Home Sign Up Sign In
KomeijiSatori

今日遇到的 OpenVPN 钓鱼

  •   
  •   KomeijiSatori · Jul 4, 2024 · 4243 views
    This topic created in 677 days ago, the information mentioned may be changed or developed.

    网络环境:东京都 NTT OCN 家庭宽带

    复现流程:

    Google 日本搜索 openvpn macos download

    第一项 スポンサー 则为钓鱼结果

    Untitled

    最终钓鱼页面

    https://cdn.sa.net/2024/07/04/c2mCL3YqeftnNlG.png

    具体钓鱼细节有可能出现两种情况:

    第一种是 href 为 正确的域名,但是有 data-rw 字段,点击后实际跳转到钓鱼的链接上

    Untitled

    第二种则是直接跳转到钓鱼链接

    https://cdn.sa.net/2024/07/04/YUu3cxlVBDhIJpv.png

    跟踪这个跳转地址

    https://cdn.sa.net/2024/07/04/hIQGq5AdTLZz3eK.png

    第二跳来到了 openvpn.app.link

    Untitled 继续跳转到了 https://nmydf.org/

    Untitled

    随后跳转到实际展示的钓鱼地址 openvpm.com

    附钓鱼测试效果视频

    https://www.youtube.com/watch?v=hg1us_e0xcI

    附:在 Chrome 无痕模式也复现成功了

    incognito

    附:钓鱼 dmg 样本

    https://drive.google.com/file/d/1t4kr0nKBensiKjVwqr1LEac7xOBLBz27/view?usp=drive_link

    Supplement 1  ·  Jul 4, 2024

    update

    目前已无法在Google搜索复现,但curl测试仍然正常

    curl

  • OpenVPN
  • 钓鱼
  • ntt
    15 replies    2024-07-05 20:43:38 +08:00
    mohumohu
        1
    mohumohu  
       Jul 4, 2024
    This website has been reported for potential phishing.
    ysc3839
        2
    ysc3839  
       Jul 4, 2024 via Android
    啊?谷歌这么坑的吗?假的网站还能标个官网域名?
    yuzo555
        3
    yuzo555  
       Jul 4, 2024
    实测也会跳到 openvpn.app.linknmydf.org 这两个域名,
    但我这边 nmydf.org 跳转到的地址是正确的 openvpn.net 网站
    我查了下 nmydf.org 的 DNS 解析,全球似乎都是解析到 Cloudfare 的公网 IP 地址,

    楼主截图中解析到了 198.18.1.55 ,这是一个内网地址,可能是你的内网有劫持。
    KomeijiSatori
        4
    KomeijiSatori  
    OP
       Jul 4, 2024
    @yuzo555 198.18.1.55 这个地址是为了测试用而手动启动的 MITM ,关闭后一样能复现
    yuzo555
        5
    yuzo555  
       Jul 4, 2024
    你关闭后解析到了哪里?是 Cloudfare 的 IP 吗?
    KomeijiSatori
        6
    KomeijiSatori  
    OP
       Jul 4, 2024
    -> % nslookup nmydf.org
    Server: 10.233.233.1
    Address: 10.233.233.1#53

    Non-authoritative answer:
    Name: nmydf.org
    Address: 104.21.19.126
    Name: nmydf.org
    Address: 172.67.186.44

    -> % nslookup openvpn.app.link
    Server: 10.233.233.1
    Address: 10.233.233.1#53

    Non-authoritative answer:
    Name: openvpn.app.link
    Address: 13.32.50.40
    Name: openvpn.app.link
    Address: 13.32.50.37
    Name: openvpn.app.link
    Address: 13.32.50.116
    Name: openvpn.app.link
    Address: 13.32.50.33
    tool2dx
        7
    tool2dx  
       Jul 4, 2024
    用日本 VPS 试了一下,没有复现。

    这应该不能劫持的吧,会不会是浏览器插件?
    KomeijiSatori
        8
    KomeijiSatori  
    OP
       Jul 4, 2024
    @tool2dx 我这边无痕模式测试能复现,curl 测试也能复现,群友挂了日本家宽的代理测试了,有概率复现
    Archeb
        9
    Archeb  
       Jul 4, 2024
    我测试了一下,复现环境要求为 Chrome + 首选语言为 en-US

    我推测:谷歌在不确认投放广告者和被采用名义的公司关联的情况下,允许任何人投放一个任意链接(本案例中为 openvpn.app.link ),但是显示的 url ( href )和 logo 、标题都写别人公司的。
    ranaanna
        10
    ranaanna  
       Jul 4, 2024
    明显标着スポンサー为什么还要去分析?不懂 。很显然下一条才是真的呀
    Altairvelvet
        11
    Altairvelvet  
       Jul 4, 2024   ❤️ 4
    看来这里玩广告的人不多。

    很明显这是投的 openvpn 官网,但是设置了跟踪模板链接跳转到诈骗网站。

    谷歌在 2023 年就对搜索广告的跟踪模板链接做了限制,必须使用认证过的跟踪模板链接域名才可以这么玩了。

    同样被这么玩的黑产广告还有阿迪耐克以及 Telegram 。
    duzhuo
        12
    duzhuo  
       Jul 5, 2024 via Android
    @ranaanna 你把 google 换成百度试试🙊跳转诈骗网站在谁家能不被骂
    ranaanna
        13
    ranaanna  
       Jul 5, 2024
    @duzhuo 那你在“百度”上搜 openvpn 试试看?"干净"到没有怎么玩嘛,还不如被骂呢
    la0wei
        14
    la0wei  
       Jul 5, 2024
    跑个题,网络真丝滑
    R4rvZ6agNVWr56V0
        15
    R4rvZ6agNVWr56V0  
       Jul 5, 2024
    屏蔽搜索广告即可解决。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3384 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 13:01 · PVG 21:01 · LAX 06:01 · JFK 09:01
    ♥ Do have faith in what you're doing.