作为比来的一项研究，我们首先发明了两个垂钓打击域名，而在这两个域名之后是更多的域名，这些域名已经告成地打击了赶过1000多名用户,这项垂钓打击主要针对的是AOL、雅虎、LinkedIn等网站的用户。

1、垂钓网站对应的域名信息

我们碰到的第一个域名为：f4hkn8ty1jety7sysf4hkn8ty.com，像是“猫步”域名——就是猫随意地再键盘上走动孕育产生的域名。

图1 “猫步“域名的由来

然而这个域名是用来对AOL用户进行网络垂钓的：

图2  AOL 垂钓页面

但是，有趣的是，打击者非常“善良”，虽然显示了垂钓页面，但却没禁用其垂钓网站的目录列表，在网站的根目录里竟然生存着受害者的明文根据信息：

图3  垂钓网站目录列表

图4  暗码信息被储存在垂钓网站站点目录列表的ole.txt文件中

在virustotal上查抄时显示是恶意站点：

图5  Virustotal url 扫描功效

Virustotal上更多的信息显示，这项垂钓勾当最早于2016年4月9日：

图6  Virustotal 里显示的更多域名信息

另一个有趣的处所是，我们注意到该域名通过MELBOURNEIT公司注册给了“Suzy Leprino”，而MELBOURNE IT是一个雅虎域名注册合作商。

还有一点让我们疑惑的是，域名对应的IP在曾经产生过变革，更准确地说，主机供给商从美国雅虎（Aabaco）酿成了荷兰的Ecatel。

颠末对两个IP历史的恒久跟踪，我们发明原因可能是美国的IP已经被符号在许多黑名单中，打击者想改换一个“洁净”的IP。

图7  域名对应的新IP(左)  和 旧IP(右)

颠末进一步的查询拜访我们又发明了另一个有着相似特点的域名：nextblum.com ，像上面的“猫步”域名那样，其对应的是一个AOL垂钓页面、使用不异的混淆技术、在域名网站根目录文件“OLE.txt”中生存明文根据。这不成能是偶然的，这意味着两起垂钓打击可能都使用了不异的工具，甚至可能连打击者都一样：

图8  “ole.txt”文件信息

从VirusTotal的信息里面表白nextblum.com使用时间更长，所以如果两个域名与同一打击者有关，那么这项打击勾当可能是在2016年3月10日前后开始的：

图9  nextblum.com域名的相关信息

以下是两个域名的相似度对照：

图10  “猫步”域名代码

图11  nextblum.com域名代码

独一的差别之处在于域名nextblum.com上架设的垂钓页面较多，包孕：Yahoo、LinkedIn、Old Dominion University,、Lehigh University和一个用来针对.edu邮箱进行垂钓的通用网页：

图12  nextblum.com域名上的AOL垂钓页面

图13  nextblum.com域名上的.edu垂钓页面

图13 的网络垂钓网页是一个电子邮件从头验证页面，这类型的诈骗网页存在多年，而它们比来却以新颖时尚的黑色视图卷土重来。

这起事件的打击者还曾经以此外一个域名data-rice.com，于2015年底倡议过网络垂钓打击，后文将会提及。

图14  data-rice.com域名上的邮箱从头认证垂钓页面（Phishtank的存档）

图15  nextblum.com上的LinkedIn垂钓页面

图16  nextblum.com上的 Old Dominion 大学垂钓页面

图17  nextblum.com上的Lehigh University大学垂钓页面

2、网络垂钓打击使用的技术