今日遇到的 OpenVPN 钓鱼

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 127 天前的主题，其中的信息可能已经有所发展或是发生改变。

网络环境：东京都 NTT OCN 家庭宽带

复现流程：

Google 日本搜索 openvpn macos download

第一项スポンサー则为钓鱼结果

Untitled

最终钓鱼页面

具体钓鱼细节有可能出现两种情况：

第一种是 href 为正确的域名，但是有 data-rw 字段，点击后实际跳转到钓鱼的链接上

Untitled

第二种则是直接跳转到钓鱼链接

跟踪这个跳转地址

第二跳来到了 openvpn.app.link

Untitled 继续跳转到了 https://nmydf.org/

Untitled

随后跳转到实际展示的钓鱼地址 openvpm.com

附钓鱼测试效果视频

https://www.youtube.com/watch?v=hg1us_e0xcI

附：在 Chrome 无痕模式也复现成功了

incognito

附：钓鱼 dmg 样本

https://drive.google.com/file/d/1t4kr0nKBensiKjVwqr1LEac7xOBLBz27/view?usp=drive_link

第 1 条附言 · 126 天前

update

目前已无法在Google搜索复现，但curl测试仍然正常

curl

15 条回复 • 2024-07-05 20:43:38 +08:00

mohumohu

127 天前

This website has been reported for potential phishing.

ysc3839

127 天前 via Android

啊？谷歌这么坑的吗？假的网站还能标个官网域名？

yuzo555

127 天前

实测也会跳到 openvpn.app.link 和 nmydf.org 这两个域名，
但我这边 nmydf.org 跳转到的地址是正确的 openvpn.net 网站
我查了下 nmydf.org 的 DNS 解析，全球似乎都是解析到 Cloudfare 的公网 IP 地址，

楼主截图中解析到了 198.18.1.55 ，这是一个内网地址，可能是你的内网有劫持。

KomeijiSatori

127 天前

@yuzo555 198.18.1.55 这个地址是为了测试用而手动启动的 MITM ，关闭后一样能复现

yuzo555

127 天前

你关闭后解析到了哪里？是 Cloudfare 的 IP 吗？

KomeijiSatori

127 天前

-> % nslookup nmydf.org
Server: 10.233.233.1
Address: 10.233.233.1#53

Non-authoritative answer:
Name: nmydf.org
Address: 104.21.19.126
Name: nmydf.org
Address: 172.67.186.44

-> % nslookup openvpn.app.link
Server: 10.233.233.1
Address: 10.233.233.1#53

Non-authoritative answer:
Name: openvpn.app.link
Address: 13.32.50.40
Name: openvpn.app.link
Address: 13.32.50.37
Name: openvpn.app.link
Address: 13.32.50.116
Name: openvpn.app.link
Address: 13.32.50.33