「度身訂造」的「單次」PayPal 釣魚網頁連結

網絡罪犯為了讓釣魚網頁活久一點，會用盡方法不讓調查人員看到網頁，例如一個寄存於香港但針對德國用戶的釣魚網站，只可在德國看到，於是身處香港的調查人員不可立即查驗該網站。

在 2014 年第一季，HKCERT 處理了一宗「度身訂造」的「單次」PayPal 釣魚網頁事故，當中使用了比一般複雜的方法躲避調查。根據當時監察及收到的事故報告，我們經常收到這些釣魚網址：

在瀏覽器開啟這些網址，會被帶到 Google 搜尋結果，看不到任何釣魚網頁內容。

這些網址都有相似的樣式：http://somedomain/?xxxxx，而「xxxxx」 看上去像一些編碼。我們嘗試把這些「xxxxx」解碼，發現原來是 base64 編碼的電郵地址:

跟着這線索，我們認為在目標使用者看電郵按下網址時，釣魚內容才會顯示。後來發現使用任意的電郵地址也可到訪釣魚網站一次。

訣竅總結

1. 釣魚連結包含編了碼的目標用戶電郵地址。當該用戶看電郵首次按下連結，釣魚內容才會顯示。
2. 假如釣魚連結第二次被開啟，例如調查人員進行檢驗時，會被帶到 Google 網頁，因而搜查不到釣魚內容。

繁複架構

除了上述訣竅，我們還發現整個釣魚攻擊涉及「轉址」及「顯示釣魚網頁」兩部份的繁複架構：

1. 「轉址」部份（香港）：
   • 檢查收件者是否身處德國。
   • 檢查收件者的電郵地址是否曾被利用，若未被利用則產生「單次」釣魚網頁連結。
   • 當收件者首次打開「單次」釣魚網頁連結，會被帶到位於美國負責顯示釣魚內容的伺服器。
   • 此部份寄存在香港多部伺服器。
      
2. 釣魚網頁顯示部份（美國）：
   • 收件者被帶到釣魚網頁前，此部份先產生一個單次用的子域名（subdomain），然後以這個子域名顯示釣魚內容。
   • 此部份寄存在美國。

HKCERT 跟進行動

我們發現最少 3 個域名（fij1.com、h1ji.com、pay4lo.com）被登記用作此釣魚攻擊活動。這些域名於俄羅斯透過不同電郵地址登記。我們已把個案轉介警方並提供相關資料作調查。上述位於香港及美國的網址及伺服器已停止運作，自 2014 年第一季亦未有偵測到相似的網址。