vivek13220/Phishing-Triage-Report

GitHub: vivek13220/Phishing-Triage-Report

一份模拟 PayPal 钓鱼campaign的事件响应分诊报告,展示从邮件分析到 IoC 提取再到遏制策略的完整 SOC 工作流程。

Stars: 0 | Forks: 0

# 钓鱼邮件分诊与事件响应报告 ## 📌 项目概述 本项目模拟了安全运营中心 (SOC) 分析员响应可疑邮件报告的真实工作流程。在安全的 macOS 环境中,我对一封疑似钓鱼邮件进行了静态分析,提取了关键的入侵指标 (IoC),使用命令行工具调查了恶意基础设施,并撰写了一份包含可操作的遏制建议的正式事件报告。 ### 🛠️ 展示的技能与工具 * **分析环境:** macOS (Terminal,原生文本处理) * **OSINT 与网络工具:** 原生 `whois` 域名查询、MX Toolbox (模拟) * **核心能力:** 邮件头分析、相似域名识别 (typosquatting)、IoC 防护处理以及战术性事件报告。 * **框架:** 标准 NIST SP 800-61 Rev. 2 事件处理指南(遏制、根除和恢复)。 ### 📧 钓鱼邮件制品 在原始邮件文本中识别出了相似域名和紧急消息等关键指标: email ### 💻 基础设施调查 在 macOS Terminal 中运行 `whois` 查询以验证域名创建日期: whois1 whois2 # 网络安全事件报告:钓鱼邮件分诊 **日期:** 2026年7月13日 **分析员:** Vivek Patel **严重程度:** 中 ## 1. 执行摘要 2026年7月13日,识别出一封伪装成 PayPal 安全警报的可疑邮件。该邮件声称用户账户受到限制,企图引起恐慌,并诱导他们访问一个旨在窃取凭据的登录页面。 ## 2. 指标提取 (IoC) | 指标类型 | 值 | | :--- | :--- | | **发件人地址** | `secure-update@paypal-security-alert.com` | | **发件人域名** | `paypal-security-alert.com` | | **主题** | URGENT: Your account has been restricted! | | **已防护 URL** | `hxxp://update-paypal-login-security[.]com/login/auth` | ## 3. 制品分析 * **邮件伪造:** 发件人地址使用了相似域名策略 (typosquatting) 来模仿合法的 PayPal 通信。 * **紧迫性:** 该邮件利用社会工程学手段,威胁将在 24 小时内永久关闭账户。 * **基础设施:** `whois` 查询显示该域名是近期注册的,这非常符合一次性钓鱼基础设施的特征。 ## 4. 遏制与修复建议 为了降低进一步的风险,建议采取以下行动: 1. **网络封锁:** 在边界防火墙和 Web 代理上阻止发往和来自 `paypal-security-alert[.]com` 和 `update-paypal-login-security[.]com` 的入站/出站流量。 2. **邮件网关规则:** 从全球所有用户的收件箱中清除所有来自 `secure-update@paypal-security-alert.com` 的邮件。 3. **凭据重置:** 对任何与该链接有过交互的用户强制执行密码重置,并撤销其活动会话。 4. **用户意识:** 针对受此活动影响的部门,开展一次有针对性的钓鱼演练模拟。
标签:威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 邮件安全, 钓鱼攻击分析