诈骗者是否控制了子域来托管网络钓鱼站点?

信息安全 证书 网络钓鱼 dns 域
2021-09-07 20:39:37

今天早上我收到了一条来自银行的短信(表面上):

我们需要与您联系。请访问https://paymentassistance.nationwide.co.uk了解更多信息

我的蜘蛛侠感觉立刻刺痛了。我以前从未收到过银行发来的短信,当他们给我发电子邮件时,他们总是使用我的姓名和邮政编码。但是,national.co.uk 是我银行的正确域。出于好奇(并且怀着一种健康的怀疑态度),我在电脑上输入了 URL。

是钓鱼网站吗?

  1. 它使用与熟悉的网站http://www.nationwide.co.uk相同的主题和颜色
  2. 它有一个 https URL(来自 Symantec 的证书)
  3. 它的页脚中有熟悉网站的链接,但它自己版本的“联系我们”页面带有备用电话号码 0800 464 3050。将https://paymentassistance.nationwide.co.uk/doc/contactUshttp进行比较: //www.nationwide.co.uk/support/contact-us/call-us#xtab:credit-cards
  4. 该电话号码仅出现在该页面上,而不出现在熟悉的网站或网络上的其他地方。它与我卡上印的号码不同 (0800 055 66 11)
  5. 该表格要求提供您的姓名、地址和信用卡号的最后四位数字(不是全部)
  6. 如果您尝试登录(我使用了虚构的数据)它会失败并要求您给他们打电话(在可疑号码上)
  7. 如果您拨打该号码,录音会回答“欢迎使用 Nationwide 信用卡服务。出于质量和培训目的,您的电话可能会被录音。”
  8. 然后录音会询问您信用卡号码的所有 16 位数字。
  9. 输入一个虚构的 16 位数字后,一位自称凯莉的友好女士接了电话。我挂了。

如果这是网络钓鱼,我不明白:

  1. 诈骗者如何控制子域?他们入侵了 Nationwide 的计算机吗?(DNS 服务器?)
  2. 他们是如何获得 SSL 证书的?

看起来这个页面至少从 2014 年 1 月开始运行:

推特用户向银行询问此事,但他们没有回复。

2个回答

从外观上看,假设您提供的链接是正确的,他们没有。

通过使用 Nationwide 网站(通过手动输入域名访问,以排除任何类似的字符攻击),并使用搜索功能 ( http://www.nationwide.co.uk/search?term=payment%20assistance ) ,该子域出现在结果列表中。

搜索结果

第二个结果的链接是https://paymentassistance.nationwide.co.uk/

处理此类事情的一般方法是执行此操作 - 搜索并检查您使用的地址是否正确(如果您有来自组织的文件并附有地址,那就更好了)。输入它,而不是点击链接,以防万一。如果他们有搜索引擎,请寻找任何可疑的东西,如果出现,很可能是合法的。您也可以尝试给他们打电话,或者在银行的情况下到您当地的分行验证这一点。

其他信息我通过他们的网上银行联系部分联系了 Nationwide,并得到了以下回复:

完全了解这会如​​何引起您的一些担忧。

别担心,这是一个真正的全国性网站。这来自我们的信用卡服务,因为他们很可能希望与您再次核对付款。继续完成此操作对您来说是完全安全的。

如果您对在线完成此操作有些不安,请直接致电我们的信用卡服务部。

如果您仍然担心,我建议您通过这种方式联系!

我怀疑 paymentassistance.nationwide.co.uk 是由 Nationwide Building Society(national.co.uk 的运营商)运营的合法* 网站。

进行一些 DNS 查询:paymentassistance.nationalwide.co.uk 的 A 记录指向 80.69.23.142。national.co.uk 的 A 记录指向 155.131.144.11。

深入研究这两个 IP 的 BGP 路由:155.131.144.11 位于 AS 块 AS13114 和 AS8698 中 - 两者都由 RIPE 分配给 Nationwide Building Society。另一方面,80.69.23.142 位于 AS 块 AS21371 中,由 RIPE 分配给“Equinix Limited”。Equinix Limited 似乎是数据中心业务的公司,也是云服务器、网络托管等的提供商。

Nationwide Building Society 可能会将 paymentassistance.nationwide.co.uk 的托管外包给 Equinix Limited,但考虑到他们使用自己的 IP 空间托管 national.co.uk,这将是令人惊讶的。

如果事实上 paymentassistance.nationwide.co.uk 是一个流氓网站,那么运行这个网站的人是如何设法控制这个主机名的,以及他们是如何获得这个网站的有效证书的——就像你在你的问题。当然,对这些问题的任何回答都是推测,但一种可能性是它可能是 Nationwide Building Society 的一名员工的内部工作,或者攻击者可能得到了 Nationwide 员工的帮助。或者,攻击者可能已经获得了对 national.co.uk 的 DNS 的访问权限(可能是通过对 Nationwide 的系统管理员的社会工程类型的攻击,或者可能通过控制系统管理员的计算机) - 因此攻击者可能已经创建了paymentassistance.nationwide.co.uk 并获得了该主机名的域验证 SSL 证书。 或者,正如 NReilingh 在他的评论中敏锐地指出的那样,paymentassistance.nationwide.co.uk 可以简单地由 Nationwide Building Society 的分包商运营。

*编辑:响应 NReilingh 的评论,第一段中的“合法”字样。

其它你可能感兴趣的问题
上一篇将家庭服务器打开到 Internet 时应该注意什么? 下一篇奇数密码加扰算法