钓鱼邮件分析

个人税务汇总清缴通知

邮件正文

排查过程

1. 查看发件人信息不属于本单位或国家相关部门邮件地址

   

2. 解析二维码地址如下

   

3. 对该地址进行user-agent校验

   • PC端UA时跳转到http://si.12333.gov.cn/

     

   • 移动端UA时跳转到 http://xxxx.huodhgo2.ink/h5/ 即钓鱼页面

     

4. 测试移动端跳转的页面即钓鱼页面

   1. 首页弹出通知需要点击”确定“才可以进行下一步操作

      

   2. 点击确定后会对个人信息进行索取

      

5. 自此，确定该邮件为钓鱼邮件

修复建议

防火墙针对huodhgo2.ink及huodhgo.ink域名及其解析IP地址进行封禁

---