フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件

渗透技巧 1年前 (2023) admin
50 0 0

JPCERT/CCでは、2023年7月上旬に、日本国内で利用されていたドメインが不正に別のレジストラーに移管されるドメインハイジャックの事例を確認しました。今回は、その攻撃事例を紹介します。
2023 年 7 月初,JPCERT/CC 确认了一起域名劫持案件,其中在日本使用的域名被非法转让给另一家注册商。 在本文中,我们将介绍一个攻击示例。

攻撃の概要 攻击概述

図1は、今回の攻撃の流れを図にしたものです。攻撃者は、事前に検索サイトの広告でレジストラーのフィッシングサイトが表示されるようにしていました。
图 1 说明了攻击的流程。 攻击者以前曾确保搜索网站上的广告显示注册商网络钓鱼网站。

フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件

図1: 攻撃の流れ 图 1:攻击流

フィッシングサイトにアクセスしたドメイン管理担当者が、アカウントおよびパスワード(以下「認証情報」という。)を入力することで、攻撃者に認証情報を窃取されます。このフィッシングサイトに認証情報を入力すると、正規サイトにログイン済みの状態としてリダイレクトする仕組みとなっており、フィッシングの被害に気付きにくいようになっていました。
访问网络钓鱼站点的域管理员必须向您提供您的帐户和密码(以下简称“凭据”)。 ) 以允许攻击者窃取身份验证信息。 当您在此网络钓鱼站点上输入凭据时,您将被重定向,就好像您已登录到合法站点一样,因此很难注意到网络钓鱼的损害。

その後、攻撃者は、窃取した認証情報を使用して、レジストラーの正規サイトにログインし、ドメインを別のレジストラーに移管する手続きを行いました。 なお、ドメイン管理担当者が対象ドメインに対してドメイン移管ロックの機能を利用していましたが、攻撃者自身がドメイン移管ロックの解除を行っています。ドメイン移管ロックの解除手続きにおいて、ユーザー本人の意思確認として連絡先メールアドレスに対してメールを送り、そのメールで承認する手続きが取られてますが、攻撃者によりこの連絡先メールアドレスも変更されてました。
然后,攻击者使用被盗的凭据登录到注册商的合法站点,并将域转移到另一个注册商。 请注意,域管理员对目标域使用了域转移锁定功能,但攻击者自己释放了域转移锁定。 在域转移解锁过程中,向联系人电子邮件地址发送了一封电子邮件作为用户意图的确认,并采取了批准电子邮件的过程,但攻击者也更改了此联系人电子邮件地址。

事前対策

このような被害にあわないための対策として、次の対応を推奨します。
建议采取以下措施来防止此类损坏。

  • 検索サイトで表示されたリンクが正しいものと断定せず、確認済みの公式アプリや、WebブラウザーにブックマークしていたURLからアクセスする
    不要确定搜索网站上显示的链接是否正确,而是从已确认的官方应用程序或网络浏览器中添加书签的URL访问它。
  • サイトの提供するセキュリティ機能(2段階認証など)を活用する
    利用网站提供的安全功能(如两步验证)
  • 簡単なパスワードや、同じパスワードの使いまわしを避ける
    避免使用简单密码或重复使用相同的密码
参考情報

[1] フィッシング対策協議会: フィッシングとは
[1] 反网络钓鱼委员会:什么是网络钓鱼?

    https://www.antiphishing.jp/consumer/abt_phishing.html

[2] フィッシング対策協議会: 利用者向けフィッシング詐欺対策 ガイドライン(※ PDF ファイル)
[2] 反网络钓鱼委员会:用户反网络钓鱼指南 (*PDF 文件)

    https://www.antiphishing.jp/report/consumer_antiphishing_guideline_2023.pdf

[3] JPCERT/CC: STOP! パスワード使い回し!
[3] JPCERT/CC: STOP! 重复使用密码!

    https://www.jpcert.or.jp/pr/stop-password.html

また、攻撃者の手法の変化にともない、サイト上で新しいセキュリティ機能が提供されるケースもありますので、定期的に利用されているサービス提供事業者の情報を確認することも推奨します。
此外,随着攻击者方法的变化,网站上可能会提供新的安全功能,因此建议检查经常使用的服务提供商的信息。

事後対応

もし、ドメインハイジャックの被害を受け、不正にドメイン移管をされた場合は、ドメイン管理で利用しているレジストラーに相談をお願いします。
如果您是域名劫持的受害者并非法转移了您的域名,请咨询您用于域名管理的注册商。

参考情報

[1] ICANN: Registrar Transfer Dispute Resolution Policy
[1] ICANN:注册服务商转让争议解决政策

    https://www.icann.org/resources/pages/tdrp-2016-06-01-en

[2] JPCERT/CC: DNSの不正使用手法をまとめた技術ドキュメントの公開
[2] JPCERT/CC:发布总结DNS滥用方法的技术文件

    https://blogs.jpcert.or.jp/ja/2023/07/DNS-Abuse-Techniques-Matrix.html

おわりに 结论

使用しているドメインが移管されてしまうと、そのドメインで運営していたサイトや、サイトを閲覧するユーザーに大きな影響を及ぼします。 また、状況によってはドメインの返還手続きなどに時間がかかることや、最悪のケースとして返還されない可能性もありますので、このような被害にあわないよう、事前に利用しているサービスのアカウントのセキュリティ対策をご確認ください。
如果您的域名被转移,它将对您在该域名上运营的网站以及浏览您网站的用户产生重大影响。 此外,根据情况,返还域名可能需要一些时间,或者在最坏的情况下,可能无法返还,因此请提前检查您正在使用的服务帐户的安全措施,以防止此类损坏。

 

原文始发于水野 哲也 (Tetsuya Mizuno):フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件

版权声明:admin 发表于 2023年10月26日 上午8:41。
转载请注明:フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...