今日遇到的 OpenVPN 钓鱼

174 天前
 KomeijiSatori

网络环境:东京都 NTT OCN 家庭宽带

复现流程:

Google 日本搜索 openvpn macos download

第一项 スポンサー 则为钓鱼结果

最终钓鱼页面

具体钓鱼细节有可能出现两种情况:

第一种是 href 为 正确的域名,但是有 data-rw 字段,点击后实际跳转到钓鱼的链接上

第二种则是直接跳转到钓鱼链接

跟踪这个跳转地址

第二跳来到了 openvpn.app.link

继续跳转到了 https://nmydf.org/

随后跳转到实际展示的钓鱼地址 openvpm.com

附钓鱼测试效果视频

https://www.youtube.com/watch?v=hg1us_e0xcI

附:在 Chrome 无痕模式也复现成功了

附:钓鱼 dmg 样本

https://drive.google.com/file/d/1t4kr0nKBensiKjVwqr1LEac7xOBLBz27/view?usp=drive_link

3359 次点击
所在节点    信息安全
15 条回复
mohumohu
174 天前
This website has been reported for potential phishing.
ysc3839
174 天前
啊?谷歌这么坑的吗?假的网站还能标个官网域名?
yuzo555
174 天前
实测也会跳到 openvpn.app.linknmydf.org 这两个域名,
但我这边 nmydf.org 跳转到的地址是正确的 openvpn.net 网站
我查了下 nmydf.org 的 DNS 解析,全球似乎都是解析到 Cloudfare 的公网 IP 地址,

楼主截图中解析到了 198.18.1.55 ,这是一个内网地址,可能是你的内网有劫持。
KomeijiSatori
174 天前
@yuzo555 198.18.1.55 这个地址是为了测试用而手动启动的 MITM ,关闭后一样能复现
yuzo555
174 天前
你关闭后解析到了哪里?是 Cloudfare 的 IP 吗?
KomeijiSatori
174 天前
-> % nslookup nmydf.org
Server: 10.233.233.1
Address: 10.233.233.1#53

Non-authoritative answer:
Name: nmydf.org
Address: 104.21.19.126
Name: nmydf.org
Address: 172.67.186.44

-> % nslookup openvpn.app.link
Server: 10.233.233.1
Address: 10.233.233.1#53

Non-authoritative answer:
Name: openvpn.app.link
Address: 13.32.50.40
Name: openvpn.app.link
Address: 13.32.50.37
Name: openvpn.app.link
Address: 13.32.50.116
Name: openvpn.app.link
Address: 13.32.50.33
tool2dx
174 天前
用日本 VPS 试了一下,没有复现。

这应该不能劫持的吧,会不会是浏览器插件?
KomeijiSatori
174 天前
@tool2dx 我这边无痕模式测试能复现,curl 测试也能复现,群友挂了日本家宽的代理测试了,有概率复现
Archeb
174 天前
我测试了一下,复现环境要求为 Chrome + 首选语言为 en-US

我推测:谷歌在不确认投放广告者和被采用名义的公司关联的情况下,允许任何人投放一个任意链接(本案例中为 openvpn.app.link ),但是显示的 url ( href )和 logo 、标题都写别人公司的。
ranaanna
174 天前
明显标着スポンサー为什么还要去分析?不懂 。很显然下一条才是真的呀
Altairvelvet
174 天前
看来这里玩广告的人不多。

很明显这是投的 openvpn 官网,但是设置了跟踪模板链接跳转到诈骗网站。

谷歌在 2023 年就对搜索广告的跟踪模板链接做了限制,必须使用认证过的跟踪模板链接域名才可以这么玩了。

同样被这么玩的黑产广告还有阿迪耐克以及 Telegram 。
duzhuo
173 天前
@ranaanna 你把 google 换成百度试试🙊跳转诈骗网站在谁家能不被骂
ranaanna
173 天前
@duzhuo 那你在“百度”上搜 openvpn 试试看?"干净"到没有怎么玩嘛,还不如被骂呢
la0wei
173 天前
跑个题,网络真丝滑
GeekGao
173 天前
屏蔽搜索广告即可解决。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054913

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX