Как хакеры создают и маскируют фишинговые ссылки

Маскировка ссылок фишинг

Мы уже рассказывали про использование фишинговой рассылки в пентесте. Сегодня продолжим тему фишинга и поговорим про маскировку фишинговых ссылок.

Еще по теме: Вирус через электронную почту

Маскировка ссылок в фишинге

В статье рас­смот­рим, как кибер­прес­тупни­ки умуд­ряют­ся исполь­зовать сайты archive.org, evernote.com, bing.com, microsoft.com, adobe.com и дру­гие трас­товые домены для того, что­бы обма­нуть довер­чивых поль­зовате­лей.

Статья в образовательных целях, для обучения пентестеров (этичных хакеров) и осведомления системных администраторов и безопасников. Несанкционированное использование фишинговых ссылок является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.

Ес­ли эту статью чита­ют спе­циалис­ты по информа­цион­ной безопас­ности, рекомен­дую им про­верить, как на подоб­ные ссыл­ки будут реаги­ровать поль­зовате­ли. Ведь обыч­но их учат раз­личать подоз­ритель­ную ссыл­ку в пись­ме, но мало кто про­веря­ет, на каком имен­но сай­те его про­сят ввес­ти свои учет­ные дан­ные пос­ле перехо­да. По этой же при­чине статья будет полез­на и пен­тесте­рам. Ведь это удоб­но: не нуж­но регис­три­ровать домен 0utl00k.com, если вмес­то него мож­но исполь­зовать под­домен на офи­циаль­ном outlook.com.

В статье приводятся ссылки на мошеннические ресурсы. Если вздумаете переходить по ссылкам, то, ни в коем случае, не вводите личные данные!

Сервисы для шеринга файлов

Нач­нем с фишин­говой ссыл­ки, нацелен­ной на кра­жу учет­ных дан­ных от Outlook, c легитим­ным под­доменом indd.adobe.com:

Про­токол HTTPS во всех ссыл­ках намерен­но заменен несущес­тву­ющим XTTPS.

При перехо­де по ссыл­ке мы сна­чала попада­ем на стра­ницу‑прок­ладку.

Сервисы для шеринга файлов

Есть и дру­гой вари­ант.

Сервисы для шеринга файлов

Пос­ле нажатия на кноп­ку нас про­веря­ют с исполь­зовани­ем Cloudflare.

Сервисы для шеринга файлов

И лишь пос­ле это­го мы попада­ем на клас­сичес­кую фишин­говую фор­му.

Ссылки фишинг

Сле­дующий вари­ант мошен­ничес­кого сооб­щения исполь­зует легитим­ный сер­вис для отправ­ки вло­жений в виде ссыл­ки.

Жер­тва получа­ет подоб­ную ссыл­ку:

При перехо­де по ней авто­мати­чес­ки заг­ружа­ется HTML-файл вот такого содер­жания (см. Использование фишингового HTML-фай­ла в пентесте).

Фишинг ссылки

Рекламные сети

А вот ссыл­ка, соз­данная с помощью рек­ламно­го сер­виса Google. Всю ссыл­ку копиро­вать не буду, она очень длин­ная, но ее смысл будет понятен, если вни­матель­но пос­мотреть и на сок­ращен­ный вари­ант:

как сделать фишинг ссылку

Пос­ле перехо­да по ссыл­ке нас так­же про­веря­ют на бота с исполь­зовани­ем Cloudflare, затем выпол­няет­ся перенаправление на фишин­говую фор­му Microsoft.

Сервисы опросов

В сле­дующем слу­чае Microsoft сам помога­ет «сфи­шить» акка­унт от сво­его же сер­виса. Поль­зовате­лю отправ­ляют ссыл­ку на сер­вис для про­веде­ния опро­сов Dynamic 365 Customer Voice:

Пос­ле перехо­да по ссыл­ке попада­ем на стра­ницу сер­виса.

Фишинг ссылка онлайн

На этой стра­нице мы видим дру­гую ссыл­ку, ведущую на про­вер­ку в исполне­нии Cloudflare. И вот уже перед нами фишин­говая фор­ма в сти­ле Microsoft.

Фишинг сайты ссылка

Та­кая ата­ка впер­вые зас­ветилась в августе 2022 года, но этот спо­соб фишин­га про­дол­жают экс­плу­ати­ровать и в 2024.

Веб-приложение

Мы уже рас­смат­ривали, на каких доменах могут раз­мещать­ся вре­донос­ные ресур­сы, поэто­му под­домена­ми на легитим­ных сай­тах нас уже не уди­вить. Но мимо фишин­гового сай­та, ими­тиру­юще­го исконно рос­сий­ский сер­вис, я прой­ти не смог:

Фишинг через ссылку

В дан­ном слу­чае зло­умыш­ленник исполь­зовал сер­вис для соз­дания веб‑при­ложе­ний, что­бы раз­местить свою вре­донос­ную наг­рузку для всех жела­ющих потерять учет­ку на сай­те mail.ru.

Поисковые системы

А вот так исполь­зуют Bing для обхо­да пер­вичных филь­тров меж­сетево­го экра­на (конеч­но, если bing.com не занесен у вас в чер­ный спи­сок):

Пе­рехо­дим по ссыл­ке и попада­ем на фишин­говый ресурс.

Создание фишинг ссылки

AMP-страницы

В сле­дующем при­мере тех­нология AMP от Google помога­ет зло­умыш­ленни­ку закеши­ровать свою стра­ницу, а потом рас­сылать фишин­говую ссыл­ку ничего не подоз­рева­ющим поль­зовате­лям:

Создать фишинг ссылку онлайн

Че­рез редирект ссыл­ка ведет на фишин­говую стра­ницу Outlook.

Почтовые сервисы

Ссыл­ка слиш­ком длин­ная, я опуб­ликую лишь ее часть, но оче­вид­но, что Outlook спо­собс­тву­ет рас­простра­нению фишин­га, оставляя воз­можность подоб­ных редирек­тов:

У поль­зовате­лей Office 365 подоз­ритель­ные ссыл­ки в элек­трон­ных пись­мах заменя­ются ссыл­ками вида:

То, что нуж­но для зло­умыш­ленни­ка, что­бы отпра­вить себе ссыл­ку! Outlook ее замас­киру­ет под легитим­ную, и пос­ле это­го ее мож­но выс­лать жер­тве.

В пред­став­ленном при­мере инте­рес­но то, что пос­ле нес­коль­ких редирек­тов мы попада­ем на фор­му авто­риза­ции яко­бы от Microsoft c пред­запол­ненным адре­сом robin_kiziak@vfc.com.

Как делать фишинг ссылки

Од­нако пос­ле это­го нас пере­адре­совы­вает на фор­му уже с логоти­пом ком­пании жер­твы.

Фишинг ссылка сделать онлайн

Скрипт зло­умыш­ленни­ка чека­ет при­над­лежность поч­ты robin_kiziak@vfc.com к сер­висам Microsoft и в слу­чае успе­ха под­качива­ет логотип ата­куемой ком­пании для боль­шей прав­доподоб­ности. Наде­юсь, Робин не попал­ся на фишинг, а мы дви­гаем­ся даль­ше.

Сервисы для совместной работы

Вот таким докумен­том поделил­ся хакер с довер­чивыми поль­зовате­лями:

Готовые фишинг ссылки

От­крыв ссыл­ку в докумен­те, мы попада­ем на уже при­выч­ную фишин­говую фор­му в сти­лис­тике Microsoft.

Сервисы для визуализации данных

Здесь зло­умыш­ленник исполь­зовал сер­вис Looker Studio от Google:

Фишинг ссылка скопировать

По ссыл­ке мы сно­ва попада­ем на фор­му яко­бы от кор­порации Microsoft, толь­ко теперь зло­умыш­ленник был ленивый и не вста­вил прок­ладку в виде Cloudflare.

Сервисы для заметок

Вот так Evernote помога­ет соз­дать ссыл­ку на любой интернет‑ресурс — разуме­ется, и на фишин­говый тоже:

Фишинг ссылка Evernote

По­пада­ем на легитим­ную стра­ницу‑прок­ладку, которая содер­жит ссыл­ку на фишин­говый сайт.

Internet Archive

Сле­дующий при­мер фишин­га исполь­зует в сво­их ковар­ных целях популяр­ный сер­вис Internet Archive:

Фишинг ссылка Internet Archive

Напоследок

Не рек­ламы ради, а для прос­вещения — тысячи дру­гих при­меров фишин­га (и не толь­ко) вы можете най­ти в инте­рак­тивной служ­бе поис­ка вре­донос­ных прог­рамм https://any.run.

Пример фишинг ссылки

Бес­плат­ной вер­сии впол­не дос­таточ­но, что­бы, помимо фишин­говых сай­тов, отыс­кать и ска­чать пос­леднюю вер­сию экзо­тичес­кого шиф­роваль­щика или изу­чить, какие учеб­ные ата­ки про­водят безопас­ники в рам­ках мероп­риятий по повыше­нию осве­дом­леннос­ти.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий