快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

阿迪达斯69周年免费送2500双鞋?违后的真象事实是什么?

自今年年初以来,你可能在WhatsApp上收到过联系人向你发送的,关于阿迪达斯运动鞋免费送的活动新闻。

whatsapp-msg.jpg

据该新闻称,阿迪达斯为庆祝其69周年将为泛博损耗者免费提供2500双阿迪达斯运动鞋,并在最后附上了项目承诺链接。该链接咋一看像是官方的链接地址,但要是你子细观察你就会发现,其中adidas之中的“i”上少了一个点。这实际上是一种收集罪犯惯用的障眼法,通常被称为同形异义字钓鱼攻击。然而,此类攻击并不新鲜。在一些安全媒体以及博客上也早有报导,例如welivesecurity, thecomputerperson 以及 Doron Segal等。此外,该新闻的结构也不是新的,早在2016年就已经观察到了一些类似的活动。

阐发

当你点击WhatsApp新闻中的链接时,它会进行一些检查以确保要求是从诸如智能手机的挪移设备发出的。该检查主若是通过一些JavaScript代码,来对阅读器的window orientation属性和屏幕宽度进行判定完成的。要是检查失败,用户将被重定向到http://neuewfarben[.]com/404,404页面。反之,则网站将获取走访者IP地址的地理地位数据,并根据走访者地点的国家/区域将其重定向到不同的链接地址。下列是部分国家所对应的链接列表。

国家 实际链接 表示
挪威,瑞典 www.xn—addas-04a[.]de/no.html www.adıdas[.]de/no.html
巴基斯坦,尼日利亚,肯尼亚,澳门 www.sweetfinalz[.]com/ www.sweetfinalz[.]com
美国 www.xn—disneycruse-7zb[.]com www.disneycruıse[.]com
荷兰,比利时 www.xn—addas-o4a[.]de/nl.html www.adıdas[.]de/no.html
印度 www.xn—jetarways-ypb[.]com

www.jetaırways[.]com

从上面的列表可以看出,Adidas并不是此次钓鱼攻击活动中唯一的“诱饵”。

questions.jpg

接着,走访者将会看到有四个问卷调查的标题问题。无论受害者的谜底是什么,他们都会得到一个信息,说他们有资历免费获取到一双阿迪的运动鞋。唯一的请求就是,必须向WhatsApp上的同伙分享获奖新闻。

当受害者点击WhatsApp分享按钮时,就能从本人的联系人列表当选择更多的联系人,即便是他们选择关闭踩点,之后会被识别为分享有用,实际上,不论是否成功分享,只需用户返归页面就会被重定向到下一个阶段。下列是我们观察到的重定向链接:

http://www.xn--addas-o4a[.]de/final.html

http://track.voltrrk[.]com/0e548085-58e7-40e1-beba-b8940d6a8edc

http://redirect.dringston-enquency[.]com:80/redirect?target=BASE64aHR0cDovL3d3dy5wYWlyb2ZzY2paGUuY29tL2VuLmh0bWw&ts=1527005723770&hash=qcAp4Brw4y8SYgfUl1r_-pb4RQxIqqiFf6sLXB9OU4E&rm=D

http://www.pairofschuhe[.]com/en.html

pairofschuhe.jpg

这一阶段受害者需要归答几个问题,并且被告知他们必须在Facebook上分享广告。但无论受害者是否点击了分享按钮,都会获取到1美元领取鞋子的资历。点击“索赔1美元”的按钮,就会进入到该圈套的最后阶段。

http://www.pairofschuhe[.]com/go

http://track.voltrrk[.]com/c9d22249-b14d-4ddb-bc6c-59e43841cd0f

http://redirect.dringston-enquency[.]com:80/redirect?target=BASE64aHR0cHM6Ly90cmNrci5yb2Nrcy8_YT0yMTQ5JmM9MTI4NjMmczI9d1NSNUpJTUY1VEQ0OVAzRTFSQUpIOU5B&ts=1527011060929&hash=-eeKnNtq6vinT3e8YR39UXs0Fzna-Cp4z2lTlLFhuJU&rm=D

https://trckr[.]rocks/?a=2149&c=12863&s2=wSR5JIMF5TD49P3E1RAJH9NA

https://redirector[.]cc/go/5312?transaction_id=12750-197928458&pub_id=2149

https://promoztooffer[.]com/86088686/86088686_lp?lp_rid=5312&lp_sid=31&lp_did=6&lp_aid=28&forceLang=EN&a_p=33&transaction_id=12750-197928458&pub_id=2149&te=1527011136

在这一阶段将向受害者呈现最后一张表格,讯问受害者的联系方式。需要注意的是,在页脚我们能看到下列信息:

subscription2.png

一旦成功购买后,受害者将会订阅“organizejobs”服务,并以每一月49.99美元的金额,被收取所谓的高级账户使用费。

在下列截图中我们还可以看到,付款页面中也存在着诈骗以及误导。显示的是免费试用,但50美元每一月的价格看上去并不像是一份能免费的午餐。

payment.png

要是你再子细观察,你会看到另一个马脚。在最下面的支付处理提示信息中,我们可以看到一个网址organizejobs[.]net。这很希罕,因为该网站显著与制鞋公司无关。最重要的是,要是他们在七天后没有取销帐户,未来每一月将被扣取50美元的费用。

Punycode以及homoglyphs

在2003年,RFC 3492引入了Punycode(自RFC 5891更新以来); 一种在域名中编码非ASCII字符以支持国际化域名(IDN)的要领。这将允许在域名中使用所有的Unicode字符(要是顶级域名允许),本文中阿迪达斯就是一个典型的例子。下列是我们能够找到的该构造所使用的别的域(非完备):

Punycode编码 表示
xn—costo-7xa[.]com costċo[.]com
xn—superndo-xkb[.]com superındo[.]com
xn—disneycruse-7zb[.]com disneycruıse[.]com
xn—jetarways-ypb[.]com jetaırways[.]com
xn—bgbazaar-tkb[.]com bıgbazaar[.]com
xn—garuda-indonesa-llc[.]com garuda-indonesıa[.]com
xn—southwes-wyb[.]com southwesŧ[.]com
xn—mlka-lza[.]com mılka[.]com
xn—starucks-hpd[.]com starɓucks[.]com
xn—flysa-xcc[.]com flysaȧ[.]com
xn—costc-bec[.]com costcȯ[.]com
xn—sngaporeair-zzb[.]com sngaporeair[.]com
xn—alitala-wfb[.]com alitalıa[.]com
xn—harbo-p4a[.]com

harıbo[.]com

安全建议

实在这些网站除了网址可能会迷惑你之外,在别的方面可谓漏洞百出!下列是我的一些小我私人建议,或许能帮助你看破这类圈套:

在收到新闻后,讯问所显示的发件人是否确凿发送了这些新闻,因为新闻也多是在他们的手机上装置了恶意软件的情形下在当事人不知情的情形下发送;

在网上搜索报价,无线黑客,搜索官方是否发出遭遇攻击的新闻;

更换几个阅读器直接进入官网或者讯问官微查询是否有相干活动通知;

要是不能确定,不要点击任何链接,最佳删除包含这些链接的新闻。

此外,由于同形异义字攻击已经是一个已知的问题(请参阅Google Chrome中的IDN),因此在Web阅读器中也实施了一些缓解措施。Chrome以及Firefox试图通过检查其是否包含来自多个字母的字符,来猜测域名是否可能存在欺诈举动。Firefox允许用户来决定是否显示Punycode语法。总之只需人人多长点心眼,就完全有可能避免此类诈骗。

 *参考来源:welivesecurity, secist 编译,

您可能还会对下面的文章感兴趣: