ngrok+短縮URL=?

ほぼこもセキュリティニュース By Terilogy Worx

ngrokというものがあります。
トンネリングを用いてローカルサーバーを全世界に公開できるツールです。
ローカルサーバといっても特別なものを用意する必要はありません。
手元にはなにかパソコンがあればOKです。
WindowsでもmacOSでもLinuxでもFreeBSDでも、対応しています。
誰でも簡単にサーバを公開できるので、使いようによっては便利です。

普通の人にとって便利なものは攻撃者にとっても便利なものでした。

これまでのフィッシングではどこかのサーバにコンテンツを用意してそこに誘い込むような方式が通常でした。
この方式の場合、フィッシングサイトが置かれていることが判明してしまうとそのサーバを置いているホスティングの会社のほうでそのサイトを停止することができてしまいます。
でもngrokならどうでしょう。
インターネットにつながっているパソコンならどれでもサーバにできるのです。
攻撃で使おうということなので攻撃者の手元のパソコンは使わないでしょうね。
ごにょごにょしたパソコンを使うことになるのでしょう。

さてこれでフィッシングサイトのコンテンツとサーバは用意できました。
あとは誘い込むURLのほうの手配ですが、短縮URLでいきましょう。
短縮URLを使えば一見実際のURLとしてどこに連れていかれるのかわからないようにすることができます。
怪しい感じがしてしまう部分はスミッシングとかならそんなでもない感じになるかもしれません。

ngrokによるサーバも短縮URLもいくらでも作り直せます。
足が付いたら再生成して配置しなおせばよいのです。

新しい流行りになるかもしれません。

参考記事(外部リンク):Evasive phishing mixes reverse tunnels and URL shortening
services

www.bleepingcomputer.com/news/security/evasive-phishing-mixes-reverse-tunnels-and-url-shortening-services/