垃圾邮件活动幕后那些诡计多端的网络罪犯们利用内容管理系统上的某个脆弱组件,通过滥用短链接来伪造.gov后缀站点的URL,该链接本是用于验证重定向到美国政府web站点链接是否真实。
此次活动的传播速度很快,在5天内超过16000名的受害者被重定向到某个恶意web站点。该站点看起来像CNBC新闻文章,导致了好几起骗局。根据隶属Dell的安全公司SecureWorks收集的数据来看,钓鱼者们已经滥用了好几个美国政府域名,包括Vermont.gov、Iowa.gov、Indiana.gov、ca.gov、Guam.gov和Vermont.gov,这些域名好像是本月为止被滥用次数最多的网站。
电子垃圾邮件一直是散布此类短链接的主要方法,SecureWorks公司反威胁部门的Jeff Jarmoc写到。“尽管看起来这些攻击者没有专门以.gov站点为目标,也没有利用政府网站作为诱饵。但是他们能够生成.gov短链接,导致用户访问恶意域名的问题还是令人担心”,Jarmoc在星期三发布的一篇关于钓鱼式骗局的建议中写到。“如果是与政府有关的消息、例如伪造成通常报税季度的钓鱼邮件,这些垃圾邮件甚至可能会诱惑聪明的用户点击链接”。
据SecureWorks公司表示, 在此次持续进行的垃圾邮件活动中许多此类链接滥用1.usa.gov短URL。该 1.usa.gov短URL服务由美国政府运作,与bitly.com域名是合作伙伴关系。该网站是让用户提交一个位于.gov或是.mil顶级域名上的长URL给bitly网站。该服务的目标是使验证美国政府站点短URL的真实性更加容易。
“尽管出发点是好的,但是1.usa.gov短链接似乎无法保证这些URL最终地址是值得信任的政府web站点”,Jarmoc写到。Dell公司追踪此次攻击中恶意服务器使用的IP地址是位于莫斯科的主机托管服务商InMotion Hosting 有限公司,它的总部在洛杉矶。
钓鱼者利用公开的重定向缺陷
这些网络罪犯们寻找使用DotNetNukes脆弱版本的LinkClick.aspx页面的服务器,该软件用于让web站点开发人员可以配置一整套自定义重定向规则。“利用在这个.aspx文件中的开放重定向漏洞,攻击者能够将流量定向到处于其控制之下的非.gov站点,而在初始信息中只显示一个1.usa.gov短链接”,Jarmoc写到。开放重定向漏洞是web应用中常见的编码错误,它通过逃避防护机制简化钓鱼攻击。攻击者们能够搭建伪造的页面,更容易地欺骗人们交出账户凭证、或是用恶意软件感染他们的系统。