V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
KomeijiSatori
V2EX  ›  信息安全

今日遇到的 OpenVPN 钓鱼

  •  
  •   KomeijiSatori · 142 天前 · 3300 次点击
    这是一个创建于 142 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网络环境:东京都 NTT OCN 家庭宽带

    复现流程:

    Google 日本搜索 openvpn macos download

    第一项 スポンサー 则为钓鱼结果

    Untitled

    最终钓鱼页面

    https://cdn.sa.net/2024/07/04/c2mCL3YqeftnNlG.png

    具体钓鱼细节有可能出现两种情况:

    第一种是 href 为 正确的域名,但是有 data-rw 字段,点击后实际跳转到钓鱼的链接上

    Untitled

    第二种则是直接跳转到钓鱼链接

    https://cdn.sa.net/2024/07/04/YUu3cxlVBDhIJpv.png

    跟踪这个跳转地址

    https://cdn.sa.net/2024/07/04/hIQGq5AdTLZz3eK.png

    第二跳来到了 openvpn.app.link

    Untitled 继续跳转到了 https://nmydf.org/

    Untitled

    随后跳转到实际展示的钓鱼地址 openvpm.com

    附钓鱼测试效果视频

    https://www.youtube.com/watch?v=hg1us_e0xcI

    附:在 Chrome 无痕模式也复现成功了

    incognito

    附:钓鱼 dmg 样本

    https://drive.google.com/file/d/1t4kr0nKBensiKjVwqr1LEac7xOBLBz27/view?usp=drive_link

    第 1 条附言  ·  142 天前

    update

    目前已无法在Google搜索复现,但curl测试仍然正常

    curl

    15 条回复    2024-07-05 20:43:38 +08:00
    mohumohu
        1
    mohumohu  
       142 天前
    This website has been reported for potential phishing.
    ysc3839
        2
    ysc3839  
       142 天前 via Android
    啊?谷歌这么坑的吗?假的网站还能标个官网域名?
    yuzo555
        3
    yuzo555  
       142 天前
    实测也会跳到 openvpn.app.linknmydf.org 这两个域名,
    但我这边 nmydf.org 跳转到的地址是正确的 openvpn.net 网站
    我查了下 nmydf.org 的 DNS 解析,全球似乎都是解析到 Cloudfare 的公网 IP 地址,

    楼主截图中解析到了 198.18.1.55 ,这是一个内网地址,可能是你的内网有劫持。
    KomeijiSatori
        4
    KomeijiSatori  
    OP
       142 天前
    @yuzo555 198.18.1.55 这个地址是为了测试用而手动启动的 MITM ,关闭后一样能复现
    yuzo555
        5
    yuzo555  
       142 天前
    你关闭后解析到了哪里?是 Cloudfare 的 IP 吗?
    KomeijiSatori
        6
    KomeijiSatori  
    OP
       142 天前
    -> % nslookup nmydf.org
    Server: 10.233.233.1
    Address: 10.233.233.1#53

    Non-authoritative answer:
    Name: nmydf.org
    Address: 104.21.19.126
    Name: nmydf.org
    Address: 172.67.186.44

    -> % nslookup openvpn.app.link
    Server: 10.233.233.1
    Address: 10.233.233.1#53

    Non-authoritative answer:
    Name: openvpn.app.link
    Address: 13.32.50.40
    Name: openvpn.app.link
    Address: 13.32.50.37
    Name: openvpn.app.link
    Address: 13.32.50.116
    Name: openvpn.app.link
    Address: 13.32.50.33
    tool2dx
        7
    tool2dx  
       142 天前
    用日本 VPS 试了一下,没有复现。

    这应该不能劫持的吧,会不会是浏览器插件?
    KomeijiSatori
        8
    KomeijiSatori  
    OP
       142 天前
    @tool2dx 我这边无痕模式测试能复现,curl 测试也能复现,群友挂了日本家宽的代理测试了,有概率复现
    Archeb
        9
    Archeb  
       142 天前
    我测试了一下,复现环境要求为 Chrome + 首选语言为 en-US

    我推测:谷歌在不确认投放广告者和被采用名义的公司关联的情况下,允许任何人投放一个任意链接(本案例中为 openvpn.app.link ),但是显示的 url ( href )和 logo 、标题都写别人公司的。
    ranaanna
        10
    ranaanna  
       142 天前
    明显标着スポンサー为什么还要去分析?不懂 。很显然下一条才是真的呀
    Altairvelvet
        11
    Altairvelvet  
       142 天前   ❤️ 4
    看来这里玩广告的人不多。

    很明显这是投的 openvpn 官网,但是设置了跟踪模板链接跳转到诈骗网站。

    谷歌在 2023 年就对搜索广告的跟踪模板链接做了限制,必须使用认证过的跟踪模板链接域名才可以这么玩了。

    同样被这么玩的黑产广告还有阿迪耐克以及 Telegram 。
    duzhuo
        12
    duzhuo  
       142 天前 via Android
    @ranaanna 你把 google 换成百度试试🙊跳转诈骗网站在谁家能不被骂
    ranaanna
        13
    ranaanna  
       142 天前
    @duzhuo 那你在“百度”上搜 openvpn 试试看?"干净"到没有怎么玩嘛,还不如被骂呢
    la0wei
        14
    la0wei  
       142 天前
    跑个题,网络真丝滑
    GeekGao
        15
    GeekGao  
       141 天前
    屏蔽搜索广告即可解决。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2646 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 04:32 · PVG 12:32 · LAX 20:32 · JFK 23:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.