在生活中,一些最有效的騙局通常都非常簡單,例如裝扮成警察要求別人交出車鑰匙,而一般人可能會毫不質(zhì)疑地交出,這也是為什么冒充警察在全世界都被界定為非常嚴重的犯罪。這種騙局背后利用了兩個因素:第一,操作簡單;第二,人們過分傾向于信任權(quán)威。然而,這兩個因素在網(wǎng)絡犯罪領(lǐng)域也同樣適用。
近期,賽門鐵克發(fā)現(xiàn),以移動用戶為目標的特定魚叉式網(wǎng)絡攻擊的數(shù)量有所增加。該攻擊的目的是為了獲取受害人的電子郵件帳戶的驗證碼。這種社交工程攻擊具有很強的說服力,并且我們發(fā)現(xiàn),已有用戶深受其害。
犯罪分子需要知道攻擊目標的電子郵件地址和手機號碼來進行攻擊;然而,獲取這些信息并不費力。攻擊者會利用電子郵件提供商所提供的密碼恢復功能,該功能可以幫助忘記密碼的用戶獲得帳戶訪問權(quán)限。在眾多密碼恢復方式中,向用戶的手機發(fā)送驗證碼是其中一種手段。
賽門鐵克發(fā)現(xiàn),大多數(shù)攻擊針對Gmail、Hotmail和Yahoo Mail用戶。本安全公告將以Gmail為例,展示這類攻擊的手法。
攻擊說明
受害人Alice用手機號碼注冊了Gmail賬戶。如果她忘記密碼,Google將會向她發(fā)送短信驗證碼,以便她可以再次訪問自己的帳戶。
假設犯罪分子名為Malroy。他在不知道Alice賬戶密碼的前提下想要登錄她的帳戶。但是,Malroy知道Alice的電子郵件地址和手機號碼。他可以訪問Gmail的登錄頁面,輸入Alice的電子郵件,然后單擊“需要幫助?”鏈接。該鏈接將為忘記登錄憑證的用戶提供幫助。
Malroy現(xiàn)在有幾個選擇,包括“輸入您記得的最后一個密碼”和“通過[品牌和型號]手機確認重置密碼”。他可以跳過這些選項,直到獲得“通過手機獲取驗證碼:[手機號碼]。”
Malroy選擇通過短信發(fā)送驗證碼選項。這時,系統(tǒng)會向Alice發(fā)送一條包含六位驗證碼的短信。
Alice收到一條消息上顯示:“您的Google驗證碼為[六位數(shù)字]。”
接著Malroy向Alice發(fā)送一條短信,大致內(nèi)容為“Google監(jiān)測到您的帳戶出現(xiàn)未經(jīng)授權(quán)的行為。請回復您在手機上收到的驗證碼,以終止未經(jīng)授權(quán)的活動。”
Alice對這條短信的合法性毫不懷疑,并回復了驗證碼。
然后Malroy就會使用該驗證碼獲取一個臨時密碼,從而獲得Alice電子郵件帳戶的訪問權(quán)限。
賽門鐵克還發(fā)現(xiàn),當驗證碼無效時,攻擊者會繼續(xù)與受害者互動。受害者會再次收到一條短信,大概內(nèi)容為:
“我們?nèi)匀槐O(jiān)測到有人未經(jīng)授權(quán)登錄您的帳號。Google已通過短信重新發(fā)送驗證碼:請回復驗證碼以確保您的Google帳戶的安全”
當攻擊者獲得帳戶訪問權(quán)限后,他們可以做很多利己的行為,例如,向該電子郵件添加一個備用電子郵件并完成設置,這樣所有的信息都會被抄送至該地址。一個臨時密碼將會被發(fā)送給受害者,使他們不會察覺到自己的電子郵件會同時被發(fā)送給攻擊者。受害者將會收到一條短信,大概內(nèi)容為:
“感謝您驗證Google賬戶。您的臨時密碼為[臨時密碼]”
這會讓釣魚攻擊看上去更加可信,讓受害人相信該通信的合法性,并相信他們的帳號的安全性。
實施這些攻擊的網(wǎng)絡犯罪分子似乎并非專注于盜竊信用卡號碼等經(jīng)濟收益。他們的目的似乎是為了收集攻擊目標的信息。總體上,該攻擊不針對大批用戶,也并不針對具體個人。他們犯罪的手法與APT集團所使用的方法類似。
與需要注冊域名并設立釣魚網(wǎng)站的傳統(tǒng)魚叉式攻擊方式相比,這種攻擊方式簡單有效,并且更加經(jīng)濟。犯罪分子的唯一成本是短信費用。此外,這種攻擊方法也很難被監(jiān)測,這是由于監(jiān)測必須通過用戶的移動軟件或由移動運營商完成。
在上文案例中,犯罪分子并非假冒警察,而是偽裝成受害者的電子郵件提供商。用戶過分信任權(quán)威機構(gòu)的傾向性幫助犯罪分子實施了釣魚攻擊。 賽門鐵克提示,盡管一些人看上去像警察或說得像警察,但這并不意味著用戶應該在不查明身份的情況下就交出車鑰匙。
賽門鐵克建議,用戶應該對索取驗證碼的短信保持懷疑態(tài)度,尤其是在自己沒有申請的情況下。如不能確定意外收到的請求,用戶可以與電子郵件提供商核實,確認該消息是否合法。用于密碼恢復服務的合法消息只會告知驗證碼,并不會要求用戶以任何方式回復驗證碼。
