TwitterのDMで怪しいメッセージが届きました。
URLが短縮されており、実際に踏むとどうなるか解りません。
こういう時に安全に調査を進めるのってどうすれば良いのかなと思い、ふと思いついたのでやってみました。
追跡開始です。
なお、以下では何をやっているのかよく解らないという人は、実際にお試しにならないようにご注意ください。何をやっているか解る人はもっと良い方法があればコメントください。
追跡
Twitterの場合は画面に表示されているURLと実際にリンクされている先が異なりますので、あえて最初からおってみます。
使用するコマンドはcURLです。-Iを付ければヘッダーの取得が行えますので、まずヘッダーを見てみます。そのあと、内容に合わせてさらに追跡を行いましょう。
-Lもあわせて使うことで転送を追うのが楽になります。
ということで早速実行。
% curl -I -L http://t.co/bjtVpncjc4
HTTP/1.1 301 Moved Permanently
cache-control: private,max-age=300
date: Tue, 16 Apr 2013 01:27:37 GMT
expires: Tue, 16 Apr 2013 01:32:37 GMT
location: http://bit.ly/1--------l
server: tfe
Content-Length: 0
HTTP/1.1 301 Moved
Server: nginx
Date: Tue, 16 Apr 2013 01:27:37 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Set-Cookie: _bit=516ca909-00283-05bb8-2f1cf10a;domain=.bit.ly;expires=Sun Oct 13 01:27:37 2013;path=/; HttpOnly
Cache-control: private; max-age=90
Location: http://t----y.w---i.ru/
MIME-Version: 1.0
Content-Length: 114
HTTP/1.1 301 Moved Permanently
Server: nginx/1.0.6
Date: Tue, 16 Apr 2013 01:27:39 GMT
Content-Type: text/html
Connection: keep-alive
Content-Length: 184
Location: http://tvviltter.com/r---1
P3P: CP="CAO COR CURa ADMa DEVa OUR IND ONL COM DEM PRE"
P3P: CP="CAO COR CURa ADMa DEVa OUR IND ONL COM DEM PRE"
HTTP/1.1 301 Moved Permanently
Date: Tue, 16 Apr 2013 01:27:44 GMT
Server: Apache/2.2.3 (CentOS)
Location: http://tvviltter.com/r---1/
Connection: close
Content-Type: text/html; charset=iso-8859-1
HTTP/1.1 200 OK
Date: Tue, 16 Apr 2013 01:27:45 GMT
Server: Apache/2.2.3 (CentOS)
Last-Modified: Tue, 16 Apr 2013 00:44:39 GMT
ETag: "70274-51-ac9c6bc0"
Accept-Ranges: bytes
Content-Length: 81
Connection: close
Content-Type: text/html; charset=UTF-8
まずHTTPヘッダの「301」というものは、転送してねという意味です。
ブラウザがこれを受け取るとlocationに書かれているURLに自動的にアクセスを行います。
最後に「200 OK」が返ってます。つまり、転送に転送を重ねて最終的にあるURLに到達し何かを受信していると言うことになります。
経由先と飛び先と判明したので、何を受信しているかを見てみます。
今度は先ほどのコマンドの-Iを取り、最終的な受信内容を見てみます。
% curl -L http://t.co/bjtVpncjc4
<meta http-equiv="refresh" content="0; URL=/z---9/verify/?&account_secure_login">
Metaタグだけのようです。次に飛ばされる先はURLを見ると解ります。
ということで、先ほどの連続飛びから最終的にアクセスしている先のURLを見つけて、Metaタグの指示に従ってURLを作成すれば、最終目的地になります。
このケースでは「http://tvviltter.com/」になってます。
vが二個じゃん!wじゃないじゃん!!
それにLも入ってるし!!!
今回はURLに&が入っているので"で囲いましょう。
% curl "http://tvviltter.com/z---9/ve------y/?&account_secure_login"
<!DOCTYPE html>
<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type"/>
<meta content="en-us" http-equiv="Content-Language"/>
<meta content="Twitter is without a doubt the best way to share and discover what is happening right now." name="description"/>
<link href="https://si0.twimg.com/a/1349296073/stylesheets/help_center.css?1348784027" media="screen" rel="stylesheet" type="text/css" />
<meta http-equiv="refresh" content="180; URL=/za2">
<title>Sign in to Twitter</title>
<link href="https://twitter.com/phoenix/favicon.ico" rel="shortcut icon" type="image/x-icon">
--- 以下、省略 ---
という感じでした。
ちなみにフォームがあり、アクセス先は <form action="/app1/login1.php" class=" sign-in" method="post">になってます。
それにしても。
当たり前ですが、画像なんかは本家のリンクを使ってますから、もちろん本物なわけです。
スタイルシートも綺麗に流用してますね。そりゃそっくりなわけだ。
ちなみにアクセスするとこんな感じ。
これはやばいね〜。ユーザーIDとパスワードを入力して、乗っ取られるってことですね。
ちなみにChromeでアクセスしたらこんな画面に。
ありがとうChrome! 守られたよ!!
でも報告されるまでは釣られちゃう可能性もあったわけだから怖いわけです。
短縮URLには気をつけましょう。
おまけ
折角なので、もう少し。
% nslookup tvviltter.com
Non-authoritative answer:
Name: tvviltter.com
Address: 192.---.---.50
% whois 192.---.---.50
---- 抜粋 ----
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=192.---.---.50?showDetails=true&showARIN=false&ext=netref2
#
---- 抜粋 ----
ほうほう。ということでARINのURLがありますからアクセスしたところ持ち主はhttp://www.cloudradium.comでした。どうやら中国で運営されているレンサバ屋さんな感じです。
利用者が故意にやっているのか、乗っ取られて仕込まれてしまったのかは不明ですが、これで何となく全体像は解りましたね。怖いわー、ネット社会。