フィッシングサイト誘導の流れ

ここ最近PaypalやAmazonのフィッシングメールが送られてきたとの報告がTwitter上で報告されていました。

今話題のAmazonをかたるフィッシングメールっていかにも怪しいこれかしら？昨日きてたー(･∀･) pic.twitter.com/OQi2oTOwiu

— ナンシー@TeamABC (@nannnnnncy) 2017年2月1日

怪しい「詐欺メール」がスパムBOXに振り分けられていた。
”PayPal”を装っているが、”Amazon"バージョンもあるらしい。
私はスパムフィルターとウイルス対策ソフトが反応しました。
みなさま、十分にお気をつけください。 pic.twitter.com/e9hfMCfaF7

— 杉浦清 (@kysg) 2017年2月3日

Paypalの釣りメールが日本語になってた。一箇所のポカミスを除けばかなり自然でよい（よくない pic.twitter.com/oGQG1G49SB

— のらねこ！ (@ragemax) 2017年2月3日

文中には短縮URLが記載されており、「Google URL Shotener」が用いられています。
文中に記載された短縮URLをクリックするとリダイレクタを経由してフィッシングサイトに誘導する流れとなっています。例えテイクダウンされても別のフィッシングサイトに飛ばすことで、メールに記載したリンクをしばらく生かすためかもしれません。

理由は不明ですが同じ短縮URLが使いまわされているものがあり、短縮URLサービスの解析を見るとこれまでにメールを撒いたとみられるタイミングを大まかに把握することが出来ます。

2月1日、2月2日、2月6日にクリック件数の山が出来ているため、恐らくこの直前でメールが撒かれていたのではないかと思います。

そして2月6日に撒かれたとみられるタイミングに合わせ、リダイレクト先のURLがデータURLスキームに変更となっていたようです。

そうこうしていたら偽サイトを直接開くのを止め、data:スキームでアドレスバーを「https://t.co/BekqCCLtmB」に見せかける小細工をしてきましたよ。先ほどの偽サイト本体はフレーム内表示になり、ランディングページはこんな感じになります（アドレスバーに注目ね）。 pic.twitter.com/R6v2bdmrGR

— Naomi Suzuki (@NaomiSuzuki_) 2017年2月5日

間にデータURLスキームによる偽装が入り、流れが少し変わります。

データURLスキームの中身

このデータURLスキームを使った偽装の手口ですが、1月にGoogleアカウントのフィッシングサイトに悪用されていたとして報告が出ていました。

• Gmailの添付ファイルに偽装して偽Googleへ誘導しログインさせようとする攻撃が登場 - GIGAZINE

正規のAmazonのサイトに見せかけるようにアドレスバーには次の表示がされます。

Amazonの正規サイトのように鍵マークや「保護された通信」は表示されません。

今回確認した手口では最終的に次の通信先へ接続します。（フィッシングサイトは2月6日 12時時点で稼働中です）

www.americanoutdoorad.com

データURLにはBase64でエンコーディングされた文字列が含まれています。Base64エンコードされた文字列の手前も英数の羅列があり、違和感のない文字列に見せかけようとしているのかもしれません。

data:text/html;https://www.amazon.co.jp/cgi-bin/webscr?cmd=_flow&SESSION=xt1FghhYRF6d9AsuZ6piHYmoAdiPUKYYJakfcBhX1qeG3azQldy1sptmqIi&dispatch=c70bbe41527861c2b97c3d1f6a850acfdd2fbb19a3d47242b071efa252ac2167e47ebd1fddf0fdac714a3637931d220f0f6b6f33d7b977be;base64,PCFET0NUWVBFIGh0bWw(中略)0KICAgIDwvYm9keT4NCjwvaHRtbD4=

このデータURLを入力すると、別サイトへのiframeタグが埋め込まれたHTMLが読み込まれます。
デコードすると次のコードが確認できます。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <title> Amazon Japan </title>
        <style type="text/css">
            body, html
            {
                margin: 0; padding: 0; height: 100%; overflow: hidden;
            }

            #content
            {
                position:absolute; left: 0; right: 0; bottom: 0; top: 0px; 
            }
        </style>
    </head>
    <body>
        <div id="content">
            <iframe width="100%" height="100%" frameborder="0" src="http://www.americanoutdoorad.com/****/**/**/" />
        </div>
    </body>
</html>

実際にはフィッシングサイトへ接続していますがアドレスバーはデータURLのままです。これは次の画面に移動してもそのままでした。

更新履歴

• 2017年2月6日 PM 新規作成