在生活中, 一些最有效的騙局通常都非常簡單, 例如裝扮成員警要求別人交出車鑰匙, 而一般人可能會毫不質疑地交出, 這也是為什麼冒充員警在全世界都被界定為非常嚴重的犯罪。 這種騙局背後利用了兩個因素: 第一,操 作簡單; 第二,人們過分傾向于信任權威。 然而,這兩個因素在網路犯罪領域也同樣適用。 近期, 賽門鐵克發現, 以行動使用者為目標的特定魚叉式網路攻擊的數量有所增加。 該攻擊的目的是為了獲取受害人的電子郵件帳戶的驗證碼。 這種社交工程攻擊具有很強的說服力, 並且我們發現, 已有使用者深受其害。 犯罪分子需要知道攻擊目標的電子郵件地址和手機號碼來進行攻擊; 然而,獲取這些資訊並不費力。 攻擊者會利用電子郵件供應商所提供的密碼恢復功能, 該功能可能已批露忘記密碼者帳戶的授權路徑。 在眾多密碼恢復方式中的一種是向使用者的手機發送驗證碼。 賽門鐵克發現, 大多數攻擊針對Gmail、Hotmail和Yahoo Mail使用者。 本安全公告將以Gmail為例,展示這類攻擊的手法。 影片將展示攻擊者如何對不知情的使用者展開攻擊。 賽門鐵克還發現,當驗證碼無效時,攻擊者會繼續與受害者互動。 受害者會收到一條簡訊,大概內容為 “我們仍然監測到有人未經授權登錄您的帳號。 Google已通過簡訊重新發送驗證碼:請回復驗證碼以確保您的Google帳戶的安全” 當攻擊者獲得帳戶授權碼後,他們可以做很多利己的行為,例如,向該電子郵件添加一個備用電子郵件並完成設置,這樣所有的資訊都會被抄送到該位址。 一個臨時密碼將會被發送給受害者,使他們不會察覺到自己的電子郵件會同時被發送給攻擊者。 受害者將會收到一條簡訊,大概內容為: “感謝您驗證Google帳戶。 您的臨時密碼為[臨時密碼]” 這會讓釣魚攻擊看上去更加可信,讓受害人相信該通信的合法性,並相信他們的帳號的安全性。 實施這些攻擊的網路犯罪分子似乎並非專注于盜竊信用卡號碼等經濟收益。 他們的目的似乎是為了收集攻擊目標的資訊。 總體上,該攻擊不針對大批使用者,也並不針對具體個人。 他們犯罪的手法與APT集團所使用的方法類似。 與需要註冊功能變數名稱並設立釣魚網站的傳統魚叉式攻擊方式相比,這種攻擊方式簡單有效,並且更加經濟。 犯罪分子的唯一成本是簡訊費用。 此外,這種攻擊方法也很難被監測,這是由於監測必須通過使用者的行動裝置軟體或由行動電信商完成。 在上文案例中,犯罪分子並非假冒員警,而是偽裝成受害者的電子郵件供應商。 使用者過分信任權威機構,而導致明犯罪分子實施了釣魚攻擊。 賽門鐵克提醒, 舉例來說, 儘管一些人看上去像員警或說得像員警,但這並不意味著使用者應該在不查明身份的情況下就交出車鑰匙。 賽門鐵克建議,使用者應該對索取驗證碼的簡訊保持懷疑態度,尤其是在自己沒有申請的情況下。 如不能確定意外收到的請求,使用者可以與電子郵件供應商核實,確認該消息是否合法。 用於密碼恢復服務的合法消息只會告知驗證碼,並不會要求使用者以任何方式回復驗證碼,這是使用者必須要小心的。
繼續閱讀: 賽門鐵克今日警惕網路攻擊者利用簡訊騙取電子郵件驗證碼
More...
via Singapore Cosplay Forum by SGCafe - VR-Zone http://ift.tt/1dfE5iD
No comments:
Post a Comment