Etsy钓鱼网站反制案例
案例概述
攻击者通过伪造Etsy支付验证页面进行钓鱼攻击,我们采用社会工程学方法成功反制并使其关闭钓鱼网站。
技术细节
钓鱼网站信息:
- 域名:etsy.giving
- IP地址:
- 104.21.16.232 (主)
- 172.67.216.210 (备用)
- DNS服务器响应时间:50ms
- 使用Cloudflare进行保护
- 基于Express框架开发
- 注册时间:2025年3月29日
- 注册商:Web Commerce Communications Limited (WebNic.cc)
- 域名状态:新注册期(addPeriod)
- 使用WhoisProtection.cc隐私保护服务
DNS查询结果:
$ dig etsy.giving ;; ANSWER SECTION: etsy.giving. 32 IN A 172.67.216.210 etsy.giving. 32 IN A 104.21.16.232 ;; Query time: 50 msec ;; SERVER: 114.114.114.114#53
安全分析:
攻击者试图通过Cloudflare的安全服务来隐藏真实服务器地址,并使用WHOIS隐私保护来掩盖身份信息。 DNS查询显示该域名使用了Cloudflare的双IP部署方案,进一步证实了攻击者在尝试隐藏真实服务器位置。 这种做法表明攻击者非常害怕被追踪和曝光。然而,通过域名注册信息可以看出,该钓鱼网站是一个新注册的域名, 这是典型的钓鱼攻击特征。
现场证据
钓鱼页面截图
攻击者伪造的Etsy支付验证页面
攻击者反应
攻击者在社会工程学反制下情绪失控的证据
反制过程
第一阶段:情报收集
通过WhatWeb工具发现攻击者使用了Cloudflare和Express框架。
第二阶段:心理反制
利用客服聊天功能,采用情感化语言打击攻击者的心理防线。
攻击者:"Чортава памры, памры, памры"
我方回应:"(我已经获取了他的日志和摄像头照片) Is this you?"
我方回应:"Why are you doing this?"
我方回应:"Seriously you need to get a real job"
攻击者:"f*** ******* *** ***** china!"
攻击者:"**** ** mama"
第三阶段:成功瓦解
通过持续的心理压力,最终导致攻击者关闭钓鱼网站。网站返回404错误,表明反制成功。
案例总结
本案例展示了社会工程学在网络安全防护中的独特价值。通过精准把握攻击者心理, 我们成功瓦解了一个正在运行的钓鱼网站,避免了更多用户受害。这种方法虽然非常规, 但在特定情况下能够取得显著效果。