VaishnaviDangeti/Phishing-Email-Threat-Analysis

# 钓鱼邮件威胁分析 ## 这个项目是什么？ 我分析了来自 PhishTank 的 50 多封真实钓鱼邮件，以了解攻击者如何针对金融机构。这是一个实践项目，我手动完成了从检查邮件头到在 VirusTotal 上扫描 URL 的所有工作。 ## 为什么做这个项目 我不断读到关于钓鱼攻击是金融科技和银行业排名第一的攻击媒介的文章。我想亲眼看看这些邮件长什么样，它们是如何构建的，以及分析师是如何检测它们的，而不仅仅是阅读相关理论。 ## 我做了什么 **步骤 1 —— 收集样本** 从 PhishTank 提取了 50 多个活跃的钓鱼邮件样本，重点关注针对银行和金融平台的样本。 **步骤 2 —— 分析邮件头** 针对每封邮件，我手动检查了： - SPF 记录（发送服务器是否被授权？） - DKIM 签名（邮件是否被篡改？） - DMARC 策略（域名是否有保护措施？） 大多数伪造邮件这三项检查全部未通过。 **步骤 3 —— 检查每个 URL** 将所有可疑链接通过 VirusTotal 进行扫描。发现了大量混淆的重定向链——这些 URL 看起来无害，但会重定向 3-4 次，最终跳转到一个伪造的登录页面。 **步骤 4 —— 记录一切** 提取了 30 多个 IOC（威胁指标），并发现了规律——相同的恶意域名在不同邮件中反复出现。 ## 发现了什么 我发现了 3 种明显的攻击活动模式： **攻击活动 1 —— 伪造银行登录页面** 伪装成来自银行的邮件，要求用户“验证其账户”。典型的凭证窃取攻击。 **攻击活动 2 —— 伪造发票邮件** 针对财务人员的攻击。伪造供应商邮件地址并附带恶意 PDF 附件。 **攻击活动 3 —— 账户接管尝试** 伪装成金融科技应用的安全警报，链接会窃取会话 token。 ## 成果 - 正确将 90% 以上的邮件归类为恶意邮件 - 在所有样本中发现了 30 多个 IOC - 为全部 3 个攻击活动编写了独立的威胁报告 ## 使用的工具 - PhishTank —— 钓鱼邮件样本 - VirusTotal —— URL 和域名扫描 - MXToolbox —— 邮件头分析 - 用于 SPF/DKIM/DMARC 检查的手动分析 ## 学到了什么 老实说，我学到的最重要的一点是，当一个域名没有 DMARC 策略时，伪造邮件是多么容易。大多数小型金融科技公司都没有正确配置此项，这是一个巨大的风险。 ## 关于我 我是 Vaishnavi Dangeti，一名对威胁情报和蓝队安全感兴趣的网络安全学生。这个项目完全是我自发进行的。我希望获得超越证书的真切实战经验。 GitHub: github.com/VaishnaviDangeti

标签：Ask搜索, DAST, ESC8, IOC提取, PhishTank, SPF/DKIM/DMARC, VirusTotal, 凭证收集, 威胁分析, 威胁情报, 安全报告, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 搜索语句（dork）, 数据展示, 欺诈检测, 社会工程学, 红队, 网络安全, 自动化侦查工具, 邮件取证, 邮件头分析, 金融安全, 钓鱼分析, 隐私保护