这是一个创建于 369 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天在清理 163 邮箱的时候,发现了这样一封邮件,是自己发给自己的
正文里写的密码确实是我其他一些账号使用中的密码,但不是我 163 邮箱的密码(163 的密码是 1p 生成管理的),没搞懂是怎么登录我邮箱的(邮箱没有开二次验证,但没看到异常登录)
这是附件 html 中的内容,其中还提到了成人网站(虽然看,但是没注册过,也从来没有用过 163 邮箱与成人网站有关联),按他的说法是入侵了我的设备,我的设备都是苹果,且系统均为最新,不排除他们使用 0day(但是使用 0day 搞个人这种勒索是不是有点鸡肋了呃),实在没想通是怎么登录到我邮箱的,文中提到的我那个密码倒是可能在很多社工库都能查到.求大佬分析一波.
正文里写的密码确实是我其他一些账号使用中的密码,但不是我 163 邮箱的密码(163 的密码是 1p 生成管理的),没搞懂是怎么登录我邮箱的(邮箱没有开二次验证,但没看到异常登录)
这是附件 html 中的内容,其中还提到了成人网站(虽然看,但是没注册过,也从来没有用过 163 邮箱与成人网站有关联),按他的说法是入侵了我的设备,我的设备都是苹果,且系统均为最新,不排除他们使用 0day(但是使用 0day 搞个人这种勒索是不是有点鸡肋了呃),实在没想通是怎么登录到我邮箱的,文中提到的我那个密码倒是可能在很多社工库都能查到.求大佬分析一波.
 |
1
dko 2024-02-26 09:45:15 +08:00
考虑过是诈骗邮件吗
|
 |
2
diivL 2024-02-26 09:48:40 +08:00
这个就是诈骗邮件,我好几年前就收到个,那个发件地址是伪造的。
|
 |
3
Curtion 2024-02-26 09:49:22 +08:00
开启了 SMTP? 网易邮箱的 SMTP 密码是单独的密码, 也不会触发异常登录
|
 |
4
janzwong 2024-02-26 09:49:26 +08:00
个人认为是利用从社工库里拿到的个人信息群发诈骗邮件。
|
 |
5
InDom 2024-02-26 09:53:12 +08:00  53
伪造发件人,社工库密码。
赌你会怕了... 楼主你别怕,我打飞机的照片据传每个联系人都看过几百遍了,但我从来不在乎他们无知的眼神。 |
 |
7
Ervin 2024-02-26 09:56:18 +08:00 2
you are a big fan of adult websites
|
 |
10
PqgpNgA0wk 2024-02-26 10:05:36 +08:00
一些教程介绍伪造发件人用的也是 163 做示例😂
|
 |
11
liuxyon 2024-02-26 10:07:57 +08:00 via Android
我经常收到类似邮件, 163 应该邮件服务器没这种安全验证过滤. 不要用这种国内邮箱了. 我的邮箱带着校验发件人. 邮件上有标识. 我搜集成列表, 目前已经搜集 8300 多个 ip 段发送垃圾邮件 或者要黑服务器.
|
 |
12
panfenglai 2024-02-26 10:11:13 +08:00 3
给他回复“我看不懂英文”
|
 |
13
IBN5100 2024-02-26 10:12:53 +08:00 1
发邮件问他还有新的 adult website 吗 我是 big fan
|
 |
16
czfy 2024-02-26 10:14:07 +08:00
这是群发的
|
 |
18
xenme 2024-02-26 10:17:53 +08:00 via iPhone
仔细核对下你脱敏的邮件地址和你的邮箱是否完全一致,copy/paste/find 对比一下。 验证下发件人是近似的地址还是伪造地址,还是真的是你的邮箱。
|
 |
19
flyhaozi 2024-02-26 10:20:30 +08:00
你这才 1 封还好,我 edge 泄露了 300 多个生成的密码,天天给我发,每封邮件内容都一样就是密码换了,不过没有邮箱的密码,还好邮箱没存密码管理器。他就是赌你邮箱密码跟其他网站的一样,让你以为是邮箱被登了
|
 |
21
V392920 OP @flyhaozi 就是因为他写的密码不是我的邮箱密码,所以我觉得他没登录我的邮箱,但是不知道他怎么做到的发件人是我自己,看起来就像登录我邮箱发的一样
|
 |
23
qianckjuan 2024-02-26 10:25:26 +08:00
假邮件可以理解,密码是怎么拿到的呢
|
 |
24
keyfunc 2024-02-26 10:26:05 +08:00
可以用网易邮箱给其他的发封先,看看原始信息,我记得网易是带 dkim 的
|
|
26
V392920 OP @qianckjuan 密码很简单,他拿我这个邮箱去那些社工库查询就能查到,很多免费社工库都可以查到,但这个密码确实是我很多年前使用的(邮箱由于用的比较频繁早就改过密码了)
|
 |
27
ho121 2024-02-26 10:30:29 +08:00
邮件发件人伪造很容易的,就像伪造 User-Agent 一样容易
|
 |
28
littiefish 2024-02-26 10:30:52 +08:00 via iPhone
163 邮箱就是大坑
|
 |
29
lovedebug 2024-02-26 10:42:12 +08:00
这是一种邮件的攻击方式,利用退信机制仿造自己给自己发邮件
|
 |
30
mschultz 2024-02-26 10:45:20 +08:00
Email spoofing: https://en.wikipedia.org/wiki/Email_spoofing
另,Google 搜索「伪造发件人地址」也有很多科普文章。 所以情况大概是:1.这个邮件是群发的诈骗邮件,可以忽略它; 2.骗子可能用自动化程序,对某个(某些)以前泄露的数据库/社工库里面的邮箱都发了这种勒索邮件; 3.骗子并没有登录你的 163 邮箱,发件地址是伪造的 一些建议: 1.使用密码管理器,不同网站使用不同密码,能开 2FA 的开 2FA 2.除非你现有的 163 邮箱地址已经广泛用于工作或亲友等现实世界通信,暂不好放弃,其他使用场景下建议逐渐换用口碑更好、垃圾邮件识别更有效的邮箱服务,例如 Gmail 。 |
 |
31
dya 2024-02-26 10:48:49 +08:00
还是要定期更改全部密码。不是有 1password 这个软件帮你管理记住密码吗?然后建议只使用 gmail 或者 outlook 邮箱。这两个是大厂。比国内的大厂要好很多。
|
 |
33
1d074bfa18d34f6c 2024-02-26 10:55:43 +08:00
应该是假的,图 2 解释太多了,真的有料几张截图就好,看起来是个模板
|
 |
35
liuidetmks 2024-02-26 10:59:11 +08:00
@flyhaozi edge 怎么泄露的?
|
 |
36
syh2 2024-02-26 10:59:28 +08:00
多年以前,我的 163 也搜到过类似的邮件, 刚看到的时候愣了一下,后面没有理会, 然后就没有后文了
|
 |
37
ClosureEleven 2024-02-26 11:05:43 +08:00
不清楚发件人是自己的原理,不过看内容很典型,我在很多地方看到过这种勒索文案,就是伪装自己是个高级黑客吓唬你的(不会有人不看 porn 吧)
|
 |
38
Greenm 2024-02-26 11:09:02 +08:00
教你怎么伪造:
swaks --body "testmyself" --header "Subject: hello I am you " --attach "You can put." -t "xxxxx@163.com" -f "xxxxx@163.com" 如果用第三方代发的话,还能绕过 SPF ,我就试过用 trump 的邮箱发给我的 gmail ,完全看不出来伪造的。 当然楼上说退信的话也是有可能的。 |
 |
39
woody3rd 2024-02-26 11:15:36 +08:00
我也收到过,勒索要比特币,无所谓,没搭理
|
 |
40
salor 2024-02-26 11:39:46 +08:00
|
 |
41
namelesswryyy 2024-02-26 12:58:04 +08:00
简单,前些年有很多泄露的数据包括国内
有人整合这些泄露的信息搞勒索,账号密码姓名手机什么的 邮件说什么照片基本都是捏造,就看你会不会怕 发邮件显示自己地址,这都是黑进一些不安全的邮箱账号后发的 虽然显示是自己邮箱但是这是发邮件的时候改的,有的邮箱管理差就能发出去 看似是自己,其实只是显示而已 |
 |
42
ldapadmin 2024-02-26 13:43:41 +08:00
社工库撞一下历史泄露的密码,然后给你发勒索。能骗一个是一个。
|
 |
43
gongquanlin 2024-02-26 13:45:45 +08:00
大学刚毕业的时候就用 Go 写过一个小程序,专门发送邮件包括 DKIM 都能搞,专门用来发营销邮件。可惜找不到这么大量的 ip 和支持 25 端口就放弃了
|
 |
44
leaflxh 2024-02-26 13:52:35 +08:00
没提到“我利用你设备的摄像头,捕获到了你 fap 的视频”,我是不认可这封诈骗邮件的
|
 |
45
giffgaffman 2024-02-26 14:15:15 +08:00
网易邮箱都是老裤子了,赶紧弃坑国内邮箱,gmail 不香吗?
|
 |
46
sampeng 2024-02-26 14:18:08 +08:00
台式。。哪来的摄像头
|
 |
47
ibinary 2024-02-26 14:29:22 +08:00
兄弟不要怕,我之前也是这样。网易给别人发的。里面带着你的账号密码。然后紧接着发送给你邮件。邮件信息就是你看的信息。 然后说你看成人网站啥的。 不用管。删除就行。不过后面你会遭遇邮箱轰炸,各种垃圾信息。 这些都是信息泄露引起的。没办法。不用怕。
|
 |
48
blankmiss 2024-02-26 14:53:43 +08:00
发件地址可以伪造
|
 |
49
xuanbg 2024-02-26 15:40:23 +08:00
钓鱼诈骗邮件,直接删除就好。
|
 |
50
kaidaren 2024-02-26 16:50:16 +08:00
v 站怎么看图啊
|
 |
51
Rickkkkkkk 2024-02-26 17:26:23 +08:00
密码可以认为是 csdn 泄露
csdn 很早之前泄露过一波密码, 不幸的是 csdn 是明文保存的密码, 所以注册过的人用的那个账号/密码等于就是公开的 |
 |
52
cnt2ex 2024-02-26 17:33:45 +08:00
这封邮件缺少很多重要的 Header ,比如 Return-Path ,而且 Received 这个 Header 里甚至出现了 1.45.182.097 这种地址里 0 开头的 IP 。
感觉是 163 邮箱自己 SPF 检查之类的反垃圾邮件机制不过关导致这封伪造邮件送到了你邮箱里。 |
 |
53
SeleiXi 2024-02-26 17:54:27 +08:00 via Android
他说是点击了邮件里面的链接然后下载了病毒,但下载后也不会自动运行吧?一个设备点击了这个链接,又怎么传染到其他设备上?技术上求教一下
|
 |
54
showgood163 2024-02-26 17:54:47 +08:00
|
 |
55
ReZer0 2024-02-26 17:59:21 +08:00
也有可能是通过社工库泄露的密码信息来诈你。真要搞你早修改你原密码或者密保验证信息了。估计是从哪里渠道获取了你曾经被泄露的站点和密码信息,然后模拟一个邮箱用来诈你上当。
|
|
56
flyhaozi 2024-02-27 01:41:13 +08:00
@liuidetmks 多半是下载什么软件中了木马或者安装的浏览器扩展里有问题,排查发现有个从第三方下的 three.js developer tool 里有下载脚本的恶意代码(官方没上架),但不知道是不是它泄露的
|
 |
57
LRf5sETzOgzGvk6u 2024-02-27 04:19:52 +08:00
问题出在浏览器扩展
1. 邮箱登录没异地提示且对方不知道密码 可能性:伪造邮箱, 拥有你的 Cookie 2.知道你浏览器过色情网站并且并没有在网站注册过 可能性: 拥有你浏览器历史记录 至于密码信息那个明显就是社工库找到的 1 和 2 同时出现 99%就是浏览器扩展出现问题了. |
Select Language