老铁们,被勒索了,但是想不明白是怎么被黑的,求大佬分析

今天在清理 163 邮箱的时候，发现了这样一封邮件，是自己发给自己的

正文里写的密码确实是我其他一些账号使用中的密码，但不是我 163 邮箱的密码(163 的密码是 1p 生成管理的)，没搞懂是怎么登录我邮箱的(邮箱没有开二次验证,但没看到异常登录)

这是附件 html 中的内容,其中还提到了成人网站(虽然看,但是没注册过,也从来没有用过 163 邮箱与成人网站有关联),按他的说法是入侵了我的设备,我的设备都是苹果,且系统均为最新,不排除他们使用 0day(但是使用 0day 搞个人这种勒索是不是有点鸡肋了呃),实在没想通是怎么登录到我邮箱的,文中提到的我那个密码倒是可能在很多社工库都能查到.求大佬分析一波.

namelesswryyy

2024-02-26 12:58:04 +08:00

简单，前些年有很多泄露的数据包括国内
有人整合这些泄露的信息搞勒索，账号密码姓名手机什么的
邮件说什么照片基本都是捏造，就看你会不会怕
发邮件显示自己地址，这都是黑进一些不安全的邮箱账号后发的
虽然显示是自己邮箱但是这是发邮件的时候改的，有的邮箱管理差就能发出去
看似是自己，其实只是显示而已

gongquanlin

2024-02-26 13:45:45 +08:00

大学刚毕业的时候就用 Go 写过一个小程序，专门发送邮件包括 DKIM 都能搞，专门用来发营销邮件。可惜找不到这么大量的 ip 和支持 25 端口就放弃了

ibinary

2024-02-26 14:29:22 +08:00

兄弟不要怕，我之前也是这样。网易给别人发的。里面带着你的账号密码。然后紧接着发送给你邮件。邮件信息就是你看的信息。然后说你看成人网站啥的。不用管。删除就行。不过后面你会遭遇邮箱轰炸，各种垃圾信息。这些都是信息泄露引起的。没办法。不用怕。

Rickkkkkkk

2024-02-26 17:26:23 +08:00

密码可以认为是 csdn 泄露

csdn 很早之前泄露过一波密码, 不幸的是 csdn 是明文保存的密码, 所以注册过的人用的那个账号/密码等于就是公开的

cnt2ex

2024-02-26 17:33:45 +08:00

这封邮件缺少很多重要的 Header ，比如 Return-Path ，而且 Received 这个 Header 里甚至出现了 1.45.182.097 这种地址里 0 开头的 IP 。

感觉是 163 邮箱自己 SPF 检查之类的反垃圾邮件机制不过关导致这封伪造邮件送到了你邮箱里。

SeleiXi

2024-02-26 17:54:27 +08:00

他说是点击了邮件里面的链接然后下载了病毒，但下载后也不会自动运行吧？一个设备点击了这个链接，又怎么传染到其他设备上？技术上求教一下

6388xE5FRKTNUT9x

2024-02-26 17:54:47 +08:00

我的 126 邮箱里收到过一样的邮件。

查 https://haveibeenpwned.com/ 有记录

无视了，然后账号也弃用了。

ReZer0

2024-02-26 17:59:21 +08:00

也有可能是通过社工库泄露的密码信息来诈你。真要搞你早修改你原密码或者密保验证信息了。估计是从哪里渠道获取了你曾经被泄露的站点和密码信息，然后模拟一个邮箱用来诈你上当。

flyhaozi

2024-02-27 01:41:13 +08:00

@liuidetmks 多半是下载什么软件中了木马或者安装的浏览器扩展里有问题，排查发现有个从第三方下的 three.js developer tool 里有下载脚本的恶意代码（官方没上架），但不知道是不是它泄露的

LRf5sETzOgzGvk6u

2024-02-27 04:19:52 +08:00

问题出在浏览器扩展
1. 邮箱登录没异地提示且对方不知道密码
可能性:伪造邮箱, 拥有你的 Cookie
2.知道你浏览器过色情网站并且并没有在网站注册过
可能性: 拥有你浏览器历史记录
至于密码信息那个明显就是社工库找到的
1 和 2 同时出现 99%就是浏览器扩展出现问题了.

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1018377

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.