開始#
私は奇妙なメールを受け取りました。そのメールには、私の ENS candinya.eth
が 24 時間以内に期限切れになると書かれており、これが最後の更新の機会であると脅迫され、私に「更新」を促す巨大なボタンが付いていました。
しかし、私は非常に奇妙に思いました - この ENS は 1 年以上前に登録したものであり、さらには私のカレンダーに更新のリマインダーも設定していました。どうして突然期限切れになるのでしょうか?
分析#
差出人の欄を見ると、これはフィッシングメールであることが確信できました。送信者は ens.domains
のようなドメインを偽造することさえ面倒くさがらず、直接 [email protected]
というメールアドレスを使用していました。
メールの原文を確認し、このメールが amenominakanushi.okuizumo.ne.jp (okuizumo.ne.jp [211.12.232.201])
サーバーから送信され、DKIM/SPF 署名の検証を経ていることを確認しました。署名が私のメールシステムで通過しない場合は自動的にブロックされるはずですが、署名が有効であるため、このメールアドレスが攻撃者によって悪用された結果である可能性があります。
下の巨大な更新ボタンに目を向ける前に、まずは前菜を楽しんでみましょう - Unsubscribe from this email
のリンクを見つけましたか?それがどこを指しているのか推測してみましょう。
https://google.com/unsubscribe
まあ、言葉に詰まるというか、私はそれを面白いと思いました。
しかし、攻撃者は明らかに私たちにこのメールを「解除」させたくないのです。彼らは私たちがその巨大な更新ボタンをクリックすることを望んでおり、それによって彼らが用意した詐欺の罠に引き込まれることを望んでいます。それでは、彼らの意図に従って、一緒に彼らが何を企んでいるのか見てみましょう。
このボタン自体には特にテクニックはありません。それは単純にスタイルが付いた a タグです。しかし、リンク先は非常に興味深いです -bing.com
から始まるリダイレクトリンクです。正規のドメインを使用してリダイレクトすることは非常に一般的な攻撃手法です。以前にも、YouTube のログアウトリダイレクトを使用して攻撃サイトにリダイレクトする事件を解析したことがあります。したがって、わずかなテクニックを使えば、このリンクの背後にあるウェブサイトを特定することができます。
つまり、ここで示されている archivodigital[dot]org/venezuela-centro-de-computacion-afoco-2003/
です。
ドメインを手に入れたら、まずはセキュリティ上の質問を行います。whois クエリを使用して、このドメインが 2020 年 12 月 14 日に登録され、登録業者は NameSilo であり、NS 解決サービスプロバイダは CloudFlare であることがわかります(また、典型的な CF の乱用行為です)。
ただし、CF を使用しているということは万全ではないことを意味します。よくあるのは、nginx サーバーが CF の証明書を使用しているが、443 のフォールバックをブロックしていないため、最初の SSL 暗号化されたサイトの証明書のホスト名が漏洩するという状況です。そのため、このルートドメインを検索し続けると、3 つのサーバーが見つかります。
おっ、ロシアのサーバーですね。これはまさか伝説のロシアのハッカーに遭遇したのでしょうか?ただし、愚かなハッカーが自分自身のサーバーを使用するほど愚かではないと思われます。おそらく、彼らは自分自身を非難するために使用しているのでしょう。
簡単に原始データを確認すると、これらの泥棒の特徴が明らかになります。明らかな特徴の 1 つは、デフォルトのページが ENS のエラーページにリダイレクトする 302 リダイレクトであることですが、このドメインは明らかに ENS の公式ドメインではありません。したがって、唯一の可能性は:それらは実際に攻撃者のサーバーであり、関係のない人々がアクセスできないようにするために(スニッフィングやクローラーなど)、見かけによらず完璧な門を設けているということです。
しかし、私たちは招待状を持っています(笑)。
安全なブラウザを開きます(Tor などが最適ですが、なぜか今日の私の Tor は調子が悪く、接続できないので、プライバシーモードの FireFox を使用するしかありません)。リンクを入力し、Enter キーを押します!
そして... 上記の ENS のメインサイトにリダイレクトされ、開けませんでした 🤡
いくつかのブラウザを試しましたが、すべて同じ結果でした。メール内の元の案内の更新ボタンを直接クリックしても効果がありませんでした。すべて ENS の元のページに戻ってしまいました。まるでこのメールが攻撃ではなく、本当に ENS の通知メールであるかのようです。
なぜかわかりませんが、非常に驚きました。
レビュー#
より多くの情報を見つけることはできませんでしたが、これは貴重なセキュリティ演習の機会と言えるでしょう:次回、攻撃者が逃げない場合はどうすればよいでしょうか?攻撃者が送信者の身元を偽装したり、実際に期限切れの時間にメールを送信した場合はどうでしょうか?資金の安全に関わる問題では、いくら慎重にしても慎重すぎることはありません。
私のメールボックスについては、これは私の公開メールボックスですので、攻撃者が私の ENS に記載されている GitHub アカウントを見て、そこからメールアドレス情報を取得した可能性があります。ENS 公式の更新通知メールには別の接頭辞を使用しています。一方、ソースがどこから来たのかを区別し、メールを整理するためのフォルダに分類するためのセキュリティ対策の小技です。
もちろん、最良の場合は、フィッシングメールを受け取らないことを望みます。確かに、QR コードを顔に貼り付けるような愚かなフィッシングよりも面白いです。
(完)