今日遇到的 OpenVPN 钓鱼

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

RANDOM.org 密码生成器

uBlock

Authy

LastPass

FreebuF.com

Beebeeto

Dashlane 密码管理器

这是一个创建于 465 天前的主题，其中的信息可能已经有所发展或是发生改变。

网络环境：东京都 NTT OCN 家庭宽带

复现流程：

Google 日本搜索 openvpn macos download

第一项スポンサ则为钓鱼结果

Untitled

最终钓鱼页面

具体钓鱼细节有可能出现两种情况：

第一种是 href 为正确的域名，但是有 data-rw 字段，点击后实际跳转到钓鱼的链接上

Untitled

第二种则是直接跳转到钓鱼链接

跟踪这个跳转地址

第二跳来到了 openvpn.app.link

Untitled 继续跳转到了 https://nmydf.org/

Untitled

随后跳转到实际展示的钓鱼地址 openvpm.com

附钓鱼测试效果视频

https://www.youtube.com/watch?v=hg1us_e0xcI

附：在 Chrome 无痕模式也复现成功了

incognito

附：钓鱼 dmg 样本

https://drive.google.com/file/d/1t4kr0nKBensiKjVwqr1LEac7xOBLBz27/view?usp=drive_link

第 1 条附言 2024-07-04 19:35:03 +08:00

update

目前已无法在Google搜索复现，但curl测试仍然正常

curl

OpenVPN

钓鱼

ntt

15 条回复 2024-07-05 20:43:38 +08:00

mohumohu

2024-07-04 18:31:23 +08:00

This website has been reported for potential phishing.

ysc3839

2024-07-04 18:34:19 +08:00 via Android

啊？谷歌这么坑的吗？假的网站还能标个官网域名？

yuzo555

2024-07-04 18:49:08 +08:00

实测也会跳到 openvpn.app.link 和 nmydf.org 这两个域名，
但我这边 nmydf.org 跳转到的地址是正确的 openvpn.net 网站
我查了下 nmydf.org 的 DNS 解析，全球似乎都是解析到 Cloudfare 的公网 IP 地址，

楼主截图中解析到了 198.18.1.55 ，这是一个内网地址，可能是你的内网有劫持。

KomeijiSatori

2024-07-04 18:50:20 +08:00

@yuzo555 198.18.1.55 这个地址是为了测试用而手动启动的 MITM ，关闭后一样能复现

yuzo555

2024-07-04 18:51:13 +08:00

你关闭后解析到了哪里？是 Cloudfare 的 IP 吗？

KomeijiSatori

2024-07-04 18:54:10 +08:00

-> % nslookup nmydf.org
Server: 10.233.233.1
Address: 10.233.233.1#53

Non-authoritative answer:
Name: nmydf.org
Address: 104.21.19.126
Name: nmydf.org
Address: 172.67.186.44

-> % nslookup openvpn.app.link
Server: 10.233.233.1
Address: 10.233.233.1#53

Non-authoritative answer:
Name: openvpn.app.link
Address: 13.32.50.40
Name: openvpn.app.link
Address: 13.32.50.37
Name: openvpn.app.link
Address: 13.32.50.116
Name: openvpn.app.link
Address: 13.32.50.33