piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

データURLスキームを使ったフィッシングサイトについて調べてみた

短縮URLサービスを使ったAmazonPayPalのフィッシングサイトが確認されています。データURLスキームを使ったフィッシングサイトを確認したのでこれを調べてみました。

フィッシングサイト誘導の流れ

ここ最近PaypalAmazonフィッシングメールが送られてきたとの報告がTwitter上で報告されていました。

文中には短縮URLが記載されており、「Google URL Shotener」が用いられています。
文中に記載された短縮URLをクリックするとリダイレクタを経由してフィッシングサイトに誘導する流れとなっています。例えテイクダウンされても別のフィッシングサイトに飛ばすことで、メールに記載したリンクをしばらく生かすためかもしれません。

理由は不明ですが同じ短縮URLが使いまわされているものがあり、短縮URLサービスの解析を見るとこれまでにメールを撒いたとみられるタイミングを大まかに把握することが出来ます。

2月1日、2月2日、2月6日にクリック件数の山が出来ているため、恐らくこの直前でメールが撒かれていたのではないかと思います。

そして2月6日に撒かれたとみられるタイミングに合わせ、リダイレクト先のURLがデータURLスキームに変更となっていたようです。

間にデータURLスキームによる偽装が入り、流れが少し変わります。

データURLスキームの中身

このデータURLスキームを使った偽装の手口ですが、1月にGoogleアカウントのフィッシングサイトに悪用されていたとして報告が出ていました。

正規のAmazonのサイトに見せかけるようにアドレスバーには次の表示がされます。

Amazonの正規サイトのように鍵マークや「保護された通信」は表示されません。

今回確認した手口では最終的に次の通信先へ接続します。(フィッシングサイトは2月6日 12時時点で稼働中です

www.americanoutdoorad.com

データURLにはBase64エンコーディングされた文字列が含まれています。Base64エンコードされた文字列の手前も英数の羅列があり、違和感のない文字列に見せかけようとしているのかもしれません。

data:text/html;https://www.amazon.co.jp/cgi-bin/webscr?cmd=_flow&SESSION=xt1FghhYRF6d9AsuZ6piHYmoAdiPUKYYJakfcBhX1qeG3azQldy1sptmqIi&dispatch=c70bbe41527861c2b97c3d1f6a850acfdd2fbb19a3d47242b071efa252ac2167e47ebd1fddf0fdac714a3637931d220f0f6b6f33d7b977be;base64,PCFET0NUWVBFIGh0bWw(中略)0KICAgIDwvYm9keT4NCjwvaHRtbD4=

このデータURLを入力すると、別サイトへのiframeタグが埋め込まれたHTMLが読み込まれます。
デコードすると次のコードが確認できます。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <title> Amazon Japan </title>
        <style type="text/css">
            body, html
            {
                margin: 0; padding: 0; height: 100%; overflow: hidden;
            }

            #content
            {
                position:absolute; left: 0; right: 0; bottom: 0; top: 0px; 
            }
        </style>
    </head>
    <body>
        <div id="content">
            <iframe width="100%" height="100%" frameborder="0" src="http://www.americanoutdoorad.com/****/**/**/" />
        </div>
    </body>
</html>

実際にはフィッシングサイトへ接続していますがアドレスバーはデータURLのままです。これは次の画面に移動してもそのままでした。

更新履歴

  • 2017年2月6日 PM 新規作成