陽楷锴的小港
2035 字
10 分钟
邂逅电邮假冒和其承载的钓鱼网站
2024-05-01
无标签

背景#

最近新入手一个域名。对其用途有清晰的设想,但是设想中的相关项目还远远达不到可以启动的地步……遂先行注册该域名并在项目启动前长期持有。 无论如何这个新域名都是我年轻时候宏伟梦想的象征了。

接连不断的RUA报告#

本文所称「电子邮件假冒」是指Email Spoofing(Wikipedia)。由于我实在不知道这东西的正式中文名称是什么,于是先用Cloudflare的翻译「电子邮件假冒」(出处:什么是电子邮件假冒?)称呼之。

自从我于2024-04-10注册下这个域名,并且配置好大部分保护性措施(包括DMARC、SPF、DKIM记录等)起,截至撰稿时(2024-05-01凌晨),12封由于违反DMARC规则的RUA报告(Aggregate Report)邮件抵达了我的邮箱……平均两天就有一封多。

根据Cloudflare DMARC Management给出的报告,可以得到以下结论:

按来源分类:

  • AS4134(No.31,Jin-rong Street):8封
  • AS9929(CHINA UNICOM Industrial Internet Backbone):4封
  • AS56046(China Mobile Communications Corporation):1封

按去向分类:

  • google.com:6封
  • docomo.co.jp:4封
  • GMO Internet Group Inc.:1封
  • kddi.com:1封

很显然,所有违规邮件都来自同一个地区,而去向则都与发件服务器所在地区不同。

由于这些收件服务器都没有向我发送RUF报告(Forensic Report),所以我并没有办法搞清楚这个域名究竟被用作了什么邮件的发件人。 我相当烦恼,但更多细节在一封特别的邮件中被清楚地展示在我面前。

特别的邮件:退信#

This is the mail system at host mail.chun2.ne.jp. I’m sorry to have to inform you that your message could not be delivered to one or more recipients. It’s attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system

我收到了一封以上面引用块中的文本为开头的电子邮件。大胆推测应该是收件服务器检测到DMARC违规,但没有按照记录中的要求发送RUA或是RUF报告给规定位置,而直接发送了未送达通知到原发件地址。此时,由于我为我的域名设置了MX记录,自然地,这封未送达通知就到了我的收件箱里。

为什么说这封邮件特别?首先因为它不是规范的RUA或是RUF报告,而更重要的是,这个独特的收件服务器(mail.chun2.ne.jp),在未送达通知中附上了邮件原文。这也是我称之为「退信」的原因。

于是乎我得以窥探某些人用这个域名所发邮件的内容的一角。

首先仍然是来源和去向。该邮件来自位于AS4837(CHINA UNICOM China169 Backbone)的一台发件服务器,去向为po.chun2.ne.jp。接着,下面是邮件内容:

Apple机器翻译

发件人:MasterCard 标题:万事达卡:非法使用嫌疑的安全检查。 正文:

感谢您使用【Mastercard】。这次,因为有想确认是否是本人使用的交易,所以非常抱歉,限制了部分卡的使用,并联系了您。 因此,请在以下页面访问后,配合确认卡的使用情况。给您添麻烦和担心,非常抱歉。请您多多谅解。如果没有回答的话,卡的使用限制可能会持续,请提前知悉。

▼确认使用情况请看这里

非常抱歉给您带来不便和担心,请您多多谅解。

发行人 Mastercard 东京都涩谷区樱丘町26-1 Cerulean Tower 16楼

所有用户均被视为已批准并同意本网站客户的隐私使用条款。 ©1994-2024 Mastercard. Mastercard作为机会均等的雇主进行企业活动。

卡丢失、被盗、紧急情况下的账户信息访问等,365天24小时,无论是国内还是海外,都接受万事达卡会员的咨询。https://www.mastercard.us/content/dam/mccom/global/documents/global-services-phone-numbers.pdf

可以搜索包括无接触结算和手机结算在内的信用卡、借记卡、预付万事达卡的加盟店和最近的ATM机。

https://www.mastercard.co.jp/ja-jp/personal/get-support/mastercard-nearby.html

发行人 Mastercard 东京都涩谷区樱丘町26-1 Cerulean Tower 16楼

日语原文

发件人:MasterCard 标题:MasterCardカード:不正使用疑惑のセキュリティチェック 正文:

【Mastercard】利用いただき、ありがとうございます。このたび、ご本人様のご利 用かどうかを確 認させていただきたいお取 引がありましたので、誠に勝手ながら、カードのご利 用を一部制 限させていただき、ご連 絡させていただきました。 つきましては、以下ヘアクセスの上、カードのご利 用確 認にご協力をお願い致します。お客様にはご 迷 惑、ご心配をお掛けし、誠に申し訳ございません。何卒ご理解いただきたくお願い申しあげます。ご回答をいただけない場合、カードのご利 用制 限が継続されることもございますので、予めご了承下さい。

▼ご利用確認はこちら

ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理 解 賜りたくお願い申しあげます。

発行者 Mastercard 東京都渋谷区桜丘町26-1 セルリアンタワー16階

すべてのユーザーは、このWebサイトの顧客のプライバシー利用規約を承認および同意したものと見なされます。 ©1994-2024 Mastercard. Mastercardは、機会均等雇用主として企業活動を行っています。

カードの紛失・盗難、緊急時のアカウント情報へのアクセスなど、365日24時間、国内からでも海外からでも、Mastercard会員様よりのお問い合わせを受け付けています。https://www.mastercard.us/content/dam/mccom/global/documents/global-services-phone-numbers.pdf

コンタクトレス決済やモバイル決済を含むクレジット、デビット、プリペイド Mastercardのご利用いただける加盟店や最寄りのATMを検索をいただけます。

https://www.mastercard.co.jp/ja-jp/personal/get-support/mastercard-nearby.html

発行者 Mastercard 東京都渋谷区桜丘町26-1 セルリアンタワー16階

日语我看不懂一点,所以只能用机器翻译,见谅。好在这不影响对这封邮件的分析。可以看出,这是一封诈骗邮件,谎称收件人的Mastercard卡片被限制,需要在线恢复卡片功能。另外也不难看出写这封邮件的人水平其实不怎么样,连Mastercard这个名字的大小写都没搞清楚,发件人和标题都错写成了“MasterCard”。

其中给出的“确认使用情况”链接是https://clck.ru/3ALtcH。访问该站点的主页并进行一些简单的查询就很容易发现这是Yandex的短链接服务,攻击者应该是通过该短链接服务来隐藏真实URL以逃过邮件安全系统的检测。 该链接最终会跳转到http://vmu178.com/?index=205。忽略令人诟病的明文HTTP协议,该网站的反侦查意识还是有一点的。如果直接访问,会看到无内容的白屏页面。此时需要一个日本IP来显示该页面的内容。

至此,我们就能发现该页面的真面目:骗取银行卡信息(卡号、持卡人姓名和其他信息、有效期、CVV等)的钓鱼页面。从而我的域名在被我注册前都被用于做些什么事情也可见一斑。

怎么办?#

作为域名所有者,我已经设置了有效的SPF、DKIM和DMARC记录以有效阻止这些恶意邮件真正抵达收件人邮箱。按照我的现行DMARC规则,所有无法通过SPF或DKIM验证的发件服务器发送的邮件都会在发送违规报告到指定位置后被丢弃。

是的,某些人仍然可以宣称自己的邮件来自我的域名,这是电子邮件运作的基本原理。但是他们能做的也就只有宣称而已。

后记#

VS Code,听我说,谢谢你。