Εντοπισμός Ψεύτικων Ιστοσελίδων Ξενοδοχείων πίσω από το Cloudflare: Τεχνικές Μέθοδοι

Όταν αναλύσαμε εκατοντάδες ψεύτικες ιστοσελίδες ξενοδοχείων, η εικόνα που προέκυψε ήταν αποκαλυπτική: πάνω από το 80% αυτών των ιστότοπων φιλοξενούνταν πίσω από το Cloudflare CDN (Content Delivery Network). Αυτή η επιλογή δεν είναι τυχαία. Το Cloudflare κρύβει την πραγματική διεύθυνση IP του διακομιστή, καθιστώντας τις διαδικασίες takedown (αφαίρεσης) εξαιρετικά δύσκολες.

Για να ξεκινήσει μια διαδικασία εναντίον μιας ψεύτικης ιστοσελίδας, πρέπει να επικοινωνήσετε με την εταιρεία hosting. Και για να βρείτε την εταιρεία hosting, είναι απαραίτητο να γνωρίζετε τη διεύθυνση IP. Όταν το Cloudflare κρύβει αυτή την IP, η διαδικασία φαίνεται να βαλτώνει. Ωστόσο, το προφανές δεν είναι πάντα και το πραγματικό.

Σε αυτό το άρθρο, εξετάζουμε πώς λειτουργεί το Cloudflare, γιατί η προστασία του δεν είναι απόλυτη και τις τεχνικές μεθόδους που χρησιμοποιούνται για την παράκαμψη αυτής της προστασίας ώστε να φτάσουμε στην πραγματική υποδομή των ψεύτικων ιστότοπων.

Οι νόμιμοι ιστότοποι χρησιμοποιούν το Cloudflare για προστασία από επιθέσεις DDoS, βελτιστοποίηση ταχύτητας και ασφάλεια. Οι απατεώνες, όμως, το προτιμούν για έναν διαφορετικό λόγο: την ανωνυμία.

Όταν ένας ιστότοπος μπαίνει πίσω από το proxy του Cloudflare, κάθε εξωτερικό ερώτημα DNS δείχνει μόνο τις διευθύνσεις IP του Cloudflare. Η πραγματική IP του διακομιστή παραμένει αόρατη. Αυτό δυσκολεύει τόσο τα αιτήματα κατάργησης όσο και τον εντοπισμό της εταιρείας hosting.

Οι ειδικοί του κλάδου επισημαίνουν ότι η χρήση του Cloudflare από απατεώνες με αυτόν τον τρόπο αποτελεί στην πραγματικότητα κατάχρηση της πλατφόρμας. Οι πολιτικές του ίδιου του Cloudflare απαγορεύουν αυτή τη χρήση, όμως το σύστημα δεν παρεμβαίνει αυτόματα χωρίς καταγγελία.

Η προστασία του Cloudflare λειτουργεί σε ένα συγκεκριμένο επίπεδο: καλύπτει την κίνηση HTTP και HTTPS. Ωστόσο, ένας web server δεν λειτουργεί μόνο με την κίνηση του ιστού. Οι διακομιστές ηλεκτρονικού ταχυδρομείου (email servers), τα παλαιότερα αρχεία DNS, οι ρυθμίσεις των subdomain και οι συμπεριφορές του διακομιστή μπορεί να παραμείνουν έξω από αυτή τη μάσκα.

Στην έρευνά μας, είδαμε ότι στο 73% των ψεύτικων ιστότοπων που χρησιμοποιούν Cloudflare, ήταν δυνατό να βρεθεί η πραγματική διεύθυνση IP μέσω τουλάχιστον μιας εναλλακτικής μεθόδου.

Είναι το πιο κοινό και αποτελεσματικό κενό ασφαλείας. Ακόμη και αν το κύριο domain βρίσκεται πίσω από το Cloudflare, τα subdomain μπορεί να δείχνουν απευθείας στην IP του διακομιστή λόγω διαφορετικής διαμόρφωσης.

Ο τεχνικός λόγος είναι ο εξής: Η κίνηση SMTP (email) δεν μπορεί να δρομολογηθεί μέσω του proxy του Cloudflare. Subdomain όπως "mail.fakehotel.com" ή "smtp.fakehotel.com" πρέπει να συνδέονται απευθείας με τον διακομιστή αλληλογραφίας. Όταν γίνεται ένα ερώτημα DNS για αυτό το subdomain, η πραγματική διεύθυνση IP εμφανίζεται άμεσα.

Σε μια περίπτωση που εντοπίσαμε, ενώ το κύριο domain ήταν πλήρως προστατευμένο από το Cloudflare, το subdomain "info." έδειχνε απευθείας σε έναν διακομιστή στην Ανατολική Ευρώπη. Στον ίδιο διακομιστή φιλοξενούνταν 17 διαφορετικές ψεύτικες ιστοσελίδες κρατήσεων.

Εργαλεία όπως το Sublist3r, το Amass και το Subfinder χρησιμοποιούνται για τη σάρωση subdomain. Αυτά τα εργαλεία δοκιμάζουν κοινά ονόματα subdomain για ένα domain και προσδιορίζουν ποιο από αυτά δείχνει στην πραγματική IP.

• mail., smtp., imap., pop., mx., webmail. (υποδομή email)
• ftp., sftp. (μεταφορά αρχείων)
• cpanel., whm., plesk., direct-admin. (πίνακες ελέγχου hosting)
• api., backend., admin., portal. (επίπεδα εφαρμογών)
• dev., staging., test., beta. (περιβάλλοντα ανάπτυξης)

Η πλειονότητα των ψεύτικων ιστότοπων δεν χρησιμοποιεί Cloudflare εξαρχής. Αφού στηθεί ο ιστότοπος, μεταβαίνουν σε CDN για να αποφύγουν τον κίνδυνο εντοπισμού. Οι εγγραφές DNS από την περίοδο πριν από αυτή τη μετάβαση παραμένουν αποθηκευμένες σε διάφορες υπηρεσίες αρχειοθέτησης.

Βάσεις δεδομένων παθητικού DNS, όπως το SecurityTrails και το ViewDNS.info, αποθηκεύουν τις διευθύνσεις IP και τις εγγραφές nameserver που χρησιμοποιούσε ένα domain στο παρελθόν. Κοιτάζοντας αυτά τα αρχεία, μπορεί να δει κανείς την πραγματική IP του διακομιστή που χρησιμοποιήθηκε πριν από τη μετάβαση στο Cloudflare.

Στην εμπειρία ενός πελάτη μας, είχαν περάσει μόλις τρεις ημέρες από τότε που μας ενημέρωσαν ότι ο ψεύτικος ιστότοπος είχε μεταβεί στο Cloudflare. Ένα ερώτημα στο SecurityTrails αποκάλυψε δύο διαφορετικές διευθύνσεις IP που χρησιμοποιήθηκαν πριν από τη μετάβαση. Μία από αυτές τις IP εξακολουθούσε να εξυπηρετεί ενεργά πολλαπλούς ψεύτικους ιστότοπους.

Στα CT logs, εκτός από το όνομα domain, μπορούν περιστασιακά να γίνουν αναζητήσεις βάσει IP. Ορισμένοι διακομιστές λαμβάνουν πιστοποιητικά SSL και για τις δικές τους απευθείας διευθύνσεις IP.

Αφού εντοπιστεί μια διεύθυνση IP, μπορεί να γίνει αναζήτηση για εγγραφές πιστοποιητικών που ανήκουν σε αυτήν την IP στο crt.sh. Αυτή η αναζήτηση μπορεί να αποκαλύψει άλλες ψεύτικες ιστοσελίδες στην ίδια υποδομή.

Σε ένα πραγματικό περιστατικό: αφού βρήκαμε τη διεύθυνση IP μιας ψεύτικης ιστοσελίδας ξενοδοχείου μέσω της μεθόδου των subdomain, η αναζήτησή μας στα CT logs αποκάλυψε 27 ακόμη ψεύτικα domain για την ίδια IP. Όλα αποτελούσαν μέρος της ίδιας επιχείρησης.

Το Shodan είναι μια μηχανή αναζήτησης που σαρώνει συνεχώς συσκευές και διακομιστές συνδεδεμένους στο διαδίκτυο. Όταν γίνεται αναζήτηση μιας IP στο Shodan, μπορούν να φανούν οι εκδόσεις λογισμικού που τρέχουν στον διακομιστή, οι ανοιχτές θύρες, οι επικεφαλίδες υπηρεσιών (HTTP response headers) και οι πληροφορίες banner.

Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για διάφορους σκοπούς:

• Προσδιορισμός της εταιρείας hosting (πληροφορίες ASN)
• Εντοπισμός άλλων ιστότοπων που φιλοξενούνται στον ίδιο διακομιστή
• Καταγραφή γνωστών κενών ασφαλείας στο λογισμικό του διακομιστή (υποστηρικτικά στοιχεία σε αιτήματα takedown)

Ορισμένοι web servers, λόγω κακής διαμόρφωσης, εκπέμπουν λεπτομερείς πληροφορίες διακομιστή σε σημεία όπως το "/server-status" ή το "/server-info". Σε αυτούς τους διακομιστές, μπορούν να παρατεθούν όλα τα ονόματα εικονικών κεντρικών υπολογιστών (virtual host) που χρησιμοποιούν τον συγκεκριμένο διακομιστή.

Όταν εντοπίζεται ένα τέτοιο κενό, η προστασία του Cloudflare καθίσταται άχρηστη, καθώς ο ίδιος ο διακομιστής αποκαλύπτει τη σχέση μεταξύ όλων των domain και των IP.

Η πρόσβαση στην πραγματική διεύθυνση IP συγκεκριμενοποιεί τη διαδικασία takedown:

1. Άμεση καταγγελία στην εταιρεία hosting: Η εταιρεία μπορεί να προσδιοριστεί μέσω ερωτήματος ASN. Μια ειδοποίηση DMCA ή καταγγελία κατάχρησης μπορεί να σταλεί στη διεύθυνση abuse email της εταιρείας.
2. Ισχυρό αίτημα στο Cloudflare: Η παροχή πληροφοριών για τον πραγματικό διακομιστή στις καταγγελίες προς το Cloudflare επιταχύνει τη διαδικασία αξιολόγησης.
3. Τεχνική απόδειξη για νομικές ενέργειες: Οι πληροφορίες IP και φιλοξενίας αποτελούν τεχνικά αποδεικτικά στοιχεία στις ποινικές έρευνες.

Κάθε web server στέλνει διάφορες πληροφορίες κεφαλίδας (header) στις αποκρίσεις HTTP. Αυτές οι κεφαλίδες μπορεί να περιέχουν στοιχεία για το λογισμικό του διακομιστή, το περιβάλλον runtime ή την υποδομή φιλοξενίας.

Ιδιαίτερη προσοχή στις κεφαλίδες: - Server: Μπορεί να αποκαλύψει λογισμικό όπως Apache, Nginx, LiteSpeed. - X-Powered-By: Πληροφορίες runtime όπως έκδοση PHP ή ASP.NET. - CF-Cache-Status: Επιβεβαιώνει αν ο ιστότοπος βρίσκεται όντως πίσω από το Cloudflare. - Set-Cookie: Ορισμένες πλατφόρμες φιλοξενίας αφήνουν τα ίχνη τους στις κεφαλίδες των cookie (π.χ. cPanel, Plesk).

Οι ψεύτικες ιστοσελίδες ξενοδοχείων χρησιμοποιούν μερικές φορές λειτουργικές διευθύνσεις email για να δημιουργήσουν μια αίσθηση νομιμότητας. Η αναζήτηση της εγγραφής MX (Mail Exchange) για αυτές τις διευθύνσεις μπορεί να αποκαλύψει την IP του διακομιστή αλληλογραφίας. Τις περισσότερες φορές, ο διακομιστής αλληλογραφίας δεν βρίσκεται πίσω από το proxy του Cloudflare.

Χρησιμοποιήστε το αυτόματο εργαλείο σάρωσης της RuuSafe για να εντοπίσετε την πραγματική υποδομή πίσω από το Cloudflare για τις ψεύτικες ιστοσελίδες που αφορούν το ξενοδοχείο σας.