- 無作為な番号から詐欺SMSを受け取る。「USPSの荷物が到着したが、住所の誤りにより配達できない。下のリンクをクリックして住所を確認..」
- 詐欺だとすぐに気づいたが、ほかの人はだまされるかもしれない。私の妻も数か月前にだまされた
- これをオンラインのチャネルで共有すると、誰か(S1nと呼ぶことにする)が詐欺師に復讐することを決意
初期調査
nmap スキャンで、彼らが使っているさらに多くのドメインとリージョンを確認- Burp Suiteを使ってトラフィックを傍受しながらサイトを調査
- メッセージに含まれていたサイトは、本物のUSPSサイトのクローンに見える
- 同一のIPを確認し、詐欺師のものだと確信
WebSocket通信
- WebSocket通信を通じてファイル名を送り、内容を返してもらう
- これはローカルファイルインクルード(LFI)の脆弱性につながる
- LFIを通じて環境に関するさらに多くの情報を得る
PHPファイルの分析
- 詐欺サイトのすべてのPHPファイルを確保
- ファイルは非常に難読化されており、中国語の文字が含まれている
- Telegramチャネルを通じて通信し、MySQLサーバーにデータを保存
追加情報の収集
nginx アクセスログから設定IPを確認- 証明書情報とIPをもとに、中国の詐欺師だと推定
SQLインジェクション
- POSTパラメータに単一引用符を使ってエラーを発生させる
- SQLMapを使って詐欺師のデータベースにアクセス
- データベース内部を調査しながら、詐欺師の情報を確認
データベース探索
admin テーブルで詐欺師の管理者情報を確認config テーブルでサイト設定情報を確認userinfo テーブルで被害者たちの詳細情報を確認。3818人が登録されているrecords テーブルでサイト訪問者の追跡情報を確認
まとめ
- S1nはこのすべての証拠をどう扱うかは語っていないが、おそらく集めた証拠をインターネット犯罪センターに渡し、サイトを閉鎖させて法の裁きを受けさせるつもりだろう
3件のコメント
日本国内にもこういう変なURLを送ってくるスパムメッセージは多いですが、同じようにやってみれば可能なんでしょうか?
国内法上、海外サーバーへの攻撃も問題になる可能性があります。
少なくとも公の場では、かなり限定的にしか許可されていなかったと認識しています。
Hacker Newsのコメント
NanoBaiter: YouTubeで詐欺師をおびき寄せ、彼らのシステムをハッキングして運営を妨害している
暗号化されたパスワードのソルト値:
"wangduoyu666!.+-"が使われている"wangduoyu666"、"wangduoyu8"、"wdy666666"などの類似したユーザー名が見つかっている技術倫理教育: 中国のあるコンピュータサイエンス学生が、学んだ技術を使って副収入を得ている
Smishing Triadネットワーク: 1日に最大10万件の詐欺テキストメッセージを世界中に送信している
サイバー犯罪者のハッキング: サイバー犯罪者をハッキングすることが法的に処罰されうるのかという問い
ハッカーや詐欺師を無視する方法: ハッカーや詐欺師は無視するのが最善だと学んだ
新しい電話/テキストメッセージ基盤の必要性: 番号スプーフィングを防ぎ、詐欺の試みをフィルタリングする基盤の必要性を強調している
CFAAの例外条項: このような状況のためのCFAAの例外条項が必要だと主張している