web-dev-qa-db-ja.com

詐欺師はサブドメインを制御してフィッシングサイトをホストしましたか?

今朝、私は銀行から(表向きに)テキストメッセージを受け取りました。

ご連絡する必要があります。詳細は https://paymentassistance.nationwide.co.uk をご覧ください。

私のスパイダーな感覚がすぐにチクチクしました。私はこれまでに銀行からSMS=を受け取ったことがなく、彼らが私に電子メールを送るとき、彼らは常に私の名前と郵便番号を使用します。ただし、nationalwide.co.ukは私の銀行の正しいドメインです。アウト好奇心旺盛(そして健全な懐疑論)で、コンピューターにURLを入力しました。

フィッシングサイトですか?

  1. おなじみのウェブサイトと同じテーマと色を使用しています http://www.nationwide.co.uk
  2. Https URL(Symantecからの証明書)がある
  3. フッターにはおなじみのウェブサイトへのリンクがありますが、独自のバージョンの「お問い合わせ」ページに別の電話番号0800 464 3050が付いています。比較 https://paymentassistance.nationwide.co.uk/doc/ contactUs with http://www.nationwide.co.uk/support/contact-us/call-us#xtab:credit-cards
  4. その電話番号はそのページにのみ表示され、使い慣れたWebサイトやWebの他の場所には表示されません。カードに記載されている番号と異なります(0800 055 66 11)
  5. フォームでは、氏名、住所、およびクレジットカード番号の下4桁(すべてではない)を入力するよう求められます
  6. ログインしようとすると(私は作成したデータを使用しました)、失敗し、(疑わしい番号で)電話をかけるように求められます
  7. 電話番号に電話をかけると、「全国のクレジットカードサービスへようこそ。品質とトレーニングの目的で通話が録音される場合があります」と録音が応答します。
  8. 録音では、クレジットカード番号の16桁すべてが要求されます。
  9. 作成された16桁の番号を入力した後、自分をケリーと呼ぶフレンドリーな女性が電話に応答しました。電話を切った。

これがフィッシングである場合、理解できません。

  1. 詐欺師はどのようにしてサブドメインを制御しましたか?彼らはNationwideのコンピュータをハッキングしたことがありますか? (DNSサーバー?)
  2. どのようにしてSSL証明書を取得しましたか?

このページは少なくとも2014年1月から実行されているようです。

Twitterユーザーは銀行にそれについて尋ねたが、彼らは返事をしなかった。

8
Whitehaven

見た目では、提供したリンクが正しいと仮定すると、そうではありませんでした。

NationwideのWebサイト(ドメイン名を手動で入力してアクセスし、類似のキャラクターの攻撃を防ぐため)を使用し、検索機能( http://www.nationwide.co.uk/search?term= payment%20assistance )、そのサブドメインが結果のリストに表示されました。

search results

2番目の結果のリンクは https://paymentassistance.nationwide.co.uk/ です。

このようなことに関する一般的なアプローチは、これを行うことです。使用しているアドレスが正しいことを検索して確認します(アドレスがオンになっている組織からの書類がある場合は、さらに良いでしょう)。念のため、リンクをたどるのではなく、入力してください。彼らが検索エンジンを持っているなら、疑わしいものを探してください。そして、それが見つかった場合、それは正当なものです。これを確認するために、電話をかけるか、銀行の場合はローカル支店に飛び込むこともできます。

追加情報私はオンラインバンキングの連絡先セクションを介して全国に連絡し、次の応答を得ました:

これがどのように懸念を引き起こすかを完全に理解してください。

心配しないでください、これは本物の全国的なウェブサイトです。これはクレジットカードサービスからのものです。クレジットカードサービスは、あなたとの支払いを再確認したいと考えているからです。先に進んでこれを完了することは完全に安全です。

これをオンラインで完了するのに少し不安がある場合は、クレジットカードサービスに直接電話してください。

それでも問題がある場合は、この方法で連絡することをお勧めします!

6
Matthew

Paymentassistance.nationwide.co.ukは、 正当な* Nationwide Building Society(nationalwide.co.ukの運営者)が運営するサイト。

いくつかのDNSクエリを実行する:paymentassistance.nationwide.co.ukのAレコードは、80.69.23.142を指しています。 countrywide.co.ukのAレコードは155.131.144.11を指しています。

これら2つのIPのBGPルーティングをさらに掘り下げる:155.131.144.11はASブロックAS13114とAS8698にあります-どちらもRIPEによって全国的なビルディングソサエティに割り当てられています。一方、80.69.23.142はASブロックAS21371にあり、RIPEによって「Equinix Limited」に割り当てられています。 Equinix Limitedは、データセンタービジネスの会社であり、クラウドサーバーやWebホスティングなどのプロバイダーであるようです。

Nationwide Building Societyがpaymentassistance.nationwide.co.ukのホスティングをエクイニクスリミテッドに外部委託した可能性がありますが、彼らが独自のIPスペースを使用してNationalwide.co.ukをホスティングしていることは驚くべきことです。

実際にpaymentassistance.nationwide.co.ukが悪質なサイトである場合、このサイトを実行している人々がこのホスト名を制御する方法と、このサイトの有効な証明書を取得する方法に興味があります。質問。もちろん、これらの質問に対する答えは推測ですが、1つの可能性は、それがNationwide Building Societyの従業員による内部の仕事であったか、攻撃者がNationwideの従業員の助けを借りていた可能性があります。または、攻撃者は、nationalwide.co.ukのDNSへのアクセス権を取得した可能性があります(おそらく、Nationwideのシステム管理者に対するソーシャルエンジニアリングタイプの攻撃を通じて、またはおそらくシステム管理者のコンピューターの制御を取得することによって)。 paymentassistance.nationwide.co.ukおよびこのホスト名のドメイン検証済みSSL証明書を取得しました。 [〜#〜]または[〜#〜]、paymentassistance.nationwide.co.ukは、NReilinghがコメントで指摘したように、Nationwide Building Societyの下請け業者が簡単に操作できます。

*編集:NReilinghのコメントに応じて、最初の段落で「正当な」被害を受けました。

3
mti2935