人 | Michael D. Carter — CISO | | 评估日期 | 2026年3月 | | 分类 | 教育 — 培训演练 | ## 分析样本 ### sample-1000.eml — 巴西退税诈骗 | 字段 | 详情 | |-------|---------| | 主题 | Liberacao de IRPF - 6NwlyfzWcsNerv0 | | 发件人 | prestonconstance587@gmail.com | | 日期 | 2023年7月26日 17:59:01 UTC | | 语言 | 葡萄牙语 (巴西) | | 攻击类型 | Social Engineering — 通过附件投递 Malware | | OWASP | SE-01 | | 技术 | 合法服务滥用 — 免费 Gmail 账户 | | SPF / DKIM / DMARC | PASS / PASS / PASS (p=none — 未强制执行) | | 黑名单 | Hop 3 被 Microsoft EOP 标记 | | 分类 | 已确认钓鱼 (CONFIRMED PHISHING) | **关键指标：** - 使用免费 Gmail — 税务局绝不会从 Gmail 发送邮件 - 主题中的活动跟踪代码：6NwlyfzWcsNerv0 - 虚假协议编号：4793122145117905827 - 存在恶意附件 - 6秒内送达 — 自动化批量活动 ### sample-1002.eml — Microsoft 账户冒充 | 字段 | 详情 | |-------|---------| | 主题 | Microsoft account unusual signin activity | | 发件人 | no-reply@access-accsecurity.com | | 发送域 | thcultarfdes.co.uk | | 发送 IP | 89.144.44.2 (波兰华沙) | | 日期 | 2023年7月26日 21:13:36 UTC | | 攻击类型 | 品牌冒充 — Credential Harvesting + 受害者追踪 | | OWASP | A07:2021 — 识别与身份验证失败 | | 技术 | 域欺骗 + 隐藏追踪像素 | | SPF / DKIM / DMARC | NONE / NONE / PERMERROR | | 黑名单 | Hop 4 被标记 | | 分类 | 已确认钓鱼 (CONFIRMED PHISHING) | **关键指标：** - 所有 SPF/DKIM/DMARC 检查失败 - 所有链接路由到攻击者的 Gmail — 而非 Microsoft - 追踪像素 thebandalisty.com — VirusTotal 6/98 检测 - 731 条 URLScan 记录 — 确认大规模批量活动 - 发送 IP 来自波兰华沙 — Microsoft 总部位于美国 - 发件域 access-accsecurity.com 从未注册 ### sample-1003.eml — XRP Ripple Crypto 诈骗 | 字段 | 详情 | |-------|---------| | 主题 | More benefits from Ripple with the Allocation Program | | 发件人 | coindesk@mg.areafellowship.com | | 发送域 | mg.areafellowship.com (被入侵的教会子域名) | | 发送 IP | 198.61.254.55 (Mailgun Technologies — 芝加哥) | | 钓鱼域名 | mail123-ripple.net (俄罗斯托管) | | 日期 | 2023年7月27日 15:06:03 UTC | | 攻击类型 | 金融诈骗 — Cryptocurrency 投资骗局 | | OWASP | A05:2021 — 安全配置错误 | | 技术 | 合法服务滥用 — Mailgun + 虚假登录页 | | SPF / DKIM / DMARC | PASS / PASS / bestguesspass | | 黑名单 | Hop 5 被标记 | | 分类 | 已确认钓鱼 (CONFIRMED PHISHING) | **关键指标：** - Mailgun 通过被入侵的教会子域名被滥用 - SCL:9 最高垃圾邮件评分 — 仍然送达 - 源服务器完全隐藏 (Hop 0 = 未知) - 所有链接指向俄罗斯托管的虚假 Ripple 网站 - 受害者邮箱在 URL 中进行十六进制编码 — 个体追踪 - NICENIC 中国一次性注册商 - 使用真实法庭裁决作为社会工程学诱饵 - Blockchain 交易不可逆 — 无法恢复 ## 使用的工具 | 工具 | 用途 | |------|---------| | Thunderbird | 打开 .eml 文件 — 查看邮件正文并提取原始 Header | | MXToolbox | Header 分析 — SPF, DKIM, DMARC, 黑名单检测 | | Google Admin Toolbox | Hop 时间线 — 邮件路由路径和延迟分析 | | VirusTotal | URL 和域名多厂商恶意检测 | | URLScan.io | 安全 URL 检查和无点击页面截图 | | AbuseIPDB | 发送 IP 地址滥用历史和置信度评分 | | WHOIS | 域名注册日期、注册商和所有权检查 | | Git | 版本控制 — 跟踪并将证据推送到仓库 | | GitHub | 用于提交交付物的公共仓库托管 | ## 分析方法论 1. **邮件检查** — 在 Thunderbird 中打开 .eml，阅读正文，识别社会工程学 2. **Header 提取** — 查看原始源代码 (Ctrl+U)，复制完整 Header 3. **认证分析** — 粘贴到 MXToolbox 和 Google Admin Toolbox 4. **IP 调查** — 通过 AbuseIPDB 检查发送 IP 5. **域名调查** — 通过 WHOIS 检查发件人域名 6. **URL 分析** — 通过 URLScan.io 和 VirusTotal 检查链接 7. **指标记录** — 记录每个样本的所有钓鱼危险信号 8. **风险分类** — 分类为 安全 / 可疑 / 钓鱼 ## 风险分类摘要 | 样本 | 攻击类型 | OWASP | 风险 | 结论 | |--------|-------------|-------|------|---------| | sample-1000 | Social Engineering — Malware Delivery | SE-01 | 高 | 钓鱼 | | sample-1002 | 品牌冒充 — Credential Harvesting | A07:2021 | 严重 | 钓鱼 | | sample-1003 | 金融诈骗 — Crypto 投资骗局 | A05:2021 | 严重 | 钓鱼 | ## 仓库结构 ``` FUTURE_CS_02/ ├── evidence/ │ ├── sample_1000_analysis.txt │ ├── sample_1002_analysis.txt │ └── sample_1003_analysis.txt ├── screenshots/ │ ├── sample_1000_thunder.png │ ├── sample_1000_mxtool.png │ ├── sample_1000_googletool.png │ ├── sample_1002_thunderbird.png │ ├── sample_1002_mxtool.png │ ├── sample_1002_googltool.png │ ├── sample_1002_Abuseip.png │ ├── sample_1002_virustotal.png │ ├── sample_1002_urlscan.png │ ├── sample_1002_whois.png │ ├── sample_1003_googletool.png │ ├── sample_1003_abuseip.png │ ├── sample_1003_virustotal.png │ ├── sample_1003_whois.png │ └── sample_1003_yrlscan.png ├── samples/ │ ├── sample-1000.eml │ ├── sample-1002.eml │ └── sample-1003.eml ├── reports/ │ └── SAIZERO_Phishing_Final.pdf └── README.md ``` ## 评估者 **Satheesh Nithiananthan** (CyberLycan) SAIZERO — Ground Zero Defence Future Interns 2026 网络安全实习 *Every shadow has a hunter* 🐺

标签：DAST, ESC8, Object Callbacks, SPF/DKIM/DMARC验证, 伪造发件人, 威胁情报, 安全报告, 安全教育, 实习项目, 巴西税务诈骗, 开发者工具, 恶意基础设施, 恶意软件分析, 搜索语句（dork）, 攻击模式分析, 模拟演练, 社会工程学, 网络安全, 网络安全研究, 网络钓鱼, 蜜罐数据, 邮件取证, 邮件安全分析, 金融安全, 钓鱼邮件检测, 隐私保护