web-dev-qa-db-ja.com

safelinks.protection.Outlook.comリンクはフィッシングですか?

以下のハイパーリンクを含むメールを受信しました

https://nam02.safelinks.protection.Outlook.com/?url=http*3A*2F*2Factuallysale.com*2F&data=02*7C01*7C*7C548d20ace3ec4747fe1008d7d7d8b597*7C84df9e7fe9f640afb435aaaaaaaaaaaa*7C1*7C0*7C637215198062448150&sdata=nk69pKQ7jIMsMVSfWVFG*2B38GuiK08jysbwN114W*2BMpM*3D&reserved=0__;JSUlJSUlJSUlJSUlJSU!!FZtbJVnXfw!gfgjegEG3qJawMzvsQm9QRhNrDiubzuVygOX_4wENNasy-WnA7vie2xl_WVQEUA0rg$

Urlscan.ioとvirustotal.comでURLを確認しましたが、何も見つかりませんでした。

これがフィッシング/マルウェアであるかどうかはどうすればわかりますか?何を探しますか?

3
Daniel Kwan

Outlook Web AccessはすべてのURLを書き換えてフィルターを通過させるため、URL全体をチェックした場合、「Outlook.comは悪意のあるものですか?」もちろん答えはノーです。リンクは「ht tp:// actually sale.c om /」にリダイレクトされます(スペースを削除して、実際のURLに戻します)。 *文字は、エンコードされたURLパラメータをマークするために使用される%文字の代わりに見える。彼らがなぜそうしているのかはわかりませんが、彼らには理由があると思います。さらに、「data」、「sdata」、および「reserved」パラメーターの追加のURLパラメーターがいくつかあります。これらは、リダイレクト先のURLではなく、リダイレクトURLの一部であるように見えます。これらはおそらく何らかの理由でOutlook.comによって追加されたものであり、おそらくそのURLへのユーザーアクセスに関する追跡データに関連している可能性があります(URLレピュテーションの目的でさえ).

リンク先のサイトが何らかの形で悪意のあるものかどうかについては、「actuallysale-dot-com」ドメインの目的はわかりませんが、大ざっぱに聞こえます。とはいえ、それはおそらく、偽造品を正規品またはそのようなものとして販売しようとする詐欺サイトよりも悪いことではありません。誰が送信されたかを識別する方法のない短いURLは、いかなる種類の紹介追跡サービスにもなりそうにありません。

サイト自体は確かにフィッシングサイトである可能性がありますが、アクセスすることなく確実に知る方法はなく、残りのメールがないと推測を危険にさらすことさえできませんでした。また、ブラウザへの攻撃の実装(レンダリングエンジン/ JSランタイムバグによる)、別のサイトへの攻撃(XSS、CSRF、クリックジャッキング、または同様のWebセキュリティバグによる)、さらにはJSで記述されたブラウザー内の暗号通貨マイナー。それはおそらくではありませんが、確認せずに確実に言うことはできません。それはあなた次第です。

「actuallysale dot com」は実際のドメインですが、IPアドレス198.105.254.23ですが、「whois」情報は表示されません。また、それがHTTPSではなくHTTPリンクであるという事実はおおざっぱです。最近は何でもHTTPを使用する理由はそれほど多くなく、何かを販売する正当なサイトではまったくありません。

5
CBHacking

これが組織のメールかOutlook.comかによって、次のいずれかになります。

これにより、メールの疑わしいリンクがhttps://*.safelinks.protection.Outlook.com/*リンクに置き換えられます。ユーザーがリンクをクリックすると、最初にMicrosoftのサイトに移動し、リンクが安全かどうかが評価したかどうかを評価し、ユーザーを元のサイトに渡すか、警告。 ( ATPセーフリンクの仕組み

「セーフリンク」が行うことは、いくつかの理由で完全に悪い習慣です。

  • それはURLの可視性を破壊します。通常、ユーザーは自分の回答に記載されているシュローダーとしてURLを調べることにより、リンクが安全かどうかを判断します。この方法に従うと、ユーザーは、これが安全なTLS接続Outlook.com/を介した信頼できるサイトhttps://からのURLであると信じることがあります。 安全なリンクであり、保護されていることがURLで露骨に言及されています。しかし、リンクは安全なものにすぎない可能性があり、保護によって検出が誤ってしまい、ユーザーが悪意のあるサイトにリダイレクトされる可能性があります。これは疑わしいURLの処理方法をユーザーに教育するために費やされた労力をすべて無効にします

  • バイパスするのは簡単です。例: Cryptron Securityの O365 ATPのセキュリティ分析 は、ATPセーフリンクをバイパスできることを示しています。

    • 少し変更された<a x=">" href="タグは、ATPセーフリンクがリンクとして認識されません。
    • リンクの代わりに<form action= "を使用する(または他のより賢いHTMLトリック)
    • 無害なさまざまなコンテンツをATPサーバーに表示する(それらのリストは公開されています)
    • リダイレクトサービスの使用/ URL短縮サイト
      • https://www.google.com/url?sa=D&q=https://evil.example.com
  • 誤った安心感を提供し、人々が再び無謀にすべてのリンクをクリックするようにします。

  • Microsoft Safe LinksがOffice 365の安全性を低下させる5つの理由 保護は主にブラックリストに基づいており、0日/不明なURLを処理できないことを追加します(Avanan独自の製品を宣伝していますが、これは良い記事です)案件)。

  • Owen Nelsonの Microsoftのセーフリンクの問題 は、プライバシー問題を追加します:MicrosoftとOffice 365テナントの管理者の両方が、機密情報を含む可能性のある元のURL。

  • これらは直接のURLではないため、urlscan.iovirustotal.comは機能しません。

3
Esa Jokinen

URLの解釈は非常に難しい場合がありますが、ほとんどのURLに役立つトリックがあります。

  1. https://で始まる一番左から
  2. 次に、最初の.に到達するまで、/で区切られた各Word/w0rd/Word001を右に向かって読みます。最初の/が鍵です。
    • nam02.safelinks.protection.Outlook.com
  3. 次に、最後の2〜3語を左に読み返します。それがメインのウェブサイトです。
    • Outlook.com
  4. ウェブサイトのように見える前の言葉にだまされないでください
    • www.google.com.dvdr4g3.co <---これはGoogleには送信されません

これを見始めると、脳は自動的にその/と実際のWebサイトドメインを探します。

移動先のWebサイトがわかったので、コンテキストを検討できます。

  1. 誰かがこのウェブサイトからそのようなリンクを送ることが理にかなっているかどうか、そしてこの人がこのウェブサイトからリンクを送ることが理にかなっているかどうかについて考え始めます

しかし、私が言ったように、これも絶対確実ではありません。一部の人々は、Googleのような合法的で有名なWebサービスを使用して、別のWebサイトを隠しています。また、大量のメールサービス(Mailchimpなど)のように、正当なリンクが別のWebサイトまたはサービスからのものであるように見える場合があります。しかし、「それは理にかなっている」テストを使用すると、これらのタイプのフィッシングリンクの多くにも役立ちます。

これらすべてにもかかわらず、経験を積むまで、新しいWebサイトがフィッシングかどうかを判断するのは非常に困難です。

さらに、フィッシング詐欺師は常に、巧妙なURLを作成する新しい方法を探しています。ただし、ほとんどの場合、必要はありません。 www.google.com.phishys.comへのリンクを含むフィッシングメールをシミュレートして送信しましたが、Googleだと思ったのでクリックされました。

1
schroeder