伪装成马斯克，一条推文骗取百万，骗局分析揭示真相

本文解释了在Twitter上流传的埃隆·马斯克（Elon Musk）比特币骗局是如何策划的，然后介绍了通过使用几种简单但有效的技术所获得的一些开源情报（OSINT）。

你可能听说过之前发生的在Twitter上流传的埃隆·马斯克（Elon Musk）比特币骗局。本文将解释这个骗局是如何精心策划的，然后介绍一下通过使用几种简单但有效的技术所获得的一些开源情报（OSINT）。

骗局

让我们先快速回顾一下这个骗局本身，以及这个骗局是如何收场的。下面是其中一条诈骗推文的例子：

这条推文除不仅性质非同寻常（马斯克在发比特币，这有可能是真的吗？），还带有语法错误、假的特斯拉域名，推特账号和人名也不匹配。无论这些痕迹有多蹩脚，还是很多人轻易地落入这个陷阱。

简而言之，攻击者窃取了许多通过认证的真实的Twitter账户，比如Capgemini、Target和谷歌的G Suite，然后将这些账户的名字和个人资料图片改为马斯克的。

为了将信息广泛传播，他们使用了类似于上面的推广推文，并直接链接到受害者可以进行比特币转账的网站。而这个骗局确实成功了。尽管有各种明显的蹩脚之处：语法错误、Twitter用户名/人名/域名不匹配，但其结果是，居然有超过18万美元价值的比特币被发送给了骗子。这真是难以置信。

当然，Twitter上的比特币骗局并不算是什么新鲜事，但当我在Twitter上看到这场骗局正在上演时，我忍不住对其涉及的域名收集了一番开源情报（OSINT），当时只是想试试看能找到些什么。

作为SpiderFoot的创造者，我一直在为这个产品寻找合适的机会进行测试，以期望找出需要改进的地方，所以这个骗局似乎是一个完美的测试机会。于是我将这个域名输入SpiderFoot，选择了SpiderFoot所包含的全部150个模块，以求尽可能多的收集数据，然后让它运行。

除了SpiderFoot所运行的自动数据收集，我还进行了其他一些手动分析来作为补充。之后我也会提及这些分析。

分析的目标

说实话，我一开始的目标除了收集所有数据并在SpiderFoot中浏览这些数据以了解如何改进该工具之外，并没有其他任何目标。然而，在这个过程中，有些东西确实吸引了我的眼球，这也正是本文的灵感来源。我想如果要写一篇文章，文章应该有一些结构，才能更好地解释和展示这个探索过程。简而言之，我的目标是：

• 搜索所有与该骗局有关的实体（主机名、IP地址、电子邮件地址、人名、域名等），目的是找出那些可能会揭露骗局幕后真面目的实体，或至少是指向这些真正身份的线索；
• 了解骗局的所有能找到的特征，这些特征在识别/调查未来的骗局，或识别关键实体的调查时可能非常有帮助；
• 为深入调查建议可能的下一步，下一步可能有助于某一特定的调查，或有助于未来的其他调查。

在继续写这篇文章之前，我需要提供一份免责声明，声明我没有就诈骗者的身份/来源作出任何声明，甚至没有声称我的分析是全面的。这篇文章的目的是对骗局提供进一步的了解，以及对那些类似的调查提供指导。

所以让我们开始吧……

OSINT分析

分析本身的起点是，从OSINT的自动化情报收集中我们能获得什么信息。这次骗局所使用的Twitter账户都是被盗用的合法账户，因此调查这些账户本身并没有什么价值。

其次，这个骗局背后的人名，埃隆·马斯克（Elon Musk）也是假的，因为这显然不是他本人（尽管公平地说，也不能完全排除这种可能性！）所以，我们首先要查的是在推文中提到的域名。我看到的推文中提到了以下这三个域名，但该骗局中发布的其他推文中肯定还有更多类似的域名：

• m-tesla.me
• elonmusk.id
• m-tesla.pw

从域名开始

如果我们从域名开始收集OSINT情报，有哪些技术是可用的呢？能想到的是，域名应该可以解析为IP地址，域名注册信息应该有Whois相关记录，等等。我们把这些称为“信息链”，追踪路径一般是这样的：

• 域名 -> IP地址->搜索 passive DNS ->联合托管网站
• 域名 -> 通过Whois查找 -> 提取电子邮件地址
• 域名-> 获取web内容 -> 提取姓名，等等。
• 等等……

显然，上面所示的信息链只是简化示例，但是你可以得到这样的基本思路：一条信息指向另一条信息，而另一条信息又可以指向下一条信息，以此类推。在任何调查中，你都可以根据可用的数据源和信息链中的每个链接的性质，顺藤摸瓜地去追溯查看多达几十个层次的深度来进行分析。

查询伪装后的IP地址

当试图解析这些域名时，结果发现它们都指向127.0.0.1，即一个本地主机地址，显然它们已经已经进行了一番伪装。

如今拥有IP地址是一件再普通不过的事情，一个IP地址就是一个数据点，既可以在网络拓扑/路由数据等常见应用中被引用，也可以为网络威胁智能情报提供线索。从这些域名中，我们可以找到指向相同IP地址的其他域名，更不用说还能查看与该IP地址处于同一子网中的其他IP是否与更多域名关联，这些域名可能表明存在着范围更广的诈骗网站。

那么，让我们看看是否可以找到这些域名用来解析的IP地址。幸运的是，passive DNS是一个很好的数据源，而在Internet上有许多免费的相关数据资源。在本例中，通过Mnemonic Passive DNS 搜索引擎就能找到以上三个域名中其中两个的IP：

• 193.233.15.187 对应m-tesla.me
• 193.233.15.163 对应 elonmusk.id （见下图）

多亏有了这样的passive DNS站点，即使某个域名伪装IP后，我们仍然可以确定其历史IP地址。

值得一提的性质类似的其他工具还有：Robtex.com，SecurityTrails.com，HackerTarget.com，Cymon.io 以及 VirusTotal。由于passive DNS的本身的特性，单个数据源极有可能丢失查找目标的数据，因此经常需要从多个数据源来尝试来为真相构建完整的图像，而不是仅依赖于单独一个数据源。在本例中，现在我们获得了原始IP地址，因此我们可以继续进行下一步的分析。

谁拥有该IP地址？

有趣的是，从他们的Whois数据来看，这三个域名都有一个相同的托管提供商叫“storm-pro.net”：

steve@dev:~$ whois m-tesla.me
Domain Name: M-TESLA.ME
...
Name Server: DNS2.STORM-PRO.NET
Name Server: DNS1.STORM-PRO.NET
...

但该域名似乎没有对应的网站，他们的Whois记录中所有有用的信息都被隐藏了：

steve@dev:~$ host -t a storm-pro.net
storm-pro.net has no A record
steve@dev:~$ host -t a www.storm-pro.net
Host www.storm-pro.net not found: 3(NXDOMAIN)
steve@dev:~$ whois storm-pro.net
...
Registrant Name: GDPR Masked
Registrant Organization: GDPR Masked
Registrant Street: GDPR Masked GDPR Masked GDPR Masked
Registrant City: GDPR Masked
Registrant State/Province: GDPR Masked
Registrant Postal Code: 00000
Registrant Country: GDPR Masked
Registrant Phone: +0.00000000
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: gdpr-masking@gdpr-masked.com
Admin Email: gdpr-masking@gdpr-masked.com
Registry Tech ID: Not Available From Registry
Tech Name: GDPR Masked
Tech Organization: GDPR Masked
Tech Street: GDPR Masked GDPR Masked GDPR Masked
Tech City: GDPR Masked
Tech State/Province: GDPR Masked
Tech Postal Code: 00000
Tech Country: GDPR Masked
Tech Phone: +0.00000000
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: gdpr-masking@gdpr-masked.com
...

让我们试着直接从我们找到的IP地址获取内容，看看谁是幕后黑手。当我们访问这个地址https://193.233.15.163，得到的是：

好吧，看来幕后诈骗者利用代理供应商来运行他们的网站，这家供应商似乎是一个托管主机和反DDOS攻击的公司，主要针对俄罗斯市场：

他们的网站上几乎没有多少关于这家公司的有用信息，但他们在领英（LinkedIn）上的资料显示，这是一家在斯洛伐克注册的公司，共有四名员工，其中三名在俄罗斯，一名在捷克共和国。从这一点来看，这些诈骗网站似乎是这个供应商的客户，并且被供应商或者骗子自己关闭了。

在同一的服务器和子网上还有什么？

考虑到同一子网上的多个IP地址都涉及到该骗局，有必要检查一下谁是该子网的拥有者，用BGPView.io这个网站可以查询：

搜索193.233.15.0/24这个子网，我们可以看到它隶属于一个自治系统，而该自治系统的拥有者是名为Smart Telecom SARL的一家黎巴嫩公司，据称该公司位于塞舌尔群岛。

点击页面左边的选项，进一步查看谁是该网络的上游供应商，即谁为之提供Internet访问，这里我们再次看到StormWall，道理上这也说得通，因为目前是它将HTTPS请求代理到该IP地址的：

STORMSYSTEMS-AG = StormWall

在骗局主机所在的193.233.15.0/24子网上执行Whois，会显示出一家名为Safe Value Management的公司：

steve@dev:~$ whois 193.233.15.0/24
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
...
organisation:   ORG-SVL6-RIPE
org-name:       Safe Value Limited
org-type:       OTHER
address:        Global Gateway 8, Rue de la Perle, Providence, Mahe, Seychelles
geoloc:         -4.678633 55.467250
abuse-c:        SVM142-RIPE
mnt-ref:        safevalue-mnt
mnt-ref:        FREENET-MNT
mnt-by:         safevalue-mnt
mnt-by:         FREENET-MNT
created:        2017-03-13T16:19:46Z
last-modified:  2017-04-30T08:54:48Z
source:         RIPE # Filteredrole:           Safe Value Management
address:        Global Gateway 8, Rue de la Perle, Providence, Mahe, Seychelles
abuse-mailbox:  abuses@safevalue.pro
nic-hdl:        SVM142-RIPE
...

这个名为”胡作非为“的电子邮件地址abuses@safevalue.pro，我们可以查看他们的网站进一步了解：

该网站上并没有提供关于该公司的任何信息，但是，尽管在其Whois记录中有提到塞舌尔群岛，网站上却没有任何地方提到这点。事实上，尽管该网站没有语言切换器，但你可以手动访问该网站的俄语版本，该版本居然还只提供英语内容，但显示的是俄文的鼠标图样。尝试在其他语言中访问该网站会导致404错误：

当访问safevalue.pro/ru时，仍然可以看到一个英文网站，但是上面的鼠标图样是俄文的。用其他语言访问则不会出现这样的情况，只会返回404。

那么与之相邻的子网呢？它们又位于何处，又由谁管理呢？下面的这个单行脚本将执行Whois对193.233.15.0/24子网所临近子网的查询，并查找注册子网的国家和组织：

steve@dev:~$ for i in `seq 5 25`; do whois 193.233.$i.0/24 | egrep -i country\|org-name | sort -u; done
country:        RU
org-name:       OOO Avantelecom
country:        RU
org-name:       Vostok Telecom LLC
country:        RU
org-name:       OOO Avantelecom
country:        RU
org-name:       L.Ya.Karpov Institute of Physical Chemistry
country:        RU
org-name:       Vostok Telecom LLC
country:        RU
org-name:       State Federal Budgetary Scientific Establishment Baikov Institute of Metallurgy and Materials Science of Russian Academy of Sciences
country:        RU
org-name:       State Federal Budgetary Scientific Establishment Baikov Institute of Metallurgy and Materials Science of Russian Academy of Sciences
country:        RU
org-name:       OOO Telecom-V
country:        RU
org-name:       OOO Telecom-V
country:        RU
org-name:       Russian National Public Library for Science and Technology
country:        SC
org-name:       Safe Value Limited
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       ZAO Redcom-Internet
country:        RU
org-name:       Federal Budgetary Educational Enterprise of Higher Professional Education Moscow State Forest University
country:        RU
org-name:       Federal Budgetary Educational Enterprise of Higher Professional Education Moscow State Forest University

正如你所看到的，除了这个涉及诈骗的子网外，这个子网的所有邻近子网都位于俄罗斯。另外，它们都与这家叫Safe Value Management的公司毫无关联，与之相关的只有涉及欺诈的这个子网。

因此，让我们快速整理一下手头的信息：我们通过passive DNS数据已经找到了该骗局网站的历史IP地址。这些诈骗网站都位于同一个子网上，这个子网由StormWall和Safe Value Management这对组合所拥有。而这两个实体似乎都在俄罗斯，虽然后者似乎企图掩盖这一事实。从注册的位置和所属组织来看，这两个诈骗网站所在的子网似乎与相邻的子网截然不同。现在让我们扩展搜索，看看在这个骗局的范围内可能存在哪些其他网站。

扩大范围

我们可以使用SpiderFoot通过查询多个passive DNS数据源，来快速查询哪些其他站点可以解析出和诈骗站点相同的IP地址。之前我们已经探知m-tesla.me站点的IP地址为193.233.15.187，这一次，利用Robtex、Cymon和Mnemonic等工具发现了与之IP地址相同的其他一些站点如下：

SpiderFoot使用多个passive DNS数据源查找其他解析为m-tesla.me IP地址的站点。

我们可以在这里清楚地看到，这场骗局利用共享的基础设施，跨越了许多网站。现在让我们纵观193.233.15.0/24的整个子网，看看那里托管了哪些站点：

通过混合使用Robtex和其他工具，SpiderFoot在与诈骗网站相同的子网中发现了186个站点。

186个网站，这个数量是相当多的，所以要确定在这个列表中哪些是值得关注的，接下来让我们针对IP声誉服务进行一些咨询。

恶意及滥发讯息的IP

一段时间以来，许多威胁情报、垃圾邮件检测和IP声誉服务（IP reputation services）都将一些涉嫌的IP地址标记为有风险的。例如，VirusTotal服务就指明上面列表中的多个域名存在可疑行为，时间可追溯到2018年8月：

SpiderFoot还向VirusTotal自动查询了所有共同托管的站点和位于同一子网上的站点的相关信息，我们立即发现，不止我们之前所确定的两个IP地址，在同一子网上的许多IP地址都有问题：

根据VirusTotal所显示，仅在这个子网中就发现117个主机/IP地址是恶意IP地址。通过VirusTotal的一项研究发现，我们可以看到，同一子网上的主机中甚至有一个主机直接托管着恶意软件：

当从193.233.15.0/24子网查找其他IP地址和主机时，情况也是类似的。事实上，在撰写本文时，Spamhaus似乎已经将整个子网标记为"应该阻塞"。

到底是谁干的？

正如所料，直接涉及诈骗的域名的电邮地址均属私人/恶意电子邮箱地址，且并没有披露任何个人或机构的身份，都是诸如以下模样的邮箱地址：

• 19 dd5ea57f2b4f5388f5f506cb5a9099.protect@whoisguard.com
• 3471443 @privacy-link.com
• abuse@101domain.com
• 等等……

换句话说，从邮箱来推敲，完全无用，毫无意义。我们发现了一些未加屏蔽的电子邮箱地址，它们与同一子网中的站点相关联，但是查看这些邮箱地址已经超出了本文的范围，况且这些站点似乎与此骗局无关，例如，和elonmusk.ooo毫无关联。

使用上下文进一步探索

由于同一骗局涉及多个域并共享相同的基础设施，利用这一点，我们可以使用来自一个域的调查信息，来辅助调查另一个域。让我们先回到Whois，因为看起来三个域名中有两个使用NameCheap作为注册商，而剩下一个是另一家注册商：

上面SpiderFoot的截图表明，NameCheap用于其中两个域的注册，剩下一个域用了另外一家注册商。

当执行Whois查询时，其实你是将查询指向特定的服务器。很多时候，人们在看到Whois的第一个查询结果时就停下来了，但是Whois的结果中有一个关键的信息，它可能会决定你的调查是陷入死胡同呢，还是会挖到金矿让调查更进一步：

steve@dev:~$ whois m-tesla.me
Domain Name: M-TESLA.ME
Registry Domain ID: D425500000070248173-AGRS
Registrar WHOIS Server: whois.namecheap.com
...

运行Whois时，你其实是在查询自己Whois客户端软件所自动选择的缺省Whois服务器集合。Whois查询通常会来自权威的Whois服务器，这些权威性的服务器会提供更多信息。上面代码中的最后一行就是一个示例，那么让我们加上-h再来尝试一下在Linux上使用Whois客户端并指定服务器：

steve@dev:~$ whois m-tesla.me -h whois.namecheap.com
Domain name: m-tesla.me
Registry Domain ID: D425500000070248173-AGRS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2018-11-07T11:29:42.00Z
Creation Date: 2018-11-07T11:29:42.00Z
Registrar Registration Expiration Date: 2019-11-07T11:29:42.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Registry Registrant ID: ti1srjorhfz8q94w
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 81c4aa68df5640a3afd986ce438afa26.protect@whoisguard.com
Registry Admin ID: y8otwk46zno0fdku
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 81c4aa68df5640a3afd986ce438afa26.protect@whoisguard.com
Registry Tech ID: q5fk9pxjotdst0s1
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code:
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: 81c4aa68df5640a3afd986ce438afa26.protect@whoisguard.com
Name Server: dns1.storm-pro.net
Name Server: dns2.storm-pro.net
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-11-17T17:46:28.10Z <<<

这就得到了更多的信息，但仍然没有任何有用信息。但是等一下，既然我们已经知道NameCheap用于三个域中的两个，是不是它可能也用于第三个域呢？当我们为elonmusk.id做Whois查询时，之前我们并没有发现它对NameCheap Whois服务器的任何引用，但这可能只是.id Whois服务器的一个特性，因为并非所有的Whois服务器都返回相同格式的数据，或以相同的方式运行。让我们试一试：

steve@dev:~$ whois elonmusk.id -h whois.namecheap.com
Domain name: elonmusk.id
...
Registrant Name: Sergey Ishuk
Registrant Organization:
Registrant Street: lenina 131 lenina 131 kv 2
Registrant City: Xarkov
Registrant State/Province: Xarkov
Registrant Postal Code: DN3 6GB
Registrant Country: GB
Registrant Phone: +380.957370883
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: p286759488@yandex.ru
...

现在我们得到了一些有趣的东西！有姓名、地址、电话号码和电子邮件地址。虽然这些细节多半是假的，但让我们试着在谷歌中搜索一下电话号码，看看会出来什么：

显然有类似欺骗性质为主题的网站。我们还看到了与之相关联的更多电子邮件地址和姓名。

相似域名：潜在的未来骗局？

有了这个骗局所收获的18万美元，这种骗局肯定会越来越多。看看其他名字相似但顶级域名（TLD）不同的域名，很明显，骗子们蓄势以待，很可能在未来某个时刻再次使用埃隆·马斯克（Elon Musk）这一“品牌”。

通过SpiderFoot中可视化的搜索路径展示，我们可以看到在不同的TLD上有一些相似的域名，这些域名说不定在未来又会兴起风浪。

结论

让我们总结一下我们对这个骗局所了解的信息：

• 涉及诈骗的域使用了相同的代理供应商，即StormWall和Safe Value Management。而这两个实体似乎都在俄罗斯，虽然后者似乎企图掩盖这一事实。
• 虽然参与骗局的域名很快都将IP地址伪装更改为127.0.0.1，但passive DNS数据能够显示原始IP地址，并成为分析的关键信息。
• Whois信息显示，所有直接涉及该骗局的域名都利用隐私服务，使相关人员的身份无法识别。通过查看与诈骗站点相同子网上域的拥有者信息，尤其是考虑到整个子网似乎已被标记为“可疑网段”，是有可能推断出骗局相关域名的拥有者信息的。
• 其中两个域名使用了同一个注册商的Whois服务器，使用同一服务器对第三个域名进行Whois查询时，也揭露了不少关于第三个域名的信息。
• 这些诈骗网站与其他许多性质类似的域名，均位于同一/24子网内，并已被多个威胁情报来源标记为滥发讯息者或者恶意网站。
• 该子网不仅包含该骗局的网站，子网内还有其他欺诈/恶意网站，这个子网似乎是在塞舌尔群岛注册的，而这些网站本身的大部分内容似乎是用俄文的。

现在，在有人不分青红皂白就大声疾呼“俄罗斯人”是幕后黑手之前，请记住，在互联网上进行这种归因推论，距离一门精确的科学还相差甚远。这甚至算不上不是一门科学。所以只能当作是工作生活之余的一种兴趣调剂罢了。

可能的更进一步调查

• 查看骗局中使用的一个或多个比特币链接，并尝试使用Blockchain.info和BitcoinWhosWho.com分析资金轨迹。
• 更深入地研究同一子网站上的内容和Whois数据，看看是否可以找到欺诈嫌疑人的电子邮件地址或其他个人信息。
• 利用Whois反向站点，如SecurityTrails和ViewDNS.info，根据注册姓名和电子邮件地址查找其他用这些信息注册的域。
• 更深入地研究相同名称但位于不同TLD上的域，看看是否有可能泄露与该次诈骗或类似诈骗有潜在牵连的嫌疑人的电子邮件地址。
• 试着找出这些网站被关闭前缓存的历史内容，并从中寻找更多的线索。可以从谷歌和Bing的缓存开始查找。对于被调查的三个站点，Wayback Machine中似乎没有留下任何内容，但是有些更久远的欺诈站点可能留下过历史痕迹。
• 用谷歌和其他搜索引擎搜索该骗局中的其他文本字符串，可能会找到以上分析未曾调查到的其他涉嫌诈骗网站。
• 充分发挥你的创造力吧！如果你在寻找灵感，可以看看Proofpoint是怎么做的。

作者介绍：

Steve Micallef，SpiderFoot （www.spiderfoot.net）的创造者，SpiderFoot是一个开源的OSINT自动化平台。

英文原文：

An OSINT Analysis of the Elon Musk Bitcoin Scam