大家好,qq钓鱼流量领取网站源码分享相信很多的网友都不是很明白,包括qq钓鱼网站在线生成也是一样,不过没有关系,接下来就来为大家分享关于qq钓鱼流量领取网站源码分享和qq钓鱼网站在线生成的一些知识点,大家可以关注收藏,免得下次来找不到哦,下面我们开始吧!
研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。
网络安全公司TrustwaveSpiderLabs发现超过3,000封包含钓鱼URL的电子邮件在过去90天内使用了IPFS,很明显IPFS正日益成为钓鱼网站的流行平台。
一、IPFS是什么?攻击者为什么要使用它?
IPFS(InterPlanetaryFileSystem,星际文件系统)创建于2015年,是一种内容可寻址的对等超媒体分发协议,旨在创建持久且分布式存储和共享文件的网络传输协议,在IPFS网络中的节点将构成一个分布式文件系统,使用加密哈希而非URL或文件名来存储和分析文件数据。每个哈希都成为了一个唯一的内容id(CID)。要实现对特定内容的访问,用户需要一个网关主机名和文件的内容Id:
https://<Gateway>/ipfs/<CIDHash>
目前,大多数数据传输采用HTTP协议,而IPFS旨在通过P2P网络打造一个完全去中心化的网络。
图1P2P网络(右)与中心化网络(左)对比
通过IPFS配置,共享文件被分发到在整个网络文件系统中充当节点的其他机器,因此可以在需要时访问它。
在集中式网络中,如果服务器关闭或链接断开,则无法访问数据。而使用IPFS,数据是持久的。自然,这延伸到存储在网络中的恶意内容。删除存储在IPFS上的网络钓鱼内容可能很困难,因为即使在一个节点中将其删除,它仍可能在其他节点上可用。
此外,在合法的P2P网络中是很难发现恶意流量的。数据永久保存、鲁邦的网络和缺乏监管,IPFS是攻击者保存和分享恶意内容的理想平台。
二、我们如何识别IPFSURL?
如前所述,CID是一个标签,用于指向IPFS网络中的内容。不是基于位置的寻址,而是使用该内容的哈希请求数据。IPFS默认使用sha-256哈希算法。
IPFS的CID版本0最初设计为使用base58编码的多重哈希作为内容标识符。版本0以“Qm”开头,长度为46个字符。
但是,在最新的CIDv1中,它包含一些前导标识符,这些标识符准确地阐明了使用的表示形式,以及内容哈希本身。它包括一个解码算法链接到用于解码CID的现有软件实现。
为了使CID适合DNS标签,子域网关将具有自定义基础(如base16)的路径转换为base32或base36:
示例网址:
dweb.link/ipfs/f01701220c3c4733ec8affd06cf9e9ff50ffc6bcd2ec85a6170004bb709669c31de94391
返回一个HTTP301重定向:
bafybeigdyrzt5sfp7udm7hu76uh7y26nf3efuylqabf3ociplgtqy.
IPFS链接通常具有以下通用格式:
https://ipfs.io/ipfs/{46个随机字符串}?(filename|key)={随机字符串}https://ipfs.io/ipfs/{46个随机字符串}?filename={文件名}\\.html&emailtoken={电子邮件地址}https://ipfs.io/ipfs/{46个随机字符串}{targetemailaddress}
hxxps://{59randomcharacterstring}.ipfs.nftstorage[.]link/#{targetemailaddress}
图5.使用Nftstorage-IPFS的钓鱼URL示例
钓鱼行为:
钓鱼URL的源码常使用‘Unescape’编码。然后,解码的源码中含有钓鱼代码注入模板。
图5.1使用unescape编码格式的源码
四、滥用web托管网站的钓鱼邮件
包含账单收据的虚假通知钓鱼邮件如下所示:
图6.Phishingemail
该消息指出已处理Azure订阅的付款,并附上账单收据以供参考。发件人声称自己是“邮件管理员”,并且该域不属于Microsoft。其他值得注意的细节是其Message-ID中缺少的域和主题行中不寻常的句子格式。
图6.1欺骗邮件的header信息
恶意HTML附件中含有JS代码,可以启动钓鱼页面。其中,setTimeout()函数用来在新的浏览器标签页中打开钓鱼URL。函数中的location.href可以设置当前页面的URL。
图7.来自HTML附件的代码
该附件指向一个虚假的Microsoft网站,该网站声明用户需要支付他们的Azure声明。
图8.滥用Fleek-IPFS服务的钓鱼网站
按下“Contactyourbillingadministrators”(联系账单管理员)后会转向最终的网站payload,要求用户输入微软凭证登录后才能继续。
图8.1伪造的微软登录页
网站的源代码是百分号编码(Percent-Encoding)。
图8.2混淆的源代码
使用unescape函数可以看到解码后的网站内容:
图8.3解码后的网站源代码内容
我们还可以从解码脚本中看到,垃圾邮件发送者正在滥用域“surge.sh”来获取他们的网络钓鱼图像资源。Surge是一个静态网站主机,用户可以通过命令行与之交互。
图8.4钓鱼网站的图像源
进一步分析表明,垃圾邮件发送者使用的钓鱼模板位于‘o365spammerstestlink[.]surge[.]sh’的URL:
图8.5垃圾邮件发送使用的模板
最后,submit按钮被按下后,窃取的凭证就会被post。
图8.6使用POST方法的代码段
在解码脚本的开头,我们可以看到一个签名“codebyt.me/o635spams”。此链接指向一个名为O365SpamTools的Tg组。Tg是一个加密的在线消息应用程序,可在多个设备上运行。在撰写本文时,垃圾邮件发送者组有236名成员,他们声称向Office365发送垃圾邮件。
图9.Telegram垃圾邮件组
五、结论
通过利用IPFS的分布式云服务的概念,网络钓鱼技术取得了飞跃。
IPFS成为网络钓鱼新场所的主要原因之一是许多网络托管、文件存储或云服务现在都提供IPFS服务。这意味着网络钓鱼者可以更灵活地创建新类型的网络钓鱼URL。此外,垃圾邮件发送者可以通过在合法的Web托管服务中托管他们的内容或使用多种URL重定向技术来帮助阻止使用URL信誉或自动URL分析的扫描程序来轻松伪装他们的活动。
及时了解最新技术和网络威胁有助于防止用户成为网络钓鱼等网络威胁的受害者。与往常一样,我们提醒大家在这个瞬息万变的数字环境中保持警惕。
深度科普|网络钓鱼的“新温床”IPFS
qq钓鱼流量领取网站源码分享的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于qq钓鱼网站在线生成、qq钓鱼流量领取网站源码分享的信息别忘了在本站进行查找哦。