电子邮件网络钓鱼细节解析之待办事项钓鱼

一、钓鱼邮件内容

二、钓鱼网站页面

三、钓鱼网页代码

四、代码结构与核心功能分析

1. 核心脚本与框架

Vue.js生态：

页面基于Vue.js构建，使用`Vue Router`管理路由（如/bank、/verify_one），Vuex进行状态管理，Axios发送HTTP请求，Crypto-JS用于数据加密。这些技术组合实现了复杂的用户交互和数据窃取功能。

模块预加载：

modulepreload预加载了多个依赖（如vuex、vue-router、axios），确保快速加载恶意逻辑。

2. 环境检测与诱导跳转

微信浏览器检测：

通过navigator.userAgent检测是否在微信内访问。若在微信中，显示提示层（提示“本业务微信内暂未开放办理”），诱导用户**复制链接到外部浏览器**，以绕过微信的安全限制。

移动端检测：

通过/Mobi|Android/i正则表达式判断是否为手机设备。若非移动端访问（如PC），显示“请使用手机浏览”，目的是规避PC端的安全工具（如杀毒软件）或增加可信度。

3. 数据窃取与加密

敏感信息收集：

Vuex存储了用户输入的敏感信息，包括：

- 身份证号（id_card）

- 银行卡号（bank_card）

- 银行密码（bank_pass）

- CVV（cvv）

- 手机号（phone）

- 短信验证码（sms）

这些数据通过localStorage持久化，确保用户刷新页面后仍能继续窃取流程。

AES加密：

使用Crypto-JS对数据加密，密钥为Z0IJw5vGhl1P1Utc，加密后通过POST请求发送到后端服务器http://ooo.apiefefei.cn/api.php/，规避明文传输被检测。

4. 用户追踪与控制

浏览器指纹：

通过@fingerprintjs/fingerprintjs生成唯一visitorId，用于追踪用户设备，即使清除Cookie也能识别同一用户。

心跳检测：

定时（每秒一次）发送member/ipinfo请求，检测用户状态。若发现用户尝试退出（如quick=99），立即清除数据并跳转首页，防止用户中断攻击流程。

强制跳转逻辑：

根据后端返回的quick值强制跳转到指定页面（如/verify_two），控制用户操作流程，确保完成所有信息提交步骤。

5. 钓鱼邮件与网站联动

邮件内容分析：

邮件伪装成“2025年工薪绩效考评通知”，利用“官方通知”的权威性诱导用户点击链接http://asdf.yooofehesj.cn/#/。该域名与代码中的后端域名apiefefei.cn相似，均为随机生成的低可信域名。

钓鱼流程：

用户点击邮件链接后，进入钓鱼网站，被引导至不同页面（如绑定银行卡、验证身份），逐步输入敏感信息。网站通过加密和指纹技术将数据传至攻击者服务器，最终实施盗刷或诈骗。

6. 防御规避手段

动态路由加载：

使用import()动态加载路由组件，避免一次性加载所有代码，降低静态分析风险。

UA检测：

针对不同环境（微信、PC、手机）展示不同内容，增加反检测难度。

域名混淆：

使用多个相似域名（如yooofehesj.cn、apiefefei.cn），模仿正规网站域名结构，但缺乏实际企业关联。

五、总结

该钓鱼网站通过技术手段（环境检测、加密、指纹追踪）结合社会工程（伪造邮件、政府通知），诱导用户提交银行卡、身份证等敏感信息。攻击者利用Vue.js构建复杂交互流程，后端通过加密传输数据规避检测。用户需警惕“官方通知”类邮件中的不明链接，并注意域名真实性。

编辑：芦笛（公共互联网反网络钓鱼工作组）