Мы уже рассказывали про использование фишинговой рассылки в пентесте. Сегодня продолжим тему фишинга и поговорим про маскировку фишинговых ссылок.
Еще по теме: Вирус через электронную почту
Маскировка ссылок в фишинге
В статье рассмотрим, как киберпреступники умудряются использовать сайты archive.org, evernote.com, bing.com, microsoft.com, adobe.com и другие трастовые домены для того, чтобы обмануть доверчивых пользователей.
Статья в образовательных целях, для обучения пентестеров (этичных хакеров) и осведомления системных администраторов и безопасников. Несанкционированное использование фишинговых ссылок является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.
Если эту статью читают специалисты по информационной безопасности, рекомендую им проверить, как на подобные ссылки будут реагировать пользователи. Ведь обычно их учат различать подозрительную ссылку в письме, но мало кто проверяет, на каком именно сайте его просят ввести свои учетные данные после перехода. По этой же причине статья будет полезна и пентестерам. Ведь это удобно: не нужно регистрировать домен 0utl00k.com, если вместо него можно использовать поддомен на официальном outlook.com.
В статье приводятся ссылки на мошеннические ресурсы. Если вздумаете переходить по ссылкам, то, ни в коем случае, не вводите личные данные!
Сервисы для шеринга файлов
Начнем с фишинговой ссылки, нацеленной на кражу учетных данных от Outlook, c легитимным поддоменом indd.adobe.com:
1 |
хttps://indd.adobe.com/view/f894dec3-4cc0-4077-954c-d72b229dfc54 |
Протокол HTTPS во всех ссылках намеренно заменен несуществующим XTTPS.
При переходе по ссылке мы сначала попадаем на страницу‑прокладку.
Есть и другой вариант.
После нажатия на кнопку нас проверяют с использованием Cloudflare.
И лишь после этого мы попадаем на классическую фишинговую форму.
Следующий вариант мошеннического сообщения использует легитимный сервис для отправки вложений в виде ссылки.
Жертва получает подобную ссылку:
1 |
xttps://docsend.com/view/z4zk3d6c8wsnyppt |
При переходе по ней автоматически загружается HTML-файл вот такого содержания (см. Использование фишингового HTML-файла в пентесте).
Рекламные сети
А вот ссылка, созданная с помощью рекламного сервиса Google. Всю ссылку копировать не буду, она очень длинная, но ее смысл будет понятен, если внимательно посмотреть и на сокращенный вариант:
1 |
https://googleads.g.doubleclick.net/dbm/clk?sa=L&ai=CCsUXxuNtZbXQGI-Q7gPhv6PQCqO55c50zMHcpYwQr4G649cCEAEgjr2eHGCVgoCAmAegAayyj6AByAEJqAMByAObBKoEhg... |
После перехода по ссылке нас также проверяют на бота с использованием Cloudflare, затем выполняется перенаправление на фишинговую форму Microsoft.
Сервисы опросов
В следующем случае Microsoft сам помогает «сфишить» аккаунт от своего же сервиса. Пользователю отправляют ссылку на сервис для проведения опросов Dynamic 365 Customer Voice:
1 |
xttps://ncv.microsoft.com/Xd4E8g0inD |
После перехода по ссылке попадаем на страницу сервиса.
На этой странице мы видим другую ссылку, ведущую на проверку в исполнении Cloudflare. И вот уже перед нами фишинговая форма в стиле Microsoft.
Такая атака впервые засветилась в августе 2022 года, но этот способ фишинга продолжают эксплуатировать и в 2024.
Веб-приложение
Мы уже рассматривали, на каких доменах могут размещаться вредоносные ресурсы, поэтому поддоменами на легитимных сайтах нас уже не удивить. Но мимо фишингового сайта, имитирующего исконно российский сервис, я пройти не смог:
1 |
xttps://glen-sulky-angora.glitch.me/ |
В данном случае злоумышленник использовал сервис для создания веб‑приложений, чтобы разместить свою вредоносную нагрузку для всех желающих потерять учетку на сайте mail.ru.
Поисковые системы
А вот так используют Bing для обхода первичных фильтров межсетевого экрана (конечно, если bing.com не занесен у вас в черный список):
1 |
xttps://www.bing.com/ck/a?!&&p=eaab4245dac9a54dJmltdHM9MTcwMTk5MzYwMCZpZ3VpZD0xMmIyMDE0YS1lOTQyLTZhZjItMGI0YS0xMmFiZTg4ODZiOTUmaW5zaWQ9NTEzNQ&ptn=3&ver=2&hsh=3&fclid=12b2014a-e942-6af2-0b4a-12abe8886b95&u=a1aHR0cDovL2ZyZWVkb21zcGVha3NjYXJlLmNvbS9yZWdpc3RyYXRpb24v#evil@hacker.com |
Переходим по ссылке и попадаем на фишинговый ресурс.
AMP-страницы
В следующем примере технология AMP от Google помогает злоумышленнику закешировать свою страницу, а потом рассылать фишинговую ссылку ничего не подозревающим пользователям:
1 |
xttps://www.google.com/amp/s/pub-2cccc10251dd4525b4619dce6ade915b.r2.dev/owatelegram.html#aXJpcy5uZXVzc25lckB3aW5rbGVyc2NodWxiZWRhcmYuY29t |
Через редирект ссылка ведет на фишинговую страницу Outlook.
Почтовые сервисы
Ссылка слишком длинная, я опубликую лишь ее часть, но очевидно, что Outlook способствует распространению фишинга, оставляя возможность подобных редиректов:
1 |
xttps://nam02.safelinks.protection.outlook.com/?url=https%3A%2F%2Fp.feedblitz.com%2Ft3.asp%3F%2F1081591%2F102442729%2F7821567_%2F~feeds.feedblitz.com%2F~%2Ft%2F0%2F0%2Fsethsblog%2Fposts%2F~%2F%2Fr20.rs6.net%2Ftn.jsp%3Ff%3D001vFHMoPyMo0WrLNfpX5KrbtnufSjk2FOwtHR22KMN3Rk2jm9egqQ... |
У пользователей Office 365 подозрительные ссылки в электронных письмах заменяются ссылками вида:
1 |
https://*.safelinks.protection.outlook.com/*: |
То, что нужно для злоумышленника, чтобы отправить себе ссылку! Outlook ее замаскирует под легитимную, и после этого ее можно выслать жертве.
В представленном примере интересно то, что после нескольких редиректов мы попадаем на форму авторизации якобы от Microsoft c предзаполненным адресом robin_kiziak@vfc.com.
Однако после этого нас переадресовывает на форму уже с логотипом компании жертвы.
Скрипт злоумышленника чекает принадлежность почты robin_kiziak@vfc.com к сервисам Microsoft и в случае успеха подкачивает логотип атакуемой компании для большей правдоподобности. Надеюсь, Робин не попался на фишинг, а мы двигаемся дальше.
Сервисы для совместной работы
Вот таким документом поделился хакер с доверчивыми пользователями:
1 |
xttps://share.nuclino.com/p/Hangar-38-NQPTdHWF_sOk8OLF47mDEm |
Открыв ссылку в документе, мы попадаем на уже привычную фишинговую форму в стилистике Microsoft.
Сервисы для визуализации данных
Здесь злоумышленник использовал сервис Looker Studio от Google:
1 |
xttps://lookerstudio.google.com/s/inARhcBTd642 |
По ссылке мы снова попадаем на форму якобы от корпорации Microsoft, только теперь злоумышленник был ленивый и не вставил прокладку в виде Cloudflare.
Сервисы для заметок
Вот так Evernote помогает создать ссылку на любой интернет‑ресурс — разумеется, и на фишинговый тоже:
1 |
xttps://www.evernote.com/shard/s429/client/snv?isnewsnv=true¬eGuid=edcd788b-1388-90b4-3dbe-6a4c1d0839fc¬eKey=2C0bc4FotYyqz224bXZZxtFnmB8_uLv4JKgimuZDrpC4ldrauOW4KhjldQ&sn=https%3A%2F%2Fwww.evernote.com%2Fshard%2Fs429%2Fsh%2Fedcd788b-1388-90b4-3dbe-6a4c1d0839fc%2F2C0bc4FotYyqz224bXZZxtFnmB8_uLv4JKgimuZDrpC4ldrauOW4KhjldQ&title=Sylvie%2BDUPONT%2Ba%2Bpartag%25C3%25A9%2Bun%2Bdocument%2Bvia%2BOneDrive |
Попадаем на легитимную страницу‑прокладку, которая содержит ссылку на фишинговый сайт.
Internet Archive
Следующий пример фишинга использует в своих коварных целях популярный сервис Internet Archive:
1 |
xttps://ia601207.us.archive.org/17/items/Lnkdsof/Lnkdsof.shtml |
Напоследок
Не рекламы ради, а для просвещения — тысячи других примеров фишинга (и не только) вы можете найти в интерактивной службе поиска вредоносных программ https://any.run.
Бесплатной версии вполне достаточно, чтобы, помимо фишинговых сайтов, отыскать и скачать последнюю версию экзотического шифровальщика или изучить, какие учебные атаки проводят безопасники в рамках мероприятий по повышению осведомленности.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Деанон пользователя VK с помощью фишинга
- Использование фишингового HTML-файла в пентесте
- Взлом через QR-код с помощью Gophish Telegram и ChatGPT