Несколько месяцев назад я получил от знакомого сообщение WhatsApp, содержащее ссылку. Не переходя по ссылке я решил ее проверить. Ссылка как была фишинговой и под видом итальянской железнодорожной компании Trenitalia, использовалась для обмана пользователей, заставляя их поверить, в то, что это новогодняя акция компании Trenitalia.
Еще по теме: Деанон пользователя VK с помощью фишинга
Анализ фишинговой ссылки WhatsApp
Вот вредоносная ссылка (измененная):
1 |
hxxps[://]trenitalia[.]it@tinyfy[.]cc/KTGWpRMW/?carta-regalo-viaggio-gratis-1-anno[.]html |
В превью ссылки указано новогоднее предложение от Trenitalia — бесплатный проезд на поезде в течение всего года.
Этот материал предназначен исключительно для образовательных целей и предназначен для обучения этичных хакеров и информирования пользователей. Важно отметить, что любой вид фишинга является противозаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за любые незаконные действия, совершенные на основе представленной информации.
Ссылку можно разделить на две части:
Первая ее часть, до символа @ ведет на:
1 |
https://trenitalia.it |
Вторая часть, после символа @:
1 |
tinyfy.cc/KTGWpRMW/?carta-regalo-viaggio-gratis-1-anno.html |
Первая часть — это официальный домен Trenitalia, вторая — вредоносный домен tinyfy.cc.
В начале проверим домен tinyfy.cc на сайте Virustotalк.
Без сомнения, этот домен вредоносный и размещен на CloudFlare.
CloudFlare скрывает IP-адрес сайта, но иногда можно узнать IP сайта через MX-запись. С этой задачей может помочь DNSDumpster, (мы о нем рассказывали в статье Инструменты для разведки DNS), но в моем случае это не дало результатов.
Вместо анализа вредоносного домена, попробуем понять методы используемый для создания фишинговой ссылки.
Обфускация урла
Мы привыкли видеть ссылки в следующем виде:
1 |
https://example.com/ |
Но RFC 3986 говорит, что даже ссылки следующего вида являются действительными:
1 |
https://example.com:443 |
1 |
https://_[thisisvalid]_@example.com |
RFC 3986 — это стандарт, который определяет универсальный способ обозначения и работу с идентификаторами ресурсов в сети, таких как URL. Он описывает синтаксис URI (Uniform Resource Identifier), который включает в себя такие элементы, как схема, хост, путь, параметры и фрагменты. В общем, RFC 3986 помогает обеспечить согласованный и единообразный подход к обозначению и доступу к ресурсам в Интернете.
Обфускация авторитета урла
URL Authority Obfuscation (обфускация авторитета URL) — это метод используется для скрытия или изменения ссылок таким образом, чтобы они казались более авторитетными или безопасными, чем они есть на самом деле.
Ниже мы структура URI.
URI (Uniform Resource Identifier) — это строка символов для идентификации ресурса в сети. Он представляет собой универсальный метод указания на какой-либо ресурс, например, веб-страницы, изображения или документа.
URI может содержать информацию о том, как получить ресурс (например, с использованием протокола HTTP или FTP), а также его местоположение или идентификатор. URI обычно состоит из схемы, хоста, пути и, возможно, других компонентов, таких как параметры запроса или фрагменты.
Злоумышлении могут обфусцировать различные компоненты в структуре URI, в данном случае это компонент авторитетности. Вот его структура:
1 |
[ userinfo "@" ] host [ ":" port ] |
Можно редактировать поля port, userinfo и host.
Обфускация tinyfy.cc с помощью userinfo
Этот компонент используется для аутентификации. Если для доступа к ресурсу, находящемуся по определенному адресу, требуются учетные данные, их можно указать в этом поле, и вход будет выполнен автоматически, например:
1 |
http://username:password@www.example.com/protected_path |
Мы передали имя пользователя и пароль в подкомпоненте userinfo. Если страница не требует аутентификации, подкомпонент userinfo будет проигнорирован как сервером, так и браузером.
Таким образом, в этой ссылке:
1 |
https://trenitalia.it@tinyfy.cc/KTGWpRMW/?carta-regalo-viaggio-gratis-1-anno.html |
trenitalia.it обрабатывается как userinfo, а ресурс, расположенный по адресу tinyfy.cc, не требует аутентификации, поэтому trenitalia.it будет проигнорирован.
В данном случае Firefox отображает диалоговое окно предупреждения для пользователя, как показано ниже.
Но многие другие браузеры, например Chrome, выполняют перенаправление на вредоносный сайт автоматически.
Таким образом, эта техника используется для обмана людей и кажется довольно эффективной.
Защита от фишинга в WhatsApp
Чтобы защититься от URL Authority Obfuscation и предотвратить попадание на вредоносные или обманные веб-ресурсы, следует придерживаться следующих мер безопасности:
- Внимательно проверяйте ссылки перед переходом.
- Многие антивирусные программы и браузерные расширения предоставляют сервисы для проверки ссылок. Это может помочь определить, является ли ссылка безопасной для открытия.
- Анализируйте доменные имена в ссылках. Подозрительные домены или неправильно написанные имена могут указывать на фишинг.
- Будьте осторожны с сокращенными ссылками, которые кажутся слишком привлекательными или авторитетными. Они могут быть созданы для фишинга.
- Никогда не вводите личные данные или конфиденциальную информацию на веб-страницах, к которым вы не уверены в подлинности.
Соблюдение этих мер поможет уменьшить риск попадания на веб-ресурсы, использующие URL Authority Obfuscation для обмана пользователей.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Методы социальной инженерии (онлайн и офлайн)
- Как хакеры создают и маскируют фишинговые ссылки
- Взлом PayPal с помощью фишинг-инструмента PyPhisher
- Использование фишингового HTML-файла в пентесте