Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか
Search
Osumi, Yusuke
October 01, 2019
Technology
8
1.6k
[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか
ザック先生会 (2019/10/01)
@ozuma5119
[email protected]
https://ozuma.hatenablog.jp/
Osumi, Yusuke
October 01, 2019
Tweet
Share
More Decks by Osumi, Yusuke
See All by Osumi, Yusuke
本の紹介の補足
ozuma
1
360
gitサービス3兄弟
ozuma
0
370
簡体字は楽
ozuma
0
430
ソフトウェアは固定資産
ozuma
0
400
ASCIIコードの小話
ozuma
0
410
今いるディレクトリを消すとどうなる
ozuma
1
340
名前付きパイプ FIFO
ozuma
0
480
文章、作文技法 リモートワーク
ozuma
1
860
CentOSの今後のリリース(簡易説明)
ozuma
0
370
Other Decks in Technology
See All in Technology
Delegating the chores of authenticating users to Keycloak
ahus1
0
160
第4回Snowflake 金融ユーザー会 Snowflake summit recap
tamaoki
1
300
ビジネス職が分析も担う事業部制組織でのデータ活用の仕組みづくり / Enabling Data Analytics in Business-Led Divisional Organizations
zaimy
0
140
クラウド開発の舞台裏とSRE文化の醸成 / SRE NEXT 2025 Lunch Session
kazeburo
1
240
Delta airlines®️ USA Contact Numbers: Complete 2025 Support Guide
airtravelguide
0
340
fukabori.fm 出張版: 売上高617億円と高稼働率を陰で支えた社内ツール開発のあれこれ話 / 20250704 Yoshimasa Iwase & Tomoo Morikawa
shift_evolve
PRO
2
8k
American airlines ®️ USA Contact Numbers: Complete 2025 Support Guide
airhelpsupport
0
390
american airlines®️ USA Contact Numbers: Complete 2025 Support Guide
supportflight
1
110
Lufthansa ®️ USA Contact Numbers: Complete 2025 Support Guide
lufthanahelpsupport
0
210
〜『世界中の家族のこころのインフラ』を目指して”次の10年”へ〜 SREが導いたグローバルサービスの信頼性向上戦略とその舞台裏 / Towards the Next Decade: Enhancing Global Service Reliability
kohbis
2
310
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
i35_267
6
13k
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
3
960
Featured
See All Featured
Visualization
eitanlees
146
16k
RailsConf 2023
tenderlove
30
1.1k
How to Ace a Technical Interview
jacobian
278
23k
A better future with KSS
kneath
238
17k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Thoughts on Productivity
jonyablonski
69
4.7k
Side Projects
sachag
455
42k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.1k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Automating Front-end Workflow
addyosmani
1370
200k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.6k
Transcript
フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119
[email protected]
https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会
主催
Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②
deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site
3 Warming-Up time: Let's Play with PhishKit.
Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/
[email protected]
5 https://mkoloss.cf/of/of/ab/ index.php?email=️ ♀️@❓.com
6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>
7 最近の動向: Roaming Mantis Campaign
"偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing
Site Android Malware
9 Really dangerous....
10 Contacts Info (Tel No.) Installed App Info
"偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background
App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??
How to analyze .apk 1. apk is zipfile: just extract.
2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい! 12
MoqHaoを軽く見る - junk classes.dex 13
stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd
C2へ • 暗号化/難読化 • Base64 Encode • DES/CBC
Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -
AndroidStudio tool. •Andro Guard • 良いらしい(使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15
16 PhishKit
無造作に拾えることが多い #opendir 17
Many PhishKits are simpler than you think. 18 PhishKit
Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い
20 こんなコード で大丈夫か?? 犯人のaddress
Protestation •それは本当にPhisherのメールアドレスか? Zipを展開してからサーバ上で書き換えているの では? ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21
(非公開) • (非公開) 22
(非公開) • (非公開) 23
Possibility 24 Phishing Site of ProtonMail
File timestamp 25 Phishing Site was created: 2nd Jun. 2019
26 PhishKit - Deep Insight
27 Phisher PhishKit Creator
もうひとひねり 28
29 Kill Punish Phisher! (Under the Law)
Phishing of PayPal Japan 30
In the PhishKit... ZOHO Account! 31
32
Abuse 33 通報 通報 通報 通報 通報 通報
Victoryyyyyyyyyyyy!! 34
Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-
mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35
Abuse Sample: IP Address 1/2 36
Abuse Sample: IP Address 2/2 37
38 Omake - funny Phishing Sites
Too Long URL 39
雑すぎ 40
And more? 41 https://booth.pm/ja/items/1575413
Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •
@NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42