ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-02-06

データURLスキームを使ったフィッシングサイトについて調べてみた

| 12:21 | データURLスキームを使ったフィッシングサイトについて調べてみたを含むブックマーク

短縮URLサービスを使ったAmazonPayPalフィッシングサイトが確認されています。データURLスキームを使ったフィッシングサイトを確認したのでこれを調べてみました。

フィッシングサイト誘導の流れ

ここ最近PaypalAmazonフィッシングメールが送られてきたとの報告がTwitter上で報告されていました。

文中には短縮URLが記載されており、「Google URL Shotener」が用いられています。

文中に記載された短縮URLをクリックするとリダイレクタを経由してフィッシングサイトに誘導する流れとなっています。例えテイクダウンされても別のフィッシングサイトに飛ばすことで、メールに記載したリンクをしばらく生かすためかもしれません。

f:id:Kango:20170206112809p:image

理由は不明ですが同じ短縮URLが使いまわされているものがあり、短縮URLサービスの解析を見るとこれまでにメールを撒いたとみられるタイミングを大まかに把握することが出来ます。

f:id:Kango:20170206112755p:image

2月1日、2月2日、2月6日にクリック件数の山が出来ているため、恐らくこの直前でメールが撒かれていたのではないかと思います。

そして2月6日に撒かれたとみられるタイミングに合わせ、リダイレクト先のURLがデータURLスキームに変更となっていたようです。

間にデータURLスキームによる偽装が入り、流れが少し変わります。

f:id:Kango:20170206112915p:image

データURLスキームの中身

このデータURLスキームを使った偽装の手口ですが、1月にGoogleアカウントフィッシングサイトに悪用されていたとして報告が出ていました。

正規のAmazonのサイトに見せかけるようにアドレスバーには次の表示がされます。

f:id:Kango:20170206121752p:image

Amazonの正規サイトのように鍵マークや「保護された通信」は表示されません。

f:id:Kango:20170206112947p:image

f:id:Kango:20170206112946p:image

今回確認した手口では最終的に次の通信先へ接続します。(フィッシングサイトは2月6日 12時時点で稼働中です

www.americanoutdoorad.com

データURLにはBase64エンコーディングされた文字列が含まれています。Base64エンコードされた文字列の手前も英数の羅列があり、違和感のない文字列に見せかけようとしているのかもしれません。

data:text/html;https://www.amazon.co.jp/cgi-bin/webscr?cmd=_flow&SESSION=xt1FghhYRF6d9AsuZ6piHYmoAdiPUKYYJakfcBhX1qeG3azQldy1sptmqIi&dispatch=c70bbe41527861c2b97c3d1f6a850acfdd2fbb19a3d47242b071efa252ac2167e47ebd1fddf0fdac714a3637931d220f0f6b6f33d7b977be;base64,PCFET0NUWVBFIGh0bWw(中略)0KICAgIDwvYm9keT4NCjwvaHRtbD4=

このデータURLを入力すると、別サイトへのiframeタグが埋め込まれたHTMLが読み込まれます。

デコードすると次のコードが確認できます。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <title> Amazon Japan </title>
        <style type="text/css">
            body, html
            {
                margin: 0; padding: 0; height: 100%; overflow: hidden;
            }

            #content
            {
                position:absolute; left: 0; right: 0; bottom: 0; top: 0px; 
            }
        </style>
    </head>
    <body>
        <div id="content">
            <iframe width="100%" height="100%" frameborder="0" src="http://www.americanoutdoorad.com/****/**/**/" />
        </div>
    </body>
</html>

実際にはフィッシングサイトへ接続していますがアドレスバーはデータURLのままです。これは次の画面に移動してもそのままでした。

f:id:Kango:20170206121751p:image

更新履歴