Nya Candy

Nya Candy

aka. Nya Crypto FSD(Fish Stack Developer) working at @rss3 with friends, Cɾყρƚσ Adventurer. candinya.eth
misskey
ホームアーカイブNFTs

解析(半)ENS所有者を対象としたフィッシングメール攻撃

#安全#ENS627
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
一封奇怪的邮件声称ENS域名将在24小时内到期,威胁点击续费按钮。发现是钓鱼邮件,链接指向诈骗网站。通过安全拷问发现攻击者服务器在俄罗斯。尝试打开链接失败,邮件可能只是ENS的提示邮件。提醒再接收类似邮件时要小心谨慎。

開始#

私は奇妙なメールを受け取りました。そのメールには、私の ENS candinya.eth が 24 時間以内に期限切れになると書かれており、これが最後の更新の機会であると脅迫され、私に「更新」を促す巨大なボタンが表示されています。

image

しかし、私は非常に奇妙に思いました - この ENS は 1 年以上前に登録したものであり、さらに私のカレンダーには更新のリマインダーが既に設定されていました。どうして突然期限が切れることになるのでしょうか?

分析#

差出人の欄を見ると、これはフィッシングメールであることが確信できました。送信者は ens.domains のようなドメインを偽造することさえ面倒くさがらず、直接 [email protected] というメールアドレスを使用しています。

メールの原文を確認し、このメールが amenominakanushi.okuizumo.ne.jp (okuizumo.ne.jp [211.12.232.201]) サーバーから送信され、DKIM/SPF 署名によって検証されたことを確認しました。署名が私のメールシステムで検証に通過しない場合、自動的にブロックされるはずですが、署名が有効であるため、おそらくこのメールアドレスが攻撃者に悪用された結果だと思われます。

下の巨大な更新ボタンに目を向ける前に、まずは前菜をいただきましょう - Unsubscribe from this email というリンクを見ましたか?このリンクがどこを指しているのかを推測してみましょう。

image

https://google.com/unsubscribe

まあ、言葉に詰まるというか、正直笑えます。

しかし、攻撃者は明らかに私たちにこのメールを「解除」させたくないのです。彼らは私たちがその巨大な更新ボタンをクリックすることを望んでおり、それによって彼らが用意した詐欺の罠に引き込まれることを期待しています。それでは、彼らの意図に従って、一緒に彼らが何を企んでいるのか見てみましょう。

このボタン自体には特にテクニックはありません。それは単純にスタイルが適用された a タグです。しかし、リンク先は非常に興味深いです - bing.com から始まるリダイレクトリンクです。正規のドメインを使用してリダイレクトすることは非常に一般的な攻撃手法です。以前にも、YouTube のログアウトリダイレクトを使用して攻撃サイトにリダイレクトする事件を解析したことがあります。したがって、少しのテクニックを使えば、このリンクの背後にあるウェブサイトを特定することができます。

image

つまり、ここで示されている archivodigital[dot]org/venezuela-centro-de-computacion-afoco-2003/ です。

ドメインを手に入れたら、まずはセキュリティ上の質問を行います。whois クエリを使用して、このドメインが 2020 年 12 月 14 日に登録され、登録局が NameSilo であり、NS 解決サービスプロバイダが CloudFlare であることがわかりました(また、古典的な CF の乱用を防ぐための行動です)。

image

ただし、CF を使用しているということは万全ではないことを意味します。よくあるのは、nginx サーバーが CF の証明書を使用しているが、443 のフォールバックをブロックしていないため、最初の SSL 暗号化されたサイトの証明書ホスト名が漏洩するという状況です。したがって、このルートドメインを検索し続けると、3 つのサーバーが見つかりました。

image

おっ、ロシアのサーバーですね。これはまさか伝説のロシアのハッカーに遭遇したのでしょうか?ただし、愚かなハッカーが自分のサーバーを使用することは考えにくいので、おそらく彼らが罪を着せるために使用していると思われます。

簡単に元のデータを確認すると、これらの泥棒の特徴が明らかになります。明らかな特徴の 1 つは、デフォルトのページが ENS のエラーページにリダイレクトされる 302 リダイレクトであることですが、このドメインは明らかに ENS の公式ドメインではありません。したがって、唯一の可能性は:それらが実際に攻撃者のサーバーであり、関係のない人々がアクセスできないようにするために(スニッフィングやクローラーなど)、見かけ上完璧なハードルを設定しているということです。

image

しかし、私たちは招待状を持っています(笑)。

安全なブラウザを開きます(Tor などのものが最適ですが、なぜか今日は私の Tor がうまくいかず、接続できないので、プライバシーモードの FireFox を使用するしかありません)。リンクを入力し、Enter キーを押します!

そして... 上記の ENS のメインサイトにリダイレクトされましたが、開けませんでした 🤡

いくつかのブラウザを試しましたが、すべて同じ結果でした。さらに、メール内の元の案内の更新ボタンを直接クリックしても効果がありませんでした。すべて ENS の元のページに戻ってしまいました。まるでこのメールが攻撃ではなく、本当に ENS の通知メールであるかのようです。

なぜかわかりませんが、非常に衝撃を受けました。

レビュー#

より多くの情報を見つけることはできませんでしたが、これは貴重なセキュリティ訓練の機会と言えるでしょう。次回、攻撃者が逃げなかった場合はどうすればよいでしょうか?攻撃者が送信者の身元を偽装したり、実際に期限切れの時間にメールを送信した場合はどうなるでしょうか?資金の安全に関わる問題では、いくら慎重にしても慎重すぎることはありません。

私のメールボックスについては、これは私の公開メールボックスですので、攻撃者が私の ENS に記載されている GitHub アカウントを見つけて、そこからメールアドレス情報を取得した可能性があります。ENS 公式の更新通知メールには別のプレフィックスを使用しています。これにより、どこからのメールかを区別し、メールを整理するためのフォルダに分類することができます。また、セキュリティ上の小技を使っています。

もちろん、最善の場合は、詐欺メールを受け取らないことを願っています。確かに、これは QR コードを顔に貼り付けるような愚かなフィッシングよりも面白いです。

(完)

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。