文章总结： 本文拆解新型两步递进式钓鱼攻击，攻击者伪造安全邮件诱导用户点击链接，先窃取邮箱密码，再骗取手机验证码以突破双因素认证并盗刷资金。文章完整溯源并提供了发件人IP、恶意域名等关键IOC指标。建议立即将这些指标纳入拦截规则，切勿在陌生链接输入密码与验证码，若不慎泄露信息需迅速改密冻结账户。 综合评分： 84 文章分类： 威胁情报,漏洞预警,社会工程学,安全意识

【钓鱼预警】先偷邮箱密码再盗验证码，两步就掏空你的钱包

原创

深海捕鱼 深海捕鱼

DeepPhish

2026年3月27日 15:57 广东

偷邮箱密码+盗验证码，两步掏空钱包。

大家好，这里是DeepPhish✨，专注反钓鱼实战拆解与溯源分析，主打第一时间捕获新型钓鱼陷阱，精准拆解诈骗套路、汇总恶意IOC，帮大家守住钱袋子，避开所有网络钓鱼坑！

重点预警！近日我们刚捕获一起新型钓鱼攻击，套路比以往更阴狠、更隐蔽！不同于普通钓鱼，钓鱼网页还玩起“两步验证”套路——先骗你输邮箱账号密码，再无缝跳转到手机验证码验证，全程装成正规安全流程。结合最新附件截图实测，我们完整溯源出其发件人信息、恶意IP及全部诈骗链路，今天手把手拆解，教你精准避坑，建议直接收藏转发！

1、初始投递

这波钓鱼精准瞄准政务、企业办公人群，通过伪造的钓鱼邮件完成初始投递，结合附件截图中的邮件分析细节，完整还原投递链路。

划重点！本次捕获的钓鱼邮件，诈骗分子在2026年3月，精准投递该钓鱼邮件到目标邮箱，正文核心诱饵为“你的Email存在隐患，请按照以下要求验证”，主打“制造焦虑”，逼用户赶紧点击内嵌链接“完成验证”。

结合附件溯源数据，本次钓鱼邮件的核心发件人IP为27.25.71.63，归属地为中国湖北省荆门市中国电信，该IP被安全平台标记为恶意，关联傀儡机、垃圾邮件、网关等恶意特征，近90天活跃度较低。

此外，邮件还存在多处异常的恶意特征,Reply-To使用个人邮箱[email protected]；邮件头异常，X-mailer显示Foxmail客户端但版本号异常（6,13,102.15）。

DeepPhish实测提示：从截图细节可见，钓鱼邮件的话术与后续钓鱼网页话术高度统一，均强调“安全链接瞬达”“支持多类邮箱接入”，极易误导用户；且发件人IP、邮箱均存在明显异常，是识别该钓鱼邮件的核心突破口。

2、点击链接

用户被伪装及焦虑话术诱导，点击邮件内嵌恶意链接后，跳转的钓鱼网页与附件截图完全一致，其“两步验证”套路清晰，每一步都暗藏陷阱，全程伪装成正规安全验证流程，具体拆解如下：

第一步：邮箱验证，窃取账号密码

跳转后的初始页面标注“欢迎回来、立即登录、连接无界、邮通未来”等话术，与附件截图完全匹配，页面会自动填充部分邮箱账号（与真实收件人邮箱高度相似，仅细微篡改），下方设置密码输入框，同时标注“安全链接瞬达”“支持Outlook、Gmail、Yahoo、Foxmail、163及自建邮局等”，与钓鱼邮件话术呼应，强化官方假象。

用户输入邮箱密码后，页面会弹出加载提示：“正在验证中，请稍后，这大约可能需要3分钟”，附件截图显示，该提示页面标注了多个时间戳（01:06、02:34、02:45、02:55），刻意营造真实验证的假象；更具迷惑性的是，页面混杂着“dhonyouang”“What’s new in DevTools 146”等杂乱字符，用于混淆视觉、分散用户注意力，此时诈骗分子已悄悄窃取用户邮箱账号与密码。

第二步：手机号验证，窃取短信验证码

邮箱验证“加载”完成后，页面自动无缝跳转至“身份验证”界面，附件截图清晰显示，该界面明确提示“为了您的安全，请完成手机验证”，下方设置“手机号码”输入框（提示“请输入11位手机号”）、“验证码”输入框（提示“6位数字”），还有“验证”“提交验证”“获取验证码”按钮，同时增设模糊的“温馨提示”（核心为引导用户完成验证）。

用户此时已被“安全验证”的假象误导，误以为是邮箱平台的必要验证步骤，如实输入手机号并获取、填写短信验证码。而诈骗分子在获取验证码后，会立即利用此前窃取的邮箱账号密码，结合手机号与验证码，让双因素认证失效，劫持用户邮箱、甚至直接盗刷银行卡、支付平台，进而实施资金盗刷——这也是该钓鱼攻击的核心目的，通过“密码+验证码”双信息窃取，突破用户账号的安全防护。

3、相关IOC

DeepPhish对该钓鱼攻击开展全链路溯源分析，提取核心恶意IOC，所有指标均来自截图实测数据，包含发件人IP、发件人邮箱等关键信息，可直接用于日常钓鱼识别、邮件拦截，具体汇总如下：

1. 钓鱼邮件及发件人相关IOC

• 发件人邮箱：[email protected]；
• 发件人IP：27.25.71.63，归属地中国湖北省荆门市中国电信，标记为恶意、傀儡机、垃圾邮件、网关，曾被蜜罐捕获，近90天活跃度较低，关联254个恶意C段IP；
• Reply-To回复邮箱：[email protected]；
• 邮件风险评分：85分/100分，含典型钓鱼特征；
• 核心诱饵话术：Email存在隐患，需点击链接完成验证；支持多类邮箱接入、安全链接瞬达；
• 邮件异常特征：SPF验证失败、邮件路由异常、邮件头异常。

2. 恶意域名及解析IP相关IOC

恶意域名1：xnsshww.cn

• 解析信息：解析IP数2，子域名数1；
• 最近解析IP：206.119.101.120；
• 地理位置：中国香港，运营商/服务商为Nebula Global LLC；
• 关联域名：最近解析域名含www.tznehfr.cn、5549.tznehfr.cn等共计1000+个。

恶意域名2：dolhq.cn

• 注册/过期时间：2024年6月17日13:35:49注册，2026年6月17日13:35:49过期；
• 解析信息：解析IP数3，子域名数3；
• 最近解析IP：206.119.101.120（与xnsshww.cn一致，证实为同一黑产团伙操控）；
• 地理位置：中国香港，运营商/服务商为Nebula Global LLC；
• 关联域名：最近解析域名含www.tznehfr.cn、5549.tznehfr.cn等共计1000+个。

#

DeepPhish实操预警：发件人IP 27.25.71.63、发件人邮箱[email protected]及两个恶意域名，均为本次钓鱼攻击的核心恶意指标，企业及个人请立即将其纳入拦截规则，避免遭受攻击！

4、总结

结合实测，本次捕获的钓鱼攻击，核心特点是“两步递进式验证”，区别于常规一次性索要信息的钓鱼套路。

从溯源结果来看，该攻击由黑产团伙操控，依托中国香港境外服务器（IP：206.119.101.120）搭建恶意域名，两个核心恶意域名共用同一解析IP，关联千余个子域名，疑似存在大规模批量投放趋势；发件人IP 27.25.71.63为恶意傀儡机，攻击目标广泛，本次靶向政务、企业办公人群，目的明确——通过窃取“邮箱密码+手机验证码”，突破账号安全防护，实施资金盗刷。

针对性防护要点总结：

1. 警惕发件人IP异常：遇到发件IP为27.25.71.63（湖北荆门电信）、标记为恶意、傀儡机的邮件，立即删除，切勿点击任何链接；
2. 警惕“两步验证”钓鱼陷阱：凡是陌生链接要求先输账号密码、再输手机验证码的，一律判定为诈骗，正规平台不会通过陌生链接开展此类递进式验证；
3. 拒绝陌生邮箱验证：政务、企业邮箱的安全通知，均通过官方办公系统、官方APP推送，不会通过陌生邮件发送验证链接，切勿点击邮件内嵌链接；
4. 死守信息底线：不向陌生网页、陌生链接输入邮箱密码、手机号、短信验证码，尤其是短信验证码，作为账号安全的“最后一道防线”，绝不泄露；
5. 及时处置异常：若不慎点击钓鱼链接、泄露信息，立即修改所有相关账号密码（邮箱、支付平台、银行卡），冻结银行卡，第一时间报警止损；同时上报单位IT安全部门，助力拦截同类攻击；
6. 拦截恶意IOC：将发件人IP 27.25.71.63、发件人邮箱[email protected]，以及xnsshww.cn、dolhq.cn及解析IP 206.119.101.120纳入拦截规则，定期清理陌生邮件，减少钓鱼攻击风险。
7. 定期执行高仿真演练：向员工传递钓鱼预警情报，培养反钓鱼机械记忆。

DeepPhish持续捕获各类新型钓鱼样本，结合实测截图拆解诈骗套路、汇总恶意IOC，输出反钓鱼实战技巧，帮大家提升甄别能力，守住钱袋子！

关注DeepPhish，解锁更多反钓鱼干货，守护你的网络安全与财产安全不迷路～

相关模板已经更新到DeepPhish反钓鱼训练平台。

点赞、爱心、星标支持我们，在钓鱼中招前打一针疫苗！

• EML安全分析平台：deepphish.cn/eml

• 反钓鱼训练平台：deepphish.cn/apt

• 官微：Wh0ami1999

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：DeepPhish 深海捕鱼 深海捕鱼《【钓鱼预警】先偷邮箱密码再盗验证码，两步就掏空你的钱包》