起始#
邮箱里收到了一封奇怪的邮件,说我的 ENS candinya.eth 将在 24 小时内到期,威胁我说这将是我最后的续费机会,并留下了一个巨大的按钮提示我去点击来 “续费”。
但我觉得很奇怪 —— 这个 ENS 我注册的可不止一年,更何况我的日历上早就设置了续费提示,怎么可能会莫名其妙将要立刻到期?
分析#
当我看向发件人那一栏的时候,我确信了这是一封钓鱼邮件,发件者甚至懒得伪造一个类似 ens.domains 的域名,直接使用了 [email protected] 这个邮箱地址。
我检查了邮件原文,确认了该邮件是从 amenominakanushi.okuizumo.ne.jp (okuizumo.ne.jp [211.12.232.201]) 服务器发出,经过 DKIM/SPF 签名验证的邮件。如果它的签名不通过我的邮箱系统会自动将其拦截,但既然签名是有效的,应该就是该邮箱被攻击者滥用的结果了。
在将目光转移到下面大大的续费按钮之前,我们先来点开胃小菜 —— 看到底部那个 Unsubscribe from this email 的链接了吗,让我们猜猜它指向的是哪里?
https://google.com/unsubscribe
怎么说呢,一言难尽,反正我觉得挺好笑的。
但攻击者显然不希望我们 “退订” 这封邮件,它希望的是我们能点击那个大大的续费按钮,从而引导我们走进它精心布置的诈骗陷阱。那我们就顺顺它的心意,一起去看看它葫芦里卖的是什么药。
这个按钮本身没什么技巧,它就只是一个简单的有样式的 a 标签。它指向的链接就很有趣了 —— 一个由 bing.com 打头的重定向链接。使用正常域名进行跳转是一种非常常用的攻击手段,我们之前就解析过使用 youtube 登出跳转进行重定向到攻击网站的事件,所以我们只需要一点小小的技巧,就能拿到这个链接背后指向的网站。
也就是这里标出来的 archivodigital[dot]org/venezuela-centro-de-computacion-afoco-2003/。
拿到域名之后自然首先是执行一番安全拷问。使用 whois 查询,可以看到这个域名是在 2020 年 12 月 14 日注册的,注册局是 NameSilo ,NS 解析服务商是 CloudFlare (又是经典的滥用 CF 来挡刀的行为)。
但使用 CF 并不代表万无一失,经常会遇到 nginx 服务器使用 CF 的证书,但没有阻断 443 的回落,导致第一个使用了 SSL 加密的站点的证书主机名泄露的情况出现。所以我们继续搜索这个根域名,可以看到找到了三个服务器:
嚯,居然还是俄罗斯的服务器。莫非这是遇到传说中的俄罗斯黑客了?不过应该没有弱智黑客傻到用自家的服务器吧,估摸着是栽赃用的了。
简单查看一下原始数据,不难发现确实就是这些偷鸡摸狗的小贼。一个很明显的特征就是它的默认页面是跳转向 ENS 错误页面的 302 重定向,但这个域名显然不可能是 ENS 旗下的工作域名。所以只有一种可能:那就是它们确实就是攻击者的服务器,并且为了防止无关人士进入(例如嗅探或是爬虫),特地设置了一道看似天衣无缝的门槛。
但我们可是有邀请函的呀(笑)。
打开一个安全的浏览器(最好用 Tor 这种,但不知道为什么今天我的 Tor 心情不太好,连接不上,就只好用一个隐私模式下的 FireFox 了),输入链接,回车!
然后…… 就被跳转到了上面的 ENS 主站,打开失败 🤡
试了几个浏览器都是这样,甚至直接点击邮件里原始引导的更新按钮也无效,全都跳回了 ENS 的原始页面,就好像这个邮件其实并不是攻击,而真的只是 ENS 的提示邮件一样。
我不知道为什么,但大受震撼。
复盘#
虽然没能挖出来更多东西,但这也可以算是一次难得的安全演练机会:如果下次攻击者没有跑路怎么办?如果攻击者伪装一下发件身份,或者刚好真的就卡着将要过期的时间点发送邮件又会如何?在涉及资金安全的问题上,再谨慎都不为过。
至于我的邮箱,因为这是我的公开邮箱,我估计是攻击者看到了我 ENS 上标注的 GitHub 账号,从那边获取的邮箱信息。在 ENS 官方设置的续费提示邮箱我使用的是另一个前缀,一方面方便区分来源是哪里可以分类放进邮箱文件夹整理,另一方面也是一种安全防范的小技巧。
当然最好的话,还是希望能不要收到诈骗邮件吧。虽然这种确实比那种一个二维码糊脸上的弱智钓鱼有趣多了。
(完)