Nya Candy

Nya Candy

aka. Nya Crypto FSD(Fish Stack Developer) working at @rss3 with friends, Cɾყρƚσ Adventurer. candinya.eth
misskey

解析(半)一场针对 ENS 持有者的钓鱼邮件攻击

起始#

邮箱里收到了一封奇怪的邮件,说我的 ENS candinya.eth 将在 24 小时内到期,威胁我说这将是我最后的续费机会,并留下了一个巨大的按钮提示我去点击来 “续费”。

image

但我觉得很奇怪 —— 这个 ENS 我注册的可不止一年,更何况我的日历上早就设置了续费提示,怎么可能会莫名其妙将要立刻到期?

分析#

当我看向发件人那一栏的时候,我确信了这是一封钓鱼邮件,发件者甚至懒得伪造一个类似 ens.domains 的域名,直接使用了 [email protected] 这个邮箱地址。

我检查了邮件原文,确认了该邮件是从 amenominakanushi.okuizumo.ne.jp (okuizumo.ne.jp [211.12.232.201]) 服务器发出,经过 DKIM/SPF 签名验证的邮件。如果它的签名不通过我的邮箱系统会自动将其拦截,但既然签名是有效的,应该就是该邮箱被攻击者滥用的结果了。

在将目光转移到下面大大的续费按钮之前,我们先来点开胃小菜 —— 看到底部那个 Unsubscribe from this email 的链接了吗,让我们猜猜它指向的是哪里?

image

https://google.com/unsubscribe

怎么说呢,一言难尽,反正我觉得挺好笑的。

但攻击者显然不希望我们 “退订” 这封邮件,它希望的是我们能点击那个大大的续费按钮,从而引导我们走进它精心布置的诈骗陷阱。那我们就顺顺它的心意,一起去看看它葫芦里卖的是什么药。

这个按钮本身没什么技巧,它就只是一个简单的有样式的 a 标签。它指向的链接就很有趣了 —— 一个由 bing.com 打头的重定向链接。使用正常域名进行跳转是一种非常常用的攻击手段,我们之前就解析过使用 youtube 登出跳转进行重定向到攻击网站的事件,所以我们只需要一点小小的技巧,就能拿到这个链接背后指向的网站。

image

也就是这里标出来的 archivodigital[dot]org/venezuela-centro-de-computacion-afoco-2003/

拿到域名之后自然首先是执行一番安全拷问。使用 whois 查询,可以看到这个域名是在 2020 年 12 月 14 日注册的,注册局是 NameSilo ,NS 解析服务商是 CloudFlare (又是经典的滥用 CF 来挡刀的行为)。

image

但使用 CF 并不代表万无一失,经常会遇到 nginx 服务器使用 CF 的证书,但没有阻断 443 的回落,导致第一个使用了 SSL 加密的站点的证书主机名泄露的情况出现。所以我们继续搜索这个根域名,可以看到找到了三个服务器:

image

嚯,居然还是俄罗斯的服务器。莫非这是遇到传说中的俄罗斯黑客了?不过应该没有弱智黑客傻到用自家的服务器吧,估摸着是栽赃用的了。

简单查看一下原始数据,不难发现确实就是这些偷鸡摸狗的小贼。一个很明显的特征就是它的默认页面是跳转向 ENS 错误页面的 302 重定向,但这个域名显然不可能是 ENS 旗下的工作域名。所以只有一种可能:那就是它们确实就是攻击者的服务器,并且为了防止无关人士进入(例如嗅探或是爬虫),特地设置了一道看似天衣无缝的门槛。

image

但我们可是有邀请函的呀(笑)。

打开一个安全的浏览器(最好用 Tor 这种,但不知道为什么今天我的 Tor 心情不太好,连接不上,就只好用一个隐私模式下的 FireFox 了),输入链接,回车!

然后…… 就被跳转到了上面的 ENS 主站,打开失败 🤡

试了几个浏览器都是这样,甚至直接点击邮件里原始引导的更新按钮也无效,全都跳回了 ENS 的原始页面,就好像这个邮件其实并不是攻击,而真的只是 ENS 的提示邮件一样。

我不知道为什么,但大受震撼。

复盘#

虽然没能挖出来更多东西,但这也可以算是一次难得的安全演练机会:如果下次攻击者没有跑路怎么办?如果攻击者伪装一下发件身份,或者刚好真的就卡着将要过期的时间点发送邮件又会如何?在涉及资金安全的问题上,再谨慎都不为过。

至于我的邮箱,因为这是我的公开邮箱,我估计是攻击者看到了我 ENS 上标注的 GitHub 账号,从那边获取的邮箱信息。在 ENS 官方设置的续费提示邮箱我使用的是另一个前缀,一方面方便区分来源是哪里可以分类放进邮箱文件夹整理,另一方面也是一种安全防范的小技巧。

当然最好的话,还是希望能不要收到诈骗邮件吧。虽然这种确实比那种一个二维码糊脸上的弱智钓鱼有趣多了。

(完)

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。