一、基本情况

今天一早上班，打开电脑，邮件中又多了一封”退税补助“的欺诈邮件。进入4月份，类似的邮箱真的太多了，光是4月18日那天就连续收到7封，这些骗子真的是太猖狂了，平时一般都不看直接删除了。

今天抽点时间，来看看到底想干嘛？

我们先来看看这封邮件：

1、群发邮件，收件人看邮箱地址来自国内不同地区、不同行业的公司和机构。

2、邮件附带一个退税.png的图片，里面是二维码

3、邮件内容要求及时申报退税，同时还有一个错别字，“以”应该是“已”，说明对方用的是拼音输入法。看到这里，忍不住对“骗子”提出一点意见：做人要有良心，做事更要用心！

具体邮件内容如下图所示：

二、邮件头分析

我们先来看看，邮件来自哪里。从邮件属性可以看到，邮件服务器是：mail8.dkcqrjw.cn，IP位于香港地址是：115.126.67.83，发送邮箱是：butie@dkcqrjw.cn，具体如下表所示

从mail8我们可以大胆猜测是不是还有其他的mail1、mail2...，于是经过手动ping测试，发现竟然确实存在mail1到mail20共20个子域名，分别对应从115.126.67.76到115.126.67.95的IP地址，好富有。

dkcqrjw.cn域名经过查询，可以查到具体的注册人和QQ邮箱地址，如下图所示：

通过注册邮箱反查，发现其只有注册一个域名：

三、欺骗二维码图片分析

接下来，我们来看看欺骗二维码的情况。

打开图片文件，二维码如下所示，竟然还自带“国徽”，赤裸裸的伪造国家单位。

通过在线解析二维码，发现其指向的域名是：http://www.butie-users.cn，如下图所示：

于是，我们通过网络查询，发现butie-users.cn解析的IP地址是45.131.177.188，依然位于香港， IP地址的历史域名如下：

再次网络查询butie-users.cn域名的注册情况，如下图所示：

通过注册邮箱进行反查，发现注册了两个域名，还有一个是：mail-admin.cn，当前解析的IP是103.225.84.143，依然位于香港。

直接访问该域名，发现其是一个“OA邮箱实名备案系统”，猜测用于实施“备案”诈骗，获取用户邮箱地址和密码信息。

查看103.225.84.143IP绑定的历史域名情况，主要如下：

发现这些批量的域名都是2023年2、3月注册的，目的应该是用于批量邮件攻击行动，通过频繁换域名来规避查杀、实行新攻击行动，目前对其中的一些域名的注册信息查询，基本都是中文名字，注册的邮箱主要来自：gmail、qq等。比如下表是另一个域名：bt41y.cn的查询结果：

四、小结

综上分析，该行动属于"团伙"欺诈行动，主要是面向用户开展信息欺骗，骗取目标的个人信息，比如邮箱账户密码、身份信息等。因此，平时收到邮件信息一定要注意：

1、收件人是否为自己，常见群发、匿名攻击

2、发件人是否为熟人，沟通确认最安全

3、各种附件谨慎点，可执行文件最危险

4、输入身份信息前，切记要三思而行