利用常见的URL重定向方法创建有效的网络钓鱼攻击

“简单”通常比“复杂”更难。思考最棘手的时候 网络钓鱼运动 及其组件,URL重定向不会立即想到,因为造成麻烦的部分。但是,URL转发是一种方法,通常被网络犯罪分子滥用,以创造多层网络钓鱼攻击。为什么?简短的答案是三个E的:容易,逃避和难以捉摸(眼睛)。

URL重定向

用于恶意目的的URL重定向

URL重定向是将Web用户从最初请求的URL转发到完全不同的网站用户的过程。互联网用户每天都会遇到URL重定向,有时没有注意到它:通过单击缩短的链接来转到并阅读新闻,从一个站点转发到另一个站点购买或支付广告产品,等等常见的URL重定向在线成为我们日常生活的一部分,该观点不介意为自己的目的利用它。

让我们来看看三个网络钓鱼攻击的例子,所有这些都带有URL重定向播放积分作用:

#1。编码,JavaScripted HTML附件,内部具有延迟的网络钓鱼重定向

这种类型的攻击不是很常见,因为它包括大量组件:

  • 包含附件的电子邮件
  • 附件是HTML文件和JavaScripted
  • HTML文件中的URL编码的网络钓鱼重定向利用set-timeout方法
  • 网络钓鱼着陆页

想象一下,从您的企业中接收一个奇怪的电子邮件,它互联网促使您更新某些内容。电子邮件是空白的,似乎在内部发送(发件人是欺骗),并包含“update.htm”附件。

检查文件的页面源代码时,我们可以看到一个编码的脚本,一旦解码,显示了网页的网络钓鱼URL将被重定向到毫秒的延迟之后(Settimeout方法)。

settimeout()方法 用于在指定数量的毫秒之后仅执行一次函数。例如,如果在浏览器中打开此文件,则SetTimeOut方法在5毫秒后执行重定向并将受害者转发到登陆Office365主题的网络钓鱼页面。

#2。通过利用Adobe开放重定向分发的网络钓鱼电子邮件

第二个例子也使用一个公司IT管理员作为封面,但在这种情况下,很明显,网络钓鱼电子邮件是从受损的日本邮箱[email protected]发送,这些电子邮件与目标组织无关或与目标无关 Microsoft Office 365.。接收者被告知他们的办公室365密码在那一天到期,被告知他们必须更改它或继续使用当前密码,并推向一个简单的选择:单击“保持当前密码”:

URL重定向

完成后,目标将在通过Adobe托管URL重定向后托管在R-IM [。] XYZ域上的假办公室365登录页面。

滥用Adobe的开放式重定向服务(T-Info.mail.adobe.com)向URL增加了合法性,并增加了电子邮件逃避检测的机会。这些是高度信任公司(Adobe,Google,Samsung)的开放式重定向的主要原因是在线手中非常受欢迎。

#3。缩短URL隐藏网络钓鱼登录页面

URL缩短服务–如钻头,削减.Ly,T.Co等–攻击者正在积极使用掩码URL并将目标指向恶意页面。

最近观察到的攻击使用削减。地隐藏了Phishy Netflix登录页面。我们所看到的是一封电子邮件,据称从Netflix支持发送,询问邮件收件人“重新启动成员资格”:

URL重定向

这 “Restart Membership” button opens a spoofed Netflix login page, whose URL (//www.propertyoptionsdevelopments[.]com/netflx20/) has been shortened via cut.ly (//cutt[.]ly/ajKQ2We). The email was sent from –绝对不是netflix电子邮件地址。 URL缩短使收件人更难看出真正的URL,并在点击链接之前评估它是否可以是网络钓鱼站点。

总之:不要低估URL重定向。在从未经请求的电子邮件中打开链接之前非常警惕,特别是当您没有100%时,此链接将导致您的位置。

分享这个