在生活中,一些最有效的騙局通常都非常簡(jiǎn)單,例如裝扮成警察要求別人交出車(chē)鑰匙,而一般人可能會(huì )毫不質(zhì)疑地交出,這也是為什么冒充警察在全世界都被界定為非常嚴重的犯罪。這種騙局背后利用了兩個(gè)因素:第一,操作簡(jiǎn)單;第二,人們過(guò)分傾向于信任權威。然而,這兩個(gè)因素在網(wǎng)絡(luò )犯罪領(lǐng)域也同樣適用。
近期,賽門(mén)鐵克發(fā)現,以移動(dòng)用戶(hù)為目標的特定魚(yú)叉式網(wǎng)絡(luò )攻擊的數量有所增加。該攻擊的目的是為了獲取受害人的電子郵件帳戶(hù)的驗證碼。這種社交工程攻擊具有很強的說(shuō)服力,并且我們發(fā)現,已有用戶(hù)深受其害。
犯罪分子需要知道攻擊目標的電子郵件地址和手機號碼來(lái)進(jìn)行攻擊;然而,獲取這些信息并不費力。攻擊者會(huì )利用電子郵件提供商所提供的密碼恢復功能,該功能可以幫助忘記密碼的用戶(hù)獲得帳戶(hù)訪(fǎng)問(wèn)權限。在眾多密碼恢復方式中,向用戶(hù)的手機發(fā)送驗證碼是其中一種手段。
賽門(mén)鐵克發(fā)現,大多數攻擊針對Gmail、Hotmail和Yahoo Mail用戶(hù)。本安全公告將以Gmail為例,展示這類(lèi)攻擊的手法。
攻擊說(shuō)明
受害人Alice用手機號碼注冊了Gmail賬戶(hù)。如果她忘記密碼,Google將會(huì )向她發(fā)送短信驗證碼,以便她可以再次訪(fǎng)問(wèn)自己的帳戶(hù)。
假設犯罪分子名為Malroy。他在不知道Alice賬戶(hù)密碼的前提下想要登錄她的帳戶(hù)。但是,Malroy知道Alice的電子郵件地址和手機號碼。他可以訪(fǎng)問(wèn)Gmail的登錄頁(yè)面,輸入Alice的電子郵件,然后單擊“需要幫助?”鏈接。該鏈接將為忘記登錄憑證的用戶(hù)提供幫助。
Malroy現在有幾個(gè)選擇,包括“輸入您記得的最后一個(gè)密碼”和“通過(guò)[品牌和型號]手機確認重置密碼”。他可以跳過(guò)這些選項,直到獲得“通過(guò)手機獲取驗證碼:[手機號碼]。”
Malroy選擇通過(guò)短信發(fā)送驗證碼選項。這時(shí),系統會(huì )向Alice發(fā)送一條包含六位驗證碼的短信。
Alice收到一條消息上顯示:“您的Google驗證碼為[六位數字]。”
接著(zhù)Malroy向Alice發(fā)送一條短信,大致內容為“Google監測到您的帳戶(hù)出現未經(jīng)授權的行為。請回復您在手機上收到的驗證碼,以終止未經(jīng)授權的活動(dòng)。”
Alice對這條短信的合法性毫不懷疑,并回復了驗證碼。
然后Malroy就會(huì )使用該驗證碼獲取一個(gè)臨時(shí)密碼,從而獲得Alice電子郵件帳戶(hù)的訪(fǎng)問(wèn)權限。
賽門(mén)鐵克還發(fā)現,當驗證碼無(wú)效時(shí),攻擊者會(huì )繼續與受害者互動(dòng)。受害者會(huì )再次收到一條短信,大概內容為:
“我們仍然監測到有人未經(jīng)授權登錄您的帳號。Google已通過(guò)短信重新發(fā)送驗證碼:請回復驗證碼以確保您的Google帳戶(hù)的安全”
當攻擊者獲得帳戶(hù)訪(fǎng)問(wèn)權限后,他們可以做很多利己的行為,例如,向該電子郵件添加一個(gè)備用電子郵件并完成設置,這樣所有的信息都會(huì )被抄送至該地址。一個(gè)臨時(shí)密碼將會(huì )被發(fā)送給受害者,使他們不會(huì )察覺(jué)到自己的電子郵件會(huì )同時(shí)被發(fā)送給攻擊者。受害者將會(huì )收到一條短信,大概內容為:
“感謝您驗證Google賬戶(hù)。您的臨時(shí)密碼為[臨時(shí)密碼]”
這會(huì )讓釣魚(yú)攻擊看上去更加可信,讓受害人相信該通信的合法性,并相信他們的帳號的安全性。
實(shí)施這些攻擊的網(wǎng)絡(luò )犯罪分子似乎并非專(zhuān)注于盜竊信用卡號碼等經(jīng)濟收益。他們的目的似乎是為了收集攻擊目標的信息。總體上,該攻擊不針對大批用戶(hù),也并不針對具體個(gè)人。他們犯罪的手法與APT集團所使用的方法類(lèi)似。
與需要注冊域名并設立釣魚(yú)網(wǎng)站的傳統魚(yú)叉式攻擊方式相比,這種攻擊方式簡(jiǎn)單有效,并且更加經(jīng)濟。犯罪分子的唯一成本是短信費用。此外,這種攻擊方法也很難被監測,這是由于監測必須通過(guò)用戶(hù)的移動(dòng)軟件或由移動(dòng)運營(yíng)商完成。
在上文案例中,犯罪分子并非假冒警察,而是偽裝成受害者的電子郵件提供商。用戶(hù)過(guò)分信任權威機構的傾向性幫助犯罪分子實(shí)施了釣魚(yú)攻擊。 賽門(mén)鐵克提示,盡管一些人看上去像警察或說(shuō)得像警察,但這并不意味著(zhù)用戶(hù)應該在不查明身份的情況下就交出車(chē)鑰匙。
賽門(mén)鐵克建議,用戶(hù)應該對索取驗證碼的短信保持懷疑態(tài)度,尤其是在自己沒(méi)有申請的情況下。如不能確定意外收到的請求,用戶(hù)可以與電子郵件提供商核實(shí),確認該消息是否合法。用于密碼恢復服務(wù)的合法消息只會(huì )告知驗證碼,并不會(huì )要求用戶(hù)以任何方式回復驗證碼。
