北京
一、钓鱼邮件内容
打开百度APP畅享高清图片
二、钓鱼网站页面
三、钓鱼网页代码
四、代码结构与核心功能分析
1. 核心脚本与框架
Vue.js生态:
页面基于Vue.js构建,使用`Vue Router`管理路由(如/bank、/verify_one),Vuex进行状态管理,Axios发送HTTP请求,Crypto-JS用于数据加密。这些技术组合实现了复杂的用户交互和数据窃取功能。
模块预加载:
modulepreload预加载了多个依赖(如vuex、vue-router、axios),确保快速加载恶意逻辑。
2. 环境检测与诱导跳转
微信浏览器检测:
通过navigator.userAgent检测是否在微信内访问。若在微信中,显示提示层(提示“本业务微信内暂未开放办理”),诱导用户**复制链接到外部浏览器**,以绕过微信的安全限制。
移动端检测:
通过/Mobi|Android/i正则表达式判断是否为手机设备。若非移动端访问(如PC),显示“请使用手机浏览”,目的是规避PC端的安全工具(如杀毒软件)或增加可信度。
3. 数据窃取与加密
敏感信息收集:
Vuex存储了用户输入的敏感信息,包括:
- 身份证号(id_card)
- 银行卡号(bank_card)
- 银行密码(bank_pass)
- CVV(cvv)
- 手机号(phone)
- 短信验证码(sms)
这些数据通过localStorage持久化,确保用户刷新页面后仍能继续窃取流程。
AES加密:
使用Crypto-JS对数据加密,密钥为Z0IJw5vGhl1P1Utc,加密后通过POST请求发送到后端服务器http://ooo.apiefefei.cn/api.php/,规避明文传输被检测。
4. 用户追踪与控制
浏览器指纹:
通过@fingerprintjs/fingerprintjs生成唯一visitorId,用于追踪用户设备,即使清除Cookie也能识别同一用户。
心跳检测:
定时(每秒一次)发送member/ipinfo请求,检测用户状态。若发现用户尝试退出(如quick=99),立即清除数据并跳转首页,防止用户中断攻击流程。
强制跳转逻辑:
根据后端返回的quick值强制跳转到指定页面(如/verify_two),控制用户操作流程,确保完成所有信息提交步骤。
5. 钓鱼邮件与网站联动
邮件内容分析:
邮件伪装成“2025年工薪绩效考评通知”,利用“官方通知”的权威性诱导用户点击链接http://asdf.yooofehesj.cn/#/。该域名与代码中的后端域名apiefefei.cn相似,均为随机生成的低可信域名。
钓鱼流程:
用户点击邮件链接后,进入钓鱼网站,被引导至不同页面(如绑定银行卡、验证身份),逐步输入敏感信息。网站通过加密和指纹技术将数据传至攻击者服务器,最终实施盗刷或诈骗。
6. 防御规避手段
动态路由加载:
使用import()动态加载路由组件,避免一次性加载所有代码,降低静态分析风险。
UA检测:
针对不同环境(微信、PC、手机)展示不同内容,增加反检测难度。
域名混淆:
使用多个相似域名(如yooofehesj.cn、apiefefei.cn),模仿正规网站域名结构,但缺乏实际企业关联。
五、总结
该钓鱼网站通过技术手段(环境检测、加密、指纹追踪)结合社会工程(伪造邮件、政府通知),诱导用户提交银行卡、身份证等敏感信息。攻击者利用Vue.js构建复杂交互流程,后端通过加密传输数据规避检测。用户需警惕“官方通知”类邮件中的不明链接,并注意域名真实性。
编辑:芦笛(公共互联网反网络钓鱼工作组)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
