最近有多少人收到了 do-not-reply@apps.leancloud.cn 发送的钓鱼邮件？

我今天收到了四封，看起来都是钓鱼，接受邮件的邮箱在 leancloud 国际版有一个账户并且有一个不使用的应用，但是钓鱼邮件内的应用名称完全不对。

最搞笑的是 leancloud 根本没有提供重置"应用密码"这种操作，"应用"本身根本就没有密码！

正文的上下文也完全对不上，前面请求的是重设应用密码，后面给的链接是重置账号密码。

假的

部分 eml 细节：

Received: from ucmaild009.sendcloud.org (unknown [106.75.2.252])
...
Received:from uluru-consumer-86685cd4b8-n7ssp (Unknown [127.0.0.1]) by SendCloud Inbound Server with ESMTPA id 9D86A043-3268-4F69-8535-3EA6EBB5464D.1 envelope-from <do-not-reply@apps.leancloud.cn> (authenticated bits=0); Sat, 14 Sep 2019 20:39:15 +0800
Date:Sat, 14 Sep 2019 20:39:15 +0800 (CST)
From:isme <do-not-reply@apps.leancloud.cn>
...
REPLY-TO:isme <do-not-reply@apps.leancloud.cn>
...
List-Unsubscribe:<http://sctrack.sc.gg/track/unsubscribe.do?p=eyJ1c2VyX2lkIjogNjMwLCAidGFza19pZCI6ICIiLCAiZW1haWxfaWQiOiAiMTU2ODQ2NDc1NTc0NV82MzBfMjA4OTZfNTM0NS5zYy0xMF85XzQwXzE2NC1pbmJvdW5kMCRzYWx0eWxlb0B0c3Rycy5tZSIsICJzaWduIjogImQ1NTQxOGU1NzFlZTM3YzhjZDlkNzM1ZjU2MmUyMjQwIiwgImxhYmVsIjogMCwgInJlY2VpdmVyIjogInNhbHR5bGVvQHRzdHJzLm1lIiwgImNhdGVnb3J5X2lkIjogODQ0MTl9>,<mailto:0_84419_1568464755745_630_20896_5345.sc-10_9_40_164-inbound0@apps.leancloud.cn>
...
<br/><br/><div style=3D"width:1px;height:0px;overflow:hidden"><img style=3D=
"width:0;height:0" alt=3D"" src=3D"http://sctrack.sc.gg/track/open/eyJtYWls=
bGlzdF9pZCI6IDAsICJ0YXNrX2lkIjogIiIsICJlbWFpbF9pZCI6ICIxNTY4NDY0NzU1NzQ1XzY=
zMF8yMDg5Nl81MzQ1LnNjLTEwXzlfNDBfMTY0LWluYm91bmQwJHNhbHR5bGVvQHRzdHJzLm1lIi=
wgInNpZ24iOiAiOTI0N2ZmMTBmN2MxZGU1ZTQ5MmQ4NTI4ZDk3YTQ3ZTgiLCAidXNlcl9oZWFkZ=
XJzIjoge30sICJsYWJlbCI6IDAsICJ1c2VyX2lkIjogNjMwLCAiY2F0ZWdvcnlfaWQiOiA4NDQx=
OX0=3D.gif"/></div>

邮件正文:

上面 leancloud 的重置密码链接是可以打开的，并且看起来完全就是真的一样，但是密码可以是任何组合，包括 111 都行(我填 111 并且提示重置成功了)，这很明显不是正常的重置密码链接。

有兴趣的可以检测下这个链接:https://leancloud.cn/dashboard/reset.html?token=wQerxnG2tMRBX2W5W8eusRYaQkVC634m

真的

然后我作死真的重置一次密码，发来的邮件 eml 信息和钓鱼邮件的基本一致，部分 eml 细节:

Received: from ucmaild003.sendcloud.org (unknown [106.75.2.41])
...
Received:from uluru-api-7b7c5fb6f6-2lww2 (Unknown [127.0.0.1]) by SendCloud Inbound Server with ESMTPA id D61AD613-184D-47A0-AF39-D7CCC4E5CD32.1 envelope-from <do-not-reply@hello.leancloud.cn> (authenticated bits=0); Sat, 14 Sep 2019 21:37:21 +0800
Date:Sat, 14 Sep 2019 13:37:21 +0000 (UTC)
From:LeanCloud Team <do-not-reply@hello.leancloud.cn>
...
REPLY-TO:LeanCloud Team <do-not-reply@hello.leancloud.cn>
...
List-Unsubscribe:<http://sctrack.sc.gg/track/unsubscribe.do?p=eyJ1c2VyX2lkIjogNjMwLCAidGFza19pZCI6ICIiLCAiZW1haWxfaWQiOiAiMTU2ODQ2ODI0MTk4NF82MzBfMTY3MV8zNTIyLnNjLTEwXzlfMV83NS1pbmJvdW5kMCRzYWx0eWxlb0B0c3Rycy5tZSIsICJzaWduIjogImJiNGE3OWIyZmU1YWNlODU0MTE1YTk5YTIwY2I4MTE3IiwgImxhYmVsIjogMCwgInJlY2VpdmVyIjogInNhbHR5bGVvQHRzdHJzLm1lIiwgImNhdGVnb3J5X2lkIjogODQ0MTZ9>,<mailto:0_84416_1568468241984_630_1671_3522.sc-10_9_1_75-inbound0@hello.leancloud.cn>

邮件正文:

这才是真的重置邮件，和假的一眼就能分辨出来。瞎猜一波只是使用 Swaks 伪造了发件人等信息伪造邮件来钓鱼，最坏的情况就是 apps.leancloud.cn 这个三级域名被黑产控制了。

我就很好奇这种邮件到底有什么用，我在邮件内容本身上没有发现任何病毒或木马载荷，重置密码链接是 leancloud 的，并且全程 https 域名看起来都是正常的，应该动不了手脚吧？那个 gif 外链最多最多只能获取我的 ip 和浏览器版本以及系统信息？更加详细的例如 cookie 应该拿不到吧？

最后想问下这种黑产到底怎么恰饭？