委内瑞拉停电事件前所发生的一起“网络安全”事件
*求大佬们转发,文末好看走一波,全文阅读仅需1分钟”
本安全事件于2019年2月13日披露,当时距离1月28日,美国制裁委内瑞拉石油公司仅仅十几天,而也就是在当时开始关注到委内瑞拉人民生活在水深火热之中,因此才继而知道存在这么一个国家,也才有了后面这一系列的事。
鉴于读者已经对这个国家的情况已有所了解,因此下面将对当时发生的事件以及背后隐藏的一些东西进行暗示。
委内瑞拉关于人道主义援助运动的DNS劫持事件
2月10日,美国支持的反对派领导人胡安·瓜伊多作出了公开呼吁,要求志愿者加入了一个名为“Voluntarios POR委内瑞拉”(委内瑞拉志愿者)的新运动。
据媒体报道,它已经有数千名志愿者,他们愿意帮助国际组织向该国提供人道主义援助。
它是如何工作的?志愿者报名后会收到有关如何提供帮助的说明。
原始网站要求志愿者提供他们的全名,个人身份证,手机号码,以及他们是否拥有医学学位,汽车或智能手机,以及他们居住的地点:
该网站于2月6日在线发布。仅仅几天之后,即2月11日,即该倡议公布后的第二天,出现了另一个几乎相同的网站,以及拥有非常相似的域名和结构。
事实上,虚假网站是原始网站voluntariosxvenezuela.com的克隆镜像。并且原始和虚假网站都使用来自Let's Encrypt的SSL证书。
具体差异如下:
名称方面
真网址域名
http://www.voluntariosxvenezuela.com
假网站域名
http://www.voluntariovenezuela.com
| 真网站 | 诈骗网站 |
| 2月6日注册 | 2月11日注册 |
| Whois信息: | Whois信息: |
| 于2019年2月4日以Sigerist Rodriguez的名义注册 | 在2019年2月11日使用隐私保护功能通过GoDaddy注册 |
| 托管在亚马逊网络服务上 | 一开始host跳转至GoDaddy,后来托管在DigitalOcean上 |
现在,最可怕的部分是这两个不同所有者的不同域名在委内瑞拉境内被解析为属于假域名所有者的美国IP地址
159.65.65.194
下图为在委内瑞拉现场的拍照,可见真域名也指向了攻击者IP
关键点来了
如果是在委内瑞拉境外访问真网站,则会指向正确的IP,54.230.80.36
访问假网站则仍会指向其本来该指向的IP。
那么,这是DNS劫持还是一起DNS可控的信息窃取事件,背后的真相不得而知。
重点在于,一个用于人道主义救援的网站(美国惯用把戏),被美国支持的反对派呼吁加入进行志愿活动,而在委内瑞拉境内访问居然会指向钓鱼网站。
我觉得你应该明白了,此举恐怕就是为了收集委内瑞拉境内人员信息。
当一个非政府组织的人道主义救援网站,被美国支持的反对派公开呼吁后,过了几天后,DNS被劫持,并且从假域名注册时间来看刚好是其发出呼吁后的第二天进行注册,这是为什么呢?
把戏套路是一回事,是不是又是一回事,网络攻击就是这样,在没有实锤之前谁说都有道理。
那么攻击者到底是谁?
谁知道呢。
(别说我阴谋论,我玩不起。)
昨天好看到100好像有点困难,这次好看到50我就着手准备,给个面子呗