Google 假广告背后的“加密钓鱼”技术揭秘

近日，慢雾安全团队和 Rabby Wallet 团队发现一种利用 Google 广告进行钓鱼的攻击手法。随后，慢雾安全团队联合 Rabby Wallet 团队对该攻击手法展开深入分析。

根据 Rabby Wallet 团队的描述，团队并未购买任何 Google 广告，然而这个假广告却跳转到了真正官网，莫非钓鱼团伙花钱推广真钱包？

从 Google 搜寻关键字情况来看，排在前两位的搜寻结果都为钓鱼广告，然而第一条广告的连结却很反常，它显示的明明是 Rabby Wallet 的官方网站地址 https://rabby.io，钓鱼团伙为什么要这么做呢？

通过追踪发现，钓鱼广告有时会跳转到真正官方地址 https://rabby.io，而在多次更换代理到不同地区后，则会跳转到钓鱼地址 http://rebby.io，并且该钓鱼地址会更新改变。在编写本文时，该连结跳转到钓鱼地址 https://robby.page [.] link/Zi7X/?url=https://rabby.io?gad_source=1。

技术分析

我们先说下什么是 302，302 是一种 HTTP 状态程式码，代表临时重定向 (Found)。当伺服器收到客户端的请求后，如果需要临时将请求的资源转移到另一个位置，就会返回 302 状态码，同时在响应头中包含一个 Location 栏位，指示客户端应该重定向到的新位置。这种重定向是临时性的。

经过分析发现，该钓鱼广告的连结会经过多次的 302 跳转，如下图所示，使用 curl 命令请求该连结，第一次会 302 跳转到钓鱼地址 https://rabby.iopost.ivsquarestudio.com，然而在第二次 302 跳转时却出现了两种情况：

1. 当我们使用 curl 命令请求上述 Location 地址 https://rabby.iopost.ivsquarestudio.com，会 302 跳转到真正官方地址 https://rabby.io。

2. 但是，在我们使用 curl 命令模拟正常浏览器请求上述 Location 地址 https://rabby.iopost.ivsquarestudio.com 的情况下（携带请求头包括 User-Agent、Accept、Referer、Accept-Encoding 等栏位），则会 302 跳转到一个新的 Location 地址 https://dnovomedia.com?uid=087aa42d-724b-4a1e-bae7-f1f700ce71e6。

由此可见，钓鱼连结在第二次 302 跳转时会进行一次判断，当检测到非正常浏览器的请求时，会重定向到官方地址；而检测到正常浏览器的请求行为并且地区合理，则重定向到钓鱼地址。

我们追踪发现最后一次跳转的钓鱼地址为 https://rabbyo.com/index.php?uid=087aa42d-724b-4a1e-bae7-f1f700ce71e6。

开启该钓鱼连结，发现这个钓鱼页面几乎克隆了真官网网页的大部分内容：

通过追踪 302 跳转，我们发现以下钓鱼连结地址：