Troy Hunt：一个狡猾的网络钓鱼攻击窃取了我的 Mailchimp 邮件列表

Troy Hunt – A Sneaky Phish Just Grabbed My Mailchimp Mailing List

Source | HN Comments

文章讲述了作者遭遇的网络钓鱼攻击事件。攻击者通过伪装成 Mailchimp 的钓鱼邮件窃取了作者的凭据，登录其账户并导出了邮件列表。作者在疲惫状态下点击了钓鱼链接，输入了凭据，但未注意到 1Password 未自动填充。攻击者迅速导出列表，包含约 16,000 条记录。作者已更改密码并通知订阅者，并对自己的疏忽表示歉意。文章还分析了攻击成功的原因，包括疲劳和精心设计的钓鱼邮件。

Mastodon

Sponsored by: I'm unsponsored today, click to learn more

一个狡猾的网络钓鱼攻击窃取了我的 Mailchimp 邮件列表

2025年3月25日

你知道那种非常疲惫，大脑运转迟缓的感觉吗？我现在就是这样，我刚刚意识到一个 Mailchimp 网络钓鱼攻击窃取了我的凭据，登录了我的帐户，并导出了这个博客的邮件列表。我特意保持这篇文章的简洁，以确保尽快将消息发送给受影响的订阅者，然后我将更新这篇文章，提供更多详细信息。但简单来说，今天早上我在伦敦醒来时，看到了以下内容：

我点击了 mailchimp-sso.com 上的链接，并输入了我的凭据，但 - 至关重要的是 - 1Password 没有自动填充。然后我输入了 OTP，页面卡住了。片刻之后，我意识到了问题，并登录了官方网站。Mailchimp 通过一封通知邮件确认了这一点，邮件中显示了我的伦敦 IP 地址：

我立即更改了密码，但在我收到关于我的邮件列表从纽约的 IP 地址导出的警报之前：

并且，在此之后不久，收到了来自同一 IP 的登录警报：

这显然是高度自动化的，旨在在受害者采取预防措施之前立即导出列表。

该导出包含大约 16k 条记录，其中包含 Mailchimp 自动收集的信息，其格式如下：

[redacted]@gmail.com,Weekly,https://www.troyhunt.com/i-now-own-the-coinhive-domain-heres-how-im-fighting-cryptojacking-and-doing-good-things-with-content-security-policies/#subscribe,2,"2024-04-13 22:03:08",160.154.[redacted].[redacted],"2024-04-13 22:00:50",160.154.[redacted].[redacted],5.[redacted lat],'-4.[redacted long],0,0,Africa/Abidjan,CI,AB,"2024-04-13 22:03:08",130912487,3452386287,,

由于这篇文章的发布，我的列表中的每个活动订阅者都将很快收到电子邮件通知。不幸的是，导出还包括已取消订阅的人（为什么 Mailchimp 会保留这些？！），所以我需要弄清楚如何单独处理这些人。我已经联系了 Mailchimp，但尚未收到回复。我将在收到更多信息后更新这篇文章。

我对自己中招感到非常沮丧，并向该列表中的任何人道歉。显然，请注意垃圾邮件或进一步的网络钓鱼攻击，并返回此处或通过导航栏中的社交渠道查看更多信息。具有讽刺意味的是，我目前在伦敦拜访政府合作伙伴，昨天我花了几个小时与 National Cyber Security Centre 讨论如何更好地推广 passkey，部分原因是它们具有防网络钓鱼的特性。🤦‍♂️

稍后更新，我在收到第一封电子邮件的时间戳后 34 分钟点击了发布按钮。

首次发布后的更多内容

每周一早上，当我在家时，我都会去广播电台做一个关于诈骗的节目。这是一个面向消费者的节目，所以我们是在和“普通人”对话。每当有人打电话进来，谈论自己被骗的经历时，他们的感受都是一样的：“我感觉自己太蠢了”。朋友们，我现在就是这种感觉。除了承认自己的愚蠢之外，让我继续说一些想法：

首先，我之前已经收到过无数类似的钓鱼邮件，而且我都能很快识别出来，那么这次有什么不同呢？疲劳是一个主要因素。我不够警惕，也没有好好考虑我正在做的事情。攻击者无法知道这一点（我没有任何理由怀疑这是专门针对我的），但我们都有软弱的时刻，如果钓鱼邮件的时间与这个时刻完美地吻合，那么，结果就是现在这样。

其次，现在再读一遍，这是一个非常精心设计的钓鱼邮件。它通过社会工程让我相信我无法发送我的时事通讯，因此它引发了“恐惧”，但它并没有大肆宣传，说如果我不立即采取行动，就会发生可怕的事情。它制造了恰到好处的紧迫感，但又没有太过分。

第三，应该能救我的就是凭证没有从 1Password 中自动填充，那么我为什么没有在那里停止呢？因为这很常见。有很多服务，你是在一个域名上注册的（并且该地址存储在 1Password 中），然后你 合法地 登录到另一个域名。例如，这是我的 Qantas 条目：

现在的最后一个想法更多的是对 Mailchimp 没有自动删除取消订阅人员的数据感到沮丧。该列表上有 7,535 个电子邮件地址，几乎占导出中所有地址的一半。我需要查看帐户设置，看看这是否只是我没有切换的设置，或者其他类似的东西，但包含这些地址显然是完全没有必要的。我也不知道为什么会捕获 IP 地址，或者经纬度是如何计算出来的，但考虑到我从未见过访问 GPS 的提示，我认为它可能是从 IP 推导出来的。

我将在这里暂停一下，并在今天晚些时候进行更深入的技术探讨，以解决我上面提出的一些问题。

技术细节

我将一点一点地继续写这部分，从创建的 API 密钥开始：

现在已经删除了这个密钥，所以除了滚动密码之外，应该不再有对帐户的持久访问。

Tweet Post Update Email RSS