我用Bash阻止了两次网络钓鱼活动

2020-08-13 16:42:56

几天前,我妻子收到一条短信,显然是一次糟糕的钓鱼尝试。

我启动了一个虚拟机,并查看了它链接到的网站,该网站是https://www.sso-meinelba.com/(几乎与真正的域名相似,但有一个打字错误),当然,它只是一个只有一处更改的银行登录表单的副本。

这些东西的工作方式是,它们表现得像是真正的登录表单,窃取你的凭据,通常会把你送到真正的银行,这样你就会认为你打错了什么。

这些网络钓鱼后端通常是非常简单的PHP脚本,只需从提交的表单中获取数据并将其保存到文件即可。然后,钓鱼者通过隐藏的服务来出售它们(在这里,他们真的很努力地避免使用胡说八道的暗网这个术语)。

如果钓鱼者没有过多地考虑获取垃圾数据,你可以找点乐子,用虚假登录毒害他们的战利品。

因此,只需几行Bash代码,我就可以将几千个数据点发送到它们的后端,并将其填满垃圾。

而:;do#生成登录随机数和密码verf=$(cat/dev/urandom|tr-dc';0-9';|Fold-w 7|head-n 1)pin=$(cat/dev/urandom|tr-dc';0-9';|Fold-w 5|head-n 1)#将它们发送到他们的服务器,因为浏览器会卷曲';https://www.sso-meinelba.com/files/index/identifier/verfueger/uz1.php';\-H';授权:www.sso-meinelba.com.cn;\-H';来源:https://www.sso-meinelba.com';\-H&39;内容类型:应用程序/x-WWW-FORM-URLENCODE';\-H';用户代理:mozilla/5.0.(X11;Linuxx86_64)AppleWebKit/537.36(khtml,如壁虎)Chrome/84.0.4147.105Safari/537.36';\-H';推荐人:https://www.sso-meinelba.com/files/index/identifier/verfueger/';\--DATA-RAW";verfueger=Wien&;Verf%C3%BCgernummer=$verf&;Pin=$pin&;submit=Weiter";ECHO";使用PIN$PIN";发送$VERF已完成。

钓鱼表单将账号限制为7位,PIN限制为5位,但如果我多发送一点呢?

所以我编辑了脚本,发送256个字符的账号和密码,然后就发生了这种情况。

在我第一次提出256个字符的请求后,网站就瘫痪了。我不确定发生了什么,这是否是一个重大的巧合,他们在我发送大字符串或启动自毁的恰好一秒内将其删除,但自从这一请求以来,网站就关闭了。

让我感到奇怪的是,假冒域名sso-meinelba.com拥有意大利Actalis公司提供的有效SSL通配符证书。通常情况下,钓鱼者只会得到像“让加密”这样的免费证书,但他们似乎真的买了一个。奇数。

我还注意到该网站托管在webx1413.aruba.it上。诈骗者一定是租了一个小型VPS来托管诈骗网站。

还记得截图中的bitly.com链接吗?它实际上并没有直接指向sso-meinelba.com,而是指向https://kls-study.com上的一个子文件夹,这是(据我所知)意大利荷航教育语言学校的一个老主页。

显然,钓鱼者在他们的网站上发现了一个漏洞,并使用子目录https://kls-study.com/redi/ccui(路径的最后一部分似乎是随机的)将用户转发到他们的钓鱼活动。

在奥地利当地的subreddit上,我看到一篇描述类似网络钓鱼活动的帖子,我也看了一下。

这是相同的银行登录页面,但后端要专业得多。在保存之前,他们似乎积极尝试在后台使用登录凭据,因为在输入登录数据后,我看到了这一点,不禁大笑起来。

此txt文件每秒调用一次,其值为0。我假设他们试图用我输入的凭据登录,如果凭据有效,他们会把我转到真正的银行网站。

遗憾的是,服务器没有启用索引,否则我会看到所有受害者,但这仍然很有趣。

我看到,对http://elba-app.com/Raiffeisen/的每个请求似乎都会在他们的服务器上创建一个带有随机字符串的文件夹。(例如http://elba-app.com/Raiffeisen/f5255513e44fa68/),所以我想我应该再发一次垃圾邮件,效果很好。

作为一名系统管理员,这当然不是我可以使用的唯一IP,所以我再次尝试炸弹请求(256个字符而不是7个字符),结果发生了什么?

这一次服务器没有崩溃或自毁,我似乎只是在他们这一边产生了很多错误消息。

此外,他们的网站有点复杂,因为他们没有单一的表单来发布登录凭据,但他们有3个步骤:

步骤1:转到http://elba-app.com/Raiffeisen,服务器将以302重定向到他们为您创建的文件夹作为响应。

步骤2:他们将您发送到只接受帐户名的sumbit.php,并将您重定向到

步骤3:现在他们希望您的PIN位于/Hundle-pin.php上。我不确定他们为什么会在那个打字错误中离开,但我们还是来了。

我对我的脚本做了一些修改,以处理所有3个步骤,并让它在晚上从十几个不同的IP地址运行。

我们看到了两种不同质量的网络钓鱼攻击。两者都以短信的形式发送给同一家银行的客户。

我写了一个脚本来毒化他们的数据,并让这两个网站停止工作。大获成功!