阿迪达斯69周年免费送2500双鞋?真相竟然是……
阿迪达斯69周年免费送2500双鞋?真相竟然是……
自今年年初以来,你可能在WhatsApp上收到过联系人向你发送的,关于阿迪达斯运动鞋免费送的活动消息。
据该消息称,阿迪达斯为庆祝其69周年将为广大消费者免费提供2500双阿迪达斯运动鞋,并在最后附上了项目承诺链接。该链接咋一看像是官方的链接地址,但如果你仔细观察你就会发现,其中adidas当中的“i”上少了一个点。这其实是一种网络罪犯惯用的障眼法,通常被称为同形异义字钓鱼攻击。然而,此类攻击并不新鲜。在一些安全媒体和博客上也早有报道,例如welivesecurity, thecomputerperson 和 Doron Segal等。此外,该消息的结构也不是新的,早在2016年就已经观察到了一些类似的活动。
分析
当你点击WhatsApp消息中的链接时,它会进行一些检查以确保请求是从诸如智能手机的移动设备发出的。该检查主要是通过一些JavaScript代码,来对浏览器的window orientation属性以及屏幕宽度进行判断实现的。如果检查失败,用户将被重定向到http://neuewfarben[.]com/404,404页面。反之,则网站将获取访问者IP地址的地理位置数据,并根据访问者所在的国家/地区将其重定向到不同的链接地址。以下是部分国家所对应的链接列表。
国家 | 实际链接 | 表示 |
|---|---|---|
挪威,瑞典 | www.xn—addas-04a[.]de/no.html | www.adıdas[.]de/no.html |
巴基斯坦,尼日利亚,肯尼亚,中国澳门 | www.sweetfinalz[.]com/ | www.sweetfinalz[.]com |
美国 | www.xn—disneycruse-7zb[.]com | www.disneycruıse[.]com |
荷兰,比利时 | www.xn—addas-o4a[.]de/nl.html | www.adıdas[.]de/no.html |
印度 | www.xn—jetarways-ypb[.]com |
| www.jetaırways[.]com |
从上面的列表可以看出,Adidas并不是此次钓鱼攻击活动中唯一的“诱饵”。
接着,访问者将会看到有四个问卷调查的题目。无论受害者的答案是什么,他们都会得到一个信息,说他们有资格免费获取到一双阿迪的运动鞋。唯一的要求就是,必须向WhatsApp上的朋友分享获奖消息。
当受害者点击WhatsApp分享按钮时,就能从自己的联系人列表中选择更多的联系人,即便是他们选择关闭踩点,以后会被识别为分享有效,实际上,不管是否成功分享,只要用户返回页面就会被重定向到下一个阶段。以下是我们观察到的重定向链接:
http://www.xn—addas-o4a[.]de/final.html http://track.voltrrk[.]com/0e548085-58e7-40e1-beba-b8940d6a8edc http://redirect.dringston-enquency[.]com:80/redirect?target=BASE64aHR0cDovL3d3dy5wYWlyb2ZzY2h1aGUuY29tL2VuLmh0bWw&ts=1527005723770&hash=qcAp4Brw4y8SYgfUl1r_-pb4RQxIqqiFf6sLXB9OU4E&rm=D http://www.pairofschuhe[.]com/en.html
这一阶段受害者需要回答几个问题,并且被告知他们必须在Facebook上分享广告。但无论受害者是否点击了分享按钮,都会获取到1美元领取鞋子的资格。点击“索赔1美元”的按钮,就会进入到该骗局的最后阶段。
http://www.pairofschuhe[.]com/go http://track.voltrrk[.]com/c9d22249-b14d-4ddb-bc6c-59e43841cd0f http://redirect.dringston-enquency[.]com:80/redirect?target=BASE64aHR0cHM6Ly90cmNrci5yb2Nrcy8_YT0yMTQ5JmM9MTI4NjMmczI9d1NSNUpJTUY1VEQ0OVAzRTFSQUpIOU5B&ts=1527011060929&hash=-eeKnNtq6vinT3e8YR39UXs0Fzna-Cp4z2lTlLFhuJU&rm=D https://trckr[.]rocks/?a=2149&c=12863&s2=wSR5JIMF5TD49P3E1RAJH9NA https://redirector[.]cc/go/5312?transaction_id=12750-197928458&pub_id=2149 https://promoztooffer[.]com/86088686/86088686_lp?lp_rid=5312&lp_sid=31&lp_did=6&lp_aid=28&forceLang=EN&a_p=33&transaction_id=12750-197928458&pub_id=2149&te=1527011136
在这一阶段将向受害者呈现最后一张表格,询问受害者的联系方式。需要注意的是,在页脚我们能看到以下信息:
一旦成功购买后,受害者将会订阅“organizejobs”服务,并以每月49.99美元的金额,被收取所谓的高级账户使用费。
在以下截图中我们还可以看到,付款页面中也存在着欺骗和误导。显示的是免费试用,但50美元每月的价格看上去并不像是一份能免费的午餐。
如果你再仔细观察,你会看到另一个破绽。在最下面的支付处理提示信息中,我们可以看到一个网址organizejobs[.]net。这很奇怪,因为该网站显然与制鞋公司无关。最重要的是,如果他们在七天后没有取消帐户,未来每月将被扣取50美元的费用。
Punycode和homoglyphs
在2003年,RFC 3492引入了Punycode(自RFC 5891更新以来); 一种在域名中编码非ASCII字符以支持国际化域名(IDN)的方法。这将允许在域名中使用所有的Unicode字符(如果顶级域名允许),本文中阿迪达斯就是一个典型的例子。以下是我们能够找到的该组织所使用的其它域(非完整):
Punycode编码 | 表示 |
|---|---|
xn—costo-7xa[.]com | costċo[.]com |
xn—superndo-xkb[.]com | superındo[.]com |
xn—disneycruse-7zb[.]com | disneycruıse[.]com |
xn—jetarways-ypb[.]com | jetaırways[.]com |
xn—bgbazaar-tkb[.]com | bıgbazaar[.]com |
xn—garuda-indonesa-llc[.]com | garuda-indonesıa[.]com |
xn—southwes-wyb[.]com | southwesŧ[.]com |
xn—mlka-lza[.]com | mılka[.]com |
xn—starucks-hpd[.]com | starɓucks[.]com |
xn—flysa-xcc[.]com | flysaȧ[.]com |
xn—costc-bec[.]com | costcȯ[.]com |
xn—sngaporeair-zzb[.]com | sngaporeair[.]com |
xn—alitala-wfb[.]com | alitalıa[.]com |
xn—harbo-p4a[.]com |
| harıbo[.]com |
安全建议
其实这些网站除了网址可能会迷惑你之外,在其它方面可谓漏洞百出!以下是我的一些个人建议,或许能帮助你识破这种骗局:
在收到消息后,询问所显示的发件人是否确实发送了这些消息,因为消息也可能是在他们的手机上安装了恶意软件的情况下在当事人不知情的情况下发送; 在网上搜索报价,搜索官方是否发出遭受攻击的消息; 更换几个浏览器直接进入官网或者询问官微查询是否有相关活动通知; 如果不能确定,不要点击任何链接,最好删除包含这些链接的消息。
此外,由于同形异义字攻击已是一个已知的问题(请参阅Google Chrome中的IDN),因此在Web浏览器中也实施了一些缓解措施。Chrome和Firefox试图通过检查其是否包含来自多个字母的字符,来猜测域名是否可能存在欺诈行为。Firefox允许用户来决定是否显示Punycode语法。总之只要大家多长点心眼,就完全有可能避免此类欺骗。
*参考来源:welivesecurity,FB小编 secist 编译,转载请注明来自FreeBuf.COM