025年10月初,一种复古钓鱼技术卷土重来,该技术利用遗留的Basic Authentication URL格式欺骗用户泄露敏感凭证。
威胁行为者构造格式为https://username:password@domain.com 的链接,在username字段中嵌入可信机构域名,从视觉上模仿合法服务。
当用户点击这些链接时,其浏览器会向@符号后指定的恶意域名进行身份验证,从而静默窃取本应提交给伪造网站的凭证。
这种策略在移动应用和截断长URL的邮件客户端中尤为有效,仅显示@符号前的欺骗性部分。
Netcraft分析师注意到首轮攻击针对日本GMO Aozora银行客户,攻击者注册了如hxxps://gmo-aozora.com%25TOKEN@coylums.com/sKgdiq 的URL。
收到钓鱼邮件的受害者会被引导至一个日语验证码(CAPTCHA)页面,模拟合法安全检查流程。
尽管现代浏览器仍支持Basic Auth URL格式,但该格式因安全问题已被弃用,使其成为一种规避常规URL审查的意外攻击向量。
在首次发现后,Netcraft研究人员在两周内识别出超过200个独特的Basic Auth钓鱼URL。
攻击仿冒了亚马逊、谷歌、Netflix等主要品牌,常将恶意域名隐藏在熟悉名称之后。
例如,一个仿冒Netflix的链接看似合法,实则指向themiran.net 上托管的凭证窃取脚本。
攻击者通过协调使用多个恶意域名和编码令牌,强化了“合法认证流程”的假象。
除简单凭证窃取外,这些钓鱼链接还实施人机验证CAPTCHA,以延迟自动化下架操作并增强受害者信任。
验证码页面模拟安全检查点,要求用户点击“我不是机器人”后才能进入伪造登录表单。这一额外步骤既提升了页面的“合法性”感知,又为攻击者争取了更多捕获凭证的时间。
感染机制与凭证窃取流程
点击恶意Basic Auth URL后,受害者浏览器会发送HTTP GET请求,其中凭证字段被设置为可信域名文本。
例如:
GET /sKgdiq HTTP/1.1
Host: coylums.com
Authorization: Basic Z21vLWFvem9yYS5jb206 此处Z21vLWFvem9ycmEuY29tOg==是字符串gmo-aozora.com: 的Base64编码。服务器解码此头以确认嵌入的“用户名”存在,然后提供模仿银行登录界面的钓鱼页面。
提交的凭证通过POST请求发送至攻击者的后端端点,被收集用于后续滥用。
这种机制绕过了专注于查询字符串而非嵌入式认证令牌的典型URL过滤器。
通过复兴这一过时的HTTP特性,攻击者展示了遗留标准如何被重新用于现代钓鱼攻击。
金融机构和安全团队应更新URL检查规则,以检测和阻止链接中的Basic Authentication令牌,并教育用户警惕未知嵌入式凭证的危险。
发表评论
您还未登录,请先登录。
登录