演示:对 Elon Musk 比特币诈骗的开源调查 - iYouPort
演示:对 Elon Musk 比特币诈骗的开源调查
- Elon Musk 免费发比特币啦!带蓝V的账户啊!……哦不,等会,这是个在推特上很老套的骗局。本文尝试使用开源调查 #OSINT 找到所有和诈骗有关的东西 (主机名称、IP 地址、邮箱地址、名字、域名等等),揭示诈骗者的真实身份;或者至少是可揭示身份的线索。感谢 Steve Micallef 的优秀演示!非常精彩
您也许听说了过去几周在 twitter 上有人以 Elon Musk 的名义进行比特币诈骗的事。在这篇文章中我会解说一下这个诈骗是怎么实现的,然后给您展示一个用简单和有效的方法对该诈骗进行开源调查 (OSINT) 的过程。
Elon Musk Bitcoin 诈骗事件
我们先看一下这个诈骗是什么样的。下面的截图是其中一个骗子用的 twitter 推送号:
简单来讲,骗子先黑掉了一些通过了认证的、小有名气的 twitter 账户,比如 Capgemini, Target and Google’s G Suite,再把昵称和头像换成 Musk,然后用推送 (promoted tweet) 的方式把含有诈骗链接的 tweet 发给潜在受害者。虽然这些 tweet 本身十分荒诞,而且充满语法错误和明显的假 Tesla 网站域名,昵称与账号名称也不符,可还是有很多人上了当。
骗子大致骗走了价值18万美元的比特币,简直难以置信!!
当然 Twitter 上的比特币诈骗其实也不是什么新鲜事。可当我从 twitter 看到这次事件后,我忍不住想对涉及诈骗的域名做个开源调查 (OSINT),就是出于好奇会发现什么。
作为 SpiderFoot 的开发者,我也总是想有机会测试和完善 Spiderfoot,这次倒是个不错的机会。我把那些域名输入到了 spiderfoot,然后开启了150 个模块来收集尽可能多的数据。
除了用 spiderfoot 自动收集的数据,我还人工收集了一些作为补充,在这里就会讲到。
分析的目的
说实话,一开始除了为完善 Spiderfoot 以外我没有什么其他目的。不过我灵光一现,觉得既然要写一个文章,我不如组织一下然后把处理的过程给写出来,长话短说,目的是:
找到所有和诈骗有关的东西 (主机名称、IP 地址、邮箱地址、名字、域名等等),用来揭示诈骗者的真实身份;或者至少是可以找到用来揭示诈骗者的真实身份的线索。
了解诈骗的特征,希望可以对诈骗调查、和以后预防类似诈骗,都有用
给调查的进一步深入提供可能的实行方案的建议,希望可以帮助对本案和以后类似案件的调查。开始之前,我要声明一下,我不是说这里调查出来的一定是诈骗者的真实身份,也不是说我的调查本身是全面的。这篇文章只是为了让大家对这次诈骗事件有更深入的了解,以及 对进行类似调查的人提供一点指导 。
那我们开始吧!
分析
分析开始,我们要找一个可以进行自动化 OSINT 调查的起点。
诈骗者使用的 twitter 是被黑掉的合法账号,那么从这些 twitter 账号入手的话大概得不到什么有用的信息;另外,诈骗者用的名字 (Elon Musk) 明显不是本人 (不过,客观来说也不能排除是本人哦!)。所以我们只好从诈骗者用的假域名入手调查。
诈骗 tweets 已经给出了一些域名,但是肯定不止就这些:
- m-tesla[.]me
- elonmusk[.]id
- m-tesla[.]pw
开始调查域名
我们要调查域名可以用哪些技巧呢?域名都会指向 IP 地址,有一个 Whois 的注册记录之类的。我们可以把这些叫做 ‘信息链’。看起来就像这样:
- 域名 -> IP 地址 -> 查询被动 DNS -> 同一主机下的其他站点 (Co-hosted sites)
- 域名 -> Whois 查找 -> 电子邮箱
- 域名 -> 抓区网页内容 -> 名字, 其他
- And so on…
当然上面的信息链是非常简单化的,表达的意思就是:一个信息线索可以追踪到另一个、再追踪到下一个,以此类推。很多调查中您可能要进行十多层的信息追踪,这就要看您有多少数据来源和信息链中每一环的质量了。
在域名被下架的情况下查找 IP 地址
现在去查找诈骗者的域名只会返还 127.0.0.1 (本机地址)。因为域名被下架了。
要是有 IP 地址是会很方便的,因为用它可以查到相关的威胁情报消息,网路拓扑/路由数据,甚至更多。从这些数据我们可以找到其他指向这些 IP 地址的更多域名,而且还可以查看有没有在同一个 IP 地址下的子网,这可能用来发现一个更大的诈骗网络。
那我们看看能不能查到诈骗域名曾经用过的 IP 地址。幸好被动 DNS 是一个不错的信息来源,而且网上有很多免费的查找被动 DNS 的服务,这个案例中,我用 Mnemonic Passive DNS search engine 找到了 3 个域名中的 2 个 IP 地址。在这里 m-tesla[.]me (193.233.15.187) 和 elonmusk[.]id(193.233.15.163)。
其他类似的工具还有 Robtex.com , SecurityTrails.com , HackerTarget.com , Cymon.io 和 VirusTotal 。由于被动 DNS 的特性,很可能单一的工具查不到完整的线索。所以别只依赖一个工具。结合多个工具查到的信息在去整合出一个更完整的轮廓……现在我们有了 IP 地址,可以进一步分析了。
谁是 IP 地址的所有者?
有趣的是,这三个诈骗域名用的是同一个服务供应商“ storm-pro.net ” 。从 Whois 数据可以看到:
[email protected]:~$ whois m-tesla.me
Domain Name: M-TESLA.ME
...
Name Server: DNS2.STORM-PRO.NET
Name Server: DNS1.STORM-PRO.NET
...但是域名好像没有网站,而且所有有用的 Whois 信息都被打码处理了,输入 host -t a storm-pro. net 看到:
[email protected]:~$ host -t a storm-pro.net
storm-pro.net has no A record
[email protected]:~$ host -t a www.storm-pro.net
Host www.storm-pro.net not found: 3(NXDOMAIN)
[email protected]:~$ whois storm-pro.net
...
Registrant Name: GDPR Masked
Registrant Organization: GDPR Masked
Registrant Street: GDPR Masked GDPR Masked GDPR Masked
Registrant City: GDPR Masked
Registrant State/Province: GDPR Masked
Registrant Postal Code: 00000
Registrant Country: GDPR Masked
Registrant Phone: +0.00000000
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]
Admin Email: [email protected]
Registry Tech ID: Not Available From Registry
Tech Name: GDPR Masked
Tech Organization: GDPR Masked
Tech Street: GDPR Masked GDPR Masked GDPR Masked
Tech City: GDPR Masked
Tech State/Province: GDPR Masked
Tech Postal Code: 00000
Tech Country: GDPR Masked
Tech Phone: +0.00000000
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: [email protected]
...那我们试试直接从 IP 地址抓取内容,看看背后可能有什么。当我们试图访问https://193[.]233[.]15[.]163 时,显示的是这个:
看起来诈骗者用这个服务商运行他们的网站。看起来这个是面向俄语市场的提供 DDOS 攻击防御和网站服务的公司。
这个公司的网站上提供的信息很少,但是他们的 LinkedIn 页面显示他们是一家在斯洛伐克注册的公司,员工有4人,其中3个在俄罗斯,1个在捷克。到目前为止我们知道,诈骗网站不是被这家公司就是被诈骗者自己关闭了。
在同一个服务器和网站上还有别的线索吗?
因为这个诈骗在统一子网上有很多 IP,查找一下子网的所有者就有价值了,这里可以用到 BGPView.io 。
深入调查我们可以发现上游提供商(提供网路服务的公司)。我们又看到了 StormWall,那就是说他们在为那个 IP 提供 HTTP 代理:
对 193.233.15.0/24 子网进行 Whois,可以看到一家叫 Safe Value Management 的公司:
[email protected]:~$ whois 193.233.15.0/24
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
...organisation: ORG-SVL6-RIPE
org-name: Safe Value Limited
org-type: OTHER
address: Global Gateway 8, Rue de la Perle, Providence, Mahe, Seychelles
geoloc: -4.678633 55.467250
abuse-c: SVM142-RIPE
mnt-ref: safevalue-mnt
mnt-ref: FREENET-MNT
mnt-by: safevalue-mnt
mnt-by: FREENET-MNT
created: 2017-03-13T16:19:46Z
last-modified: 2017-04-30T08:54:48Z
source: RIPE # Filteredrole: Safe Value Management
address: Global Gateway 8, Rue de la Perle, Providence, Mahe, Seychelles
abuse-mailbox: [email protected]
nic-hdl: SVM142-RIPE
...从被打码的邮箱 [email protected] pro,我们可以猜测到 公司的主页 。我们来看看:
主页上找不到关于公司的具体信息。虽然从 Whois 的记录来看公司的位置是在塞舌尔,可主页上也没有找到明显的关于公司位置的情报。
虽然主页上没有明显的选择其他语言的功能,其实您可以手动进入一个可以显示俄语鼠标弹窗 (mouseover) 的网页,虽然网页内容还是英语。就是在 https://safevalue.pro 后面加上 /ru 来实现。尝试其他语言会显示 404 (就是说只有俄语选项)。
那其他相邻子网的情况呢?他们在什么地点、由谁控制?下边的 whois 脚本(粗体)就是用来查找这些 193.233.15.0/24 的相邻子网的所在国家和注册组织的:
[email protected]:~$ for i in `seq 5 25`; do whois 193.233.$i.0/24 | egrep -i country\|org-name | sort -u; done
country: RU
org-name: OOO Avantelecom
country: RU
org-name: Vostok Telecom LLC
country: RU
org-name: OOO Avantelecom
country: RU
org-name: L.Ya.Karpov Institute of Physical Chemistry
country: RU
org-name: Vostok Telecom LLC
country: RU
org-name: State Federal Budgetary Scientific Establishment Baikov Institute of Metallurgy and Materials Science of Russian Academy of Sciences
country: RU
org-name: State Federal Budgetary Scientific Establishment Baikov Institute of Metallurgy and Materials Science of Russian Academy of Sciences
country: RU
org-name: OOO Telecom-V
country: RU
org-name: OOO Telecom-V
country: RU
org-name: Russian National Public Library for Science and Technology
country: SC
org-name: Safe Value Limited
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: ZAO Redcom-Internet
country: RU
org-name: Federal Budgetary Educational Enterprise of Higher Professional Education Moscow State Forest University
country: RU
org-name: Federal Budgetary Educational Enterprise of Higher Professional Education Moscow State Forest University可以发现 193.233.15.0/24 的相邻子网都在俄国,除了那个涉及诈骗的以外 (country:SC | org-name: Safe Value Limited)。此外除了这一个,其他的子网也和 Safe Value Limited 没有关联。
那我们总结一下,我们用被动 DNS 查到诈骗网页曾经的 IP 地址,他们都属于一个由 StormWall 和 Safe Value Management 提供的子网。两个公司都显示是俄国公司。而且后者 Safe Value 明显尝试隐藏这一事实。诈骗网站所在的子网显示的注册地址和注册组织和相邻子网里的其他网站也有很明显的不同。我们来扩大调查,看看还有没有其他网站涉及这次诈骗。
扩大调查
在 spiderfoot 中我们可以用查询多个被动 DNS 的方式来查找指向同一 IP 地址的其他诈骗网站。 这里,Robtex, Cymon and Mnemonic 现实了一些和 m-tesla[.]me 用相同 IP 的网站,他们曾经都用过 193.233.15.187 这个 IP:
文章版权归原作者所有。
