SEO SORGULA
Giriş Yap/Üye Ol

Kimlik Avı Sayfaları

Seo Google Haber 12.Nis.2022 13 görüntülenme 0 yorum

web phishing

TD Bank'ı hedefleyen bir kimlik avı kitini incelerken, kaynak HTML'de garip bir karışık JavaScript parçası fark ettim:

var _0x8142 = ['\x6D\x61\x74\x63\x68', '\x68\x6F\x73\x74', '\x6C\x6F\x63\x61\x74\x69\x6F\x6E', '\x73\x63\x72\x69\x70\x74', '\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74', '\x74\x79\x70\x65', '\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74', '\x61\x73\x79\x6E\x63', '\x69\x6E\x6E\x65\x72\x48\x54\x4D\x4C', '\x28\x66\x75\x6E\x63\x74\x69\x6F\x6E\x28\x29\x20\x7B\x28\x6E\x65\x77\x20\x49\x6D\x61\x67\x65\x28\x29\x29\x2E\x73\x72\x63\x20\x3D\x20\x27\x2F\x2F\x69\x6D\x61\x67\x65\x73\x2D\x63\x64\x6E\x2E\x69\x6E\x66\x6F\x2F\x35\x39\x30\x2F\x69\x6D\x61\x67\x65\x2E\x67\x69\x66\x27\x20\x7D\x29\x28\x29\x3B', '\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65', '\x69\x6E\x73\x65\x72\x74\x42\x65\x66\x6F\x72\x65',  '\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65' ]; (function() { if (window[_0x8142[2]][_0x8142[1]][_0x8142[0]](/(?![a-z0-9-].*?\.)?(tdbank\.com)$/) === null) { var _0xbfd8x1 = document[_0x8142[4]](_0x8142[3]); _0xbfd8x1[_0x8142[5]] = _0x8142[6]; _0xbfd8x1[_0x8142[7]] = true; _0xbfd8x1[_0x8142[8]] = _0x8142[9]; var _0xbfd8x2 = document[_0x8142[10]](_0x8142[3])[0]; _0xbfd8x2[_0x8142[12]][_0x8142[11]](_0xbfd8x1, _0xbfd8x2); } })();

Piksel Karşı Tedbirini İzleme 

Gizlemeyi kaldırdıktan sonra geriye düz metin JavaScript kalıyor:

 (function () {
     if (window.location.host.match(/(?![a-z0-9-].*?\.)?(tdbank\.com)$/) === null) {
         var _0xbfd8x1 = document.createElement('script');
         _0xbfd8x1.type = 'text/javascript';
         _0xbfd8x1.async = true;
         _0xbfd8x1.innerHTML = "(function() {(new Image()).src = '//images-cdn.info/590/image.gif' })();";
         var _0xbfd8x2 = document.getElementsByTagName('script')[0];
         _0xbfd8x2.parentNode.insertBefore(_0xbfd8x1, _0xbfd8x2);
     }
 })();

JavaScript , işlevi kullanarak tarayıcının URL'sini normal bir ifadeylewindow.location.host.match karşılaştırır .

Tarayıcıdaki URL etki alanını kullanmıyorsa, JavaScripttdbank.com etki alanına bir istek göndererek "izleme pikselini" yükler images-cdn.info:

images cdn
Tarayıcının URL'si tdbank.com'dan yüklenmediğinden, izleme pikseli isteği images-cdn.info'ya gönderilir.

HTTP isteği gönderildiğinde, isteğin gönderildiği alan adını ortaya çıkaran alana yönlendiren URL'yiimages-cdn.info içerir .Referer:

GET /590/image.gif HTTP/1.1
Host: images-cdn.info
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Accept: image/webp,*/*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://localhost/
Pragma: no-cache
Cache-Control: no-cache

Bu nedenle, etki alanını işleten güvenlik şirketi için, yalnızca erişim günlüklerindeki alanı images-cdn.infoizleyerek kimlik avı içeriği içermesi muhtemel yeni etki alanları bulabilirler .Referer:images-cdn.info

Tek gereken, bir kişinin kimlik avı sayfasını yüklemesidir (örneğin, kimlik avcıları çoğu zaman kimlik avı sayfasını test eder) ve sayfanın kaldırılması için yeterli olacaktır.

Kimlik Avı Sayfalarında Neden Bu İzleyici Var? 

Kimlik avcıları , kimlik avı hedeflerinin giriş sayfası kaynaklarını hızlı bir şekilde indirmek için genellikle HTTrack gibi kazıma araçlarını kullanır .

Oradan, indirilen kaynakları kimlik avı sayfalarını yapmak için değiştirebilirler, ancak kazınmış kaynaklardan yüklenen mevcut kaynakları her zaman kontrol etmezler.

Temel olarak çalınan eşyaları gerçek zamanlı olarak izlemek için GPS kullanmaya eşdeğerdir.


detectedpGoogle'da arama images-cdn.infoyaparsanız, bunun arkasında kimin olduğuna dair pek bir şey bulamazsınız. Sahip hakkında daha fazla bilgi edinmek için alan adında bir whois çalıştırmanız yeterlidir:Whois Sahibini Açıkladı 

Domain Name: images-cdn.info
Registry Domain ID: 34ec494f76d642c095c3982de2fe96af-DONUTS
Registrar WHOIS Server: whois.godaddy.com/
Registrar URL: http://www.godaddy.com/domains/search.aspx?ci=8990
Updated Date: 2021-11-21T13:16:43Z
Creation Date: 2018-02-25T19:41:45Z
Registry Expiry Date: 2022-02-25T19:41:45Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Ecrime Management Strategies Inc.
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: South Carolina
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US

Gördüğünüz gibi, tescil ettiren kuruluştur Ecrime Management Strategies Inc.ve bu kuruluşun Google'da aranması onu şirkete bağlar PhishLabs.

Böyle bir şirketin, müşterilerini hedefleyen çevrimiçi kimlik avı sayfalarını tespit etmek için bu tür bir alan adını kullanması mantıklıdır.

Yorumlar
Bu yazıya yorum yapan ilk kişi sen ol.