垃圾郵件活動(dòng)幕后那些詭計(jì)多端的網(wǎng)絡(luò)罪犯?jìng)兝脙?nèi)容管理系統(tǒng)上的某個(gè)脆弱組件，通過(guò)濫用短鏈接來(lái)偽造.gov后綴站點(diǎn)的URL，該鏈接本是用于驗(yàn)證重定向到美國(guó)政府web站點(diǎn)鏈接是否真實(shí)。

此次活動(dòng)的傳播速度很快，在5天內(nèi)超過(guò)16000名的受害者被重定向到某個(gè)惡意web站點(diǎn)。該站點(diǎn)看起來(lái)像CNBC新聞文章，導(dǎo)致了好幾起騙局。根據(jù)隸屬Dell的安全公司SecureWorks收集的數(shù)據(jù)來(lái)看，釣魚者們已經(jīng)濫用了好幾個(gè)美國(guó)政府域名，包括Vermont.gov、Iowa.gov、Indiana.gov、ca.gov、Guam.gov和Vermont.gov，這些域名好像是本月為止被濫用次數(shù)最多的網(wǎng)站。

電子垃圾郵件一直是散布此類短鏈接的主要方法，SecureWorks公司反威脅部門的Jeff Jarmoc寫到。“盡管看起來(lái)這些攻擊者沒(méi)有專門以.gov站點(diǎn)為目標(biāo)，也沒(méi)有利用政府網(wǎng)站作為誘餌。但是他們能夠生成.gov短鏈接，導(dǎo)致用戶訪問(wèn)惡意域名的問(wèn)題還是令人擔(dān)心”，Jarmoc在星期三發(fā)布的一篇關(guān)于釣魚式騙局的建議中寫到。“如果是與政府有關(guān)的消息、例如偽造成通常報(bào)稅季度的釣魚郵件，這些垃圾郵件甚至可能會(huì)誘惑聰明的用戶點(diǎn)擊鏈接”。

據(jù)SecureWorks公司表示， 在此次持續(xù)進(jìn)行的垃圾郵件活動(dòng)中許多此類鏈接濫用1.usa.gov短URL。該 1.usa.gov短URL服務(wù)由美國(guó)政府運(yùn)作，與bitly.com域名是合作伙伴關(guān)系。該網(wǎng)站是讓用戶提交一個(gè)位于.gov或是.mil頂級(jí)域名上的長(zhǎng)URL給bitly網(wǎng)站。該服務(wù)的目標(biāo)是使驗(yàn)證美國(guó)政府站點(diǎn)短URL的真實(shí)性更加容易。

“盡管出發(fā)點(diǎn)是好的，但是1.usa.gov短鏈接似乎無(wú)法保證這些URL最終地址是值得信任的政府web站點(diǎn)”，Jarmoc寫到。Dell公司追蹤此次攻擊中惡意服務(wù)器使用的IP地址是位于莫斯科的主機(jī)托管服務(wù)商InMotion Hosting 有限公司，它的總部在洛杉磯。

釣魚者利用公開的重定向缺陷

這些網(wǎng)絡(luò)罪犯?jìng)儗ふ沂褂肈otNetNukes脆弱版本的LinkClick.aspx頁(yè)面的服務(wù)器，該軟件用于讓web站點(diǎn)開發(fā)人員可以配置一整套自定義重定向規(guī)則。“利用在這個(gè).aspx文件中的開放重定向漏洞，攻擊者能夠?qū)⒘髁慷ㄏ虻教幱谄淇刂浦碌姆?gov站點(diǎn)，而在初始信息中只顯示一個(gè)1.usa.gov短鏈接”，Jarmoc寫到。開放重定向漏洞是web應(yīng)用中常見(jiàn)的編碼錯(cuò)誤，它通過(guò)逃避防護(hù)機(jī)制簡(jiǎn)化釣魚攻擊。攻擊者們能夠搭建偽造的頁(yè)面，更容易地欺騙人們交出賬戶憑證、或是用惡意軟件感染他們的系統(tǒng)。