这些欺诈攻击者重新回归,开始针对美国和欧洲境内的用户。

图片 1

图片 2

如果你已经有了邮箱账号或社交媒体个人资料,很可能你已经遇到了某种类型的网络钓鱼。一句话解释,网络钓鱼就是通过社会工程偷盗个人信息的诈骗尝试:犯罪欺诈行为。

写在前面的话

2014年,黑客通过在iCloud上的Find My
iPhone功能向一名澳大利亚用户发起远程欺诈,用户的iPhone、iPad和Mac都被锁定需要支付50美元至100美元才能进行解锁。

图片 3

iPhone到底安不安全?这个梗已经讨论了很久了。而我今天要告诉大家的是,就算你的iPhone
6s设置了六位数字密码,并且还有touch
ID的保护,黑客同样能够解锁你的手机。

而现在,IT安全专家Troy
Hunt表示攻击者会使用各种在线安全漏洞来攻克用户邮箱和密码,在获得用户凭证后登录至iCloud账号。例如AOL和eBay等数家高危企业在2014年都经历了数据被窃事件。

威瑞森最新的《数据泄露调查报告》指出:社会工程对目标用户的有效程度依然令人心惊,2016年超过30%的网络钓鱼消息都被打开了——2014年钓鱼消息打开比例仅为24%。甚至有专家称,没有任何一个地区、行业或公司可以躲过网络钓鱼。

故事背景

援引俄罗斯网站MKRU报道,攻击者通过钓鱼网站和社会工程学技术已经获得了用户凭证。随后,CSO安全博客Salted
Hash发现自今年2月份开始,这些欺诈攻击者重新回归,开始针对美国和欧洲境内的用户。攻击者所使用的方式和2014年的如出一辙,开始使用Apple
ID来实施欺诈。

进一步分析发现,凭证渗漏和交易秘密盗窃,依然是黑客的主要动机,而网络钓鱼的威胁正处于令人担心的上升过程。非营利组织“反网络钓鱼工作组(APWG)”的发现印证了该观点。APWG发现零售业是最常被锁定的目标,有记录的攻击就超过了40%。

就在三天之前,有一名用户告诉我们他的iPhone
6s被偷了。就在他的手机被盗之后不久,那个小偷不仅重置了他的一些在线服务密码和Apple
ID,而且还伪装成他来与银行联系,并尝试重置他银行账号的密码。不过幸运的是,犯罪分子并没有成功取出他银行卡中的钱,但是犯罪分子为什么可以重置他Apple
ID的密码呢?他的iPhone可是有密码和指纹保护的啊!

本周早些时候,安全专家向私人邮件集团发布信息称至少有4000万iCloud账号可能存在账号泄露,不过报告中也表示目前还未曝光大面积iCloud账号被盗事情,苹果对此未于置评。

AOL、盗版软件与网络钓鱼的起源

为了让大家更加清楚地了解目前所发生的事情,我们为大家收集并整理出了以下信息:

社会工程技术一直就是犯罪教科书的一部分;最早的网络钓鱼案例,发生在20多年前。90年代初期,攻击者将曾经流行的AOL平台锁定为目标,使用即时消息诱骗用户透露他们的口令。

a)这是一次有针对性的攻击事件吗?我的意思是,攻击者是否在此之前曾经通过网络钓鱼等方式获取到了这位用户的凭证,然后又专门来盗取他的iPhone手机?

这些攻击者锁定高价值目标的耗时不算太长,毫无戒备的受害者在“不验证账单信息就马上删除账户”的压力之下,往往很快就什么都吐露了。进一步演化,犯罪团伙不仅能获得受害者的AOL凭证,他们的银行账号和支付卡信息也不能幸免。

这种可能性非常的低。根据我们收集到的数据,在手机被盗之前,在这名用户的身上并没有发生任何的异常事件。

AOL强化了他们的反欺诈行动,实现新方法以主动删除涉嫌网络钓鱼的账户。这是决定性的一击,迫使攻击者转而搜索新的机会。

b)包含用户信息的文件或者网络服务账号在此之前是否被盗了呢?因为对于攻击者而言,用户的姓名或者电子邮件地址也是非常重要的数据。

犯罪活动

事实证明,这种事情也没有在这名用户的身上发生过。

网络钓鱼伴随着粗制滥造的电子邮件进入主流,这些邮件满是拼写错误、低分辨率的图片和设计问题,用户很容易就能分辨出这些所谓的“迹象”。

c)在手机被盗多久之后犯罪分子就解锁了iPhone和SIM卡呢?

同时,用户也习惯于将拼写错误等同于网络钓鱼,而将拼写、语法和展示无错的网站默认为合法的。还有另一个惯性思维是,“HTTPS==100%安全”——研究人员经常发现有威胁活动使用
Let’s Encrypt 凭证(使用域名验证SSL)来灌输危险的错误安全感。

大约在手机被盗两小时之后。

如果想了解网络钓鱼研究前沿,可以在推特上粉“恶意软件猎手团队”。该团队由@JAMESWT_MHT、@techhelplistcom和@demonslay335组成,发现并摧毁针对iCloud、PayPal和Facebook之类服务用户的恶意活动。

d)iPhone的解锁密码是否为弱密码?

Wombat Security Technologies
在其开篇的《网络钓鱼状态》报告中提示了几点意见。该调查报告发布于2016年1月,发现点击率最高的网络钓鱼活动涉及的话题,都是人们在日常工作中经常遇到的那些,包括物流确认和HR文书。

并不是。六位数字密码并不是那么好猜到的,而且解锁密码与这名用户的车牌号以及其他的个人信息没有任何的关系。

有趣的是,雇员在打开以“快速致富”计划、奖励和竞赛为噱头的邮件时,反而更加谨慎。考虑到我们可以从这些报告中抽取的普世经验时,一个明显的发现就是,网络钓鱼依然是各种攻击的主催化剂。

考虑到此次事件如此的蹊跷,于是我们决定对这一事件进行深入地分析,让我们来看看这台iPhone到底是如何被解锁的吧!

鱼叉式网络钓鱼

事件时间轴

过去10年里最恶名昭彰的一些网络犯罪,就拿零售连锁店、大学和银行来说吧,都是由某用户打开了一封鱼叉式网络钓鱼邮件引发的。传统网络钓鱼采用广撒网战术,寄希望于中奖似的机会,鱼叉式网络钓鱼则是高度针对性的。

这名用户的手机在10月14日的下午被盗了,于是我们对事件的脉络进行了梳理,具体信息如下所示:

技术研究公司 Vanson Bourne
将成功鱼叉式网络钓鱼攻击的平均经济影响定位在160万美元。利用收集到的信息和开源情报(OSINT)馈送,黑客为精选出来的一小部分雇员精心编制个性化的诱饵邮件。

a)14:00-手机被盗;

由于鱼叉式网络钓鱼邮件如此与众不同,传统信誉和垃圾邮件过滤往往检测不出其中包含的恶意内容。鱼叉式网络钓鱼攻击还能结合进发家伪造、多态URL和偷渡式下载来规避常规防护措施。

b)16:03-用户激活了iPhone的“丢失模式”,并且通过iCloud远程清除了手机中的数据;

钓鲸和CEO诈骗

c)16:28-用户Google邮箱的密码被修改了;

钓鲸,是用来描述专门针对单一高调商业目标的网络钓鱼攻击的。CEO、部门主管和其他高管级员工,代表着公司的大鱼。

d)16:37-用户收到了一封邮件,邮件中包含一条重置Apple ID密码的链接;

钓鲸攻击中,黑客发送的邮件都带有精心制作的托辞——往往围绕“紧急电汇”或金融交易编织而成。因此,钓鲸往往被等同于CEO诈骗和商业电子邮件入侵(BEC)骗局。

e)16:38-用户又收到了一封邮件,这封邮件告诉用户他的Apple
ID密码已经被修改;

新兴技术

f)16:43-用户收到了一封新邮件,邮件通知称iCloud已经定位到了这台iPhone手机;

1. 社交媒体欺骗

g)16:43-用户收到了一封新邮件,邮件通知称iCloud已经清除了这台iPhone手机中的数据;

2016年末,Proofpoint报道了网络罪犯冒用英国银行客户服务部门推特资料的事。这些高级黑客模仿了银行员工的命名惯例、可见资产和特殊习惯。

正如我们所看到的,用户Google账号和Apple账号的密码已经被犯罪分子重置了。
在没有密码的情况下,想要解锁iPhone手机几乎是不可能的。那么犯罪分子到底做了什么?

网络罪犯用与你真实客户支持账号相似的昵称,创建极具可信度的虚假客户服务账号。然后,他们等待客户向真实账号求助。当你的客户试图联系公司时,罪犯就会通过发自虚假支持页面的虚假客户支持链接来劫持对话。

为此,我们重新对事件信息进行了整理:

这种别名为“安康鱼”的网络钓鱼攻击方法(注意别与Angler漏洞利用工具包搞混了),因为客户早已预期收到公司的回复,而成功率极高。在最近的《社交媒体品牌欺诈报告》中,Proofpoint发现,与10家全球品牌有关的社交媒体账号中,近20%都是虚假的。

1)如果你要修改Google账号的密码,首先你得要知道用户电子邮箱的地址。那么犯罪分子是怎么得到用户邮箱地址的呢?

2. 勒索软件和软定位

我们假设用户手机在锁屏状态下显示的信息不会泄漏用户的邮箱地址,所以犯罪分子不可能从手机屏幕上获取用户Gmail邮箱的地址。

PhishMe的2016第1季度《恶意软件综述》发现,有记录的所有网络钓鱼邮件中,92%都含有某种加密勒索软件。到了第3季度,该数字增长到了97%。

2)可以通过设备的IMEI码来获取用户的Apple ID吗?

研究人员指出,Locky继续领跑最灵活勒索软件变种家族,犯罪团伙不断精炼其构造和投放方式。软定位和广分布攻击的使用也是关键;“软定位”部署的网络钓鱼,介于钓鲸攻击和大规模网络钓鱼邮件之间。

我们在网上搜索了一番,并且发现了一些付费服务,这些服务可以根据IMEI码来查找Apple
ID。但是这些服务并不是在线操作的,而且通常需要24至48小时才能够拿到我们所需要的数据。但是犯罪分子只花了两小时就拿到了用户的Apple
ID,所以这与我们的情况不符。

PhishMe的报告,给读者留下了令人不安的结论:

3)可以通过手机号码来找出用户的Gmail账号吗?

对勒索软件的快速意识和关注,迫使攻击者转移和迭代他们的战术,无论攻击载荷还是投放方式。这一持续的韧性显示出,仅仅意识到网络钓鱼和威胁,是不够的。

我们又进行了一次搜索,发现Google提供了几种方法来帮助用户找回邮箱账号。例如与账号绑定的手机号或者用户姓名。由于在这个场景下,犯罪分子可以轻易地获取到用户的手机号,而通过手机号来查找用户的姓名其实也并不难。所以,我们打算从这里开始入手……

3. Dropbox和 Google Drive

 

基于云存储服务的网络钓鱼活动,比如 Google Drive
和Dropbox,已经存在好些年了。这些在形式上通常很传统——用链接和暗示导引受害者到虚假登录页面。

图片 4

最近就有人遇到过罪犯将图像伪装成Gmail里的PDF附件,但实际上就是个导引用户到谷歌账户钓鱼网站的链接。

 

保持安全的6条建议:

情景假设

  1. 避免回复可疑邮件或与发送者产生联系

  2. 自己打开网站——不要点击嵌入的链接或媒体

  3. 警惕含有催促或威胁意味的托辞

  4. 用带外通信核实请求和信息

  5. 检查浏览器以确保反网络钓鱼服务是启用的

  6. 使用口令管理器;不要跨多个网站重用同样的口令

为了弄清楚事情的真相,这名用户又买了一台新的iPhone
6s手机,并且将这台新手机设置成与被盗手机一样(包括Google账号和Apple账号),然后给我们来进行实验。这样一来,我们就可以最大程度地还原真实的场景了。

【编辑推荐】

为了获取手机号,我们取出了iPhone中的SIM卡,然后将其插入了另外一台手机中。与真实场景相同,SIM卡并没有设置PIN码。在另外一台手机中,我们可以轻易获取到用户的手机号码。

 

图片 5

 

在获取到了用户手机号之后,我们就可以让搜索引擎来帮助查找用户的姓名了。但不幸的是,我们什么也没找到。

接下来,我们便尝试用手机号在Facebook上进行查找。如果用户的Facebook账号绑定了手机的话,我们就可以直接通过手机号来查找到这名用户了。与刚才一样,我们还是什么也没找到。

WhatsApp+锁屏通知=攻击成功

我突然想起来,如果你在一个WhatsApp的讨论组里,然后收到了一条陌生人发来的信息,那么信息上方将会显示用户姓名和手机号(例如9999-9999~Mike
Arnold)。所以,如果我们可以用这台锁屏的iPhone来向WhatsApp讨论组发送信息的话,我们就可以获取到用户的姓名了。

首先,我们要确保这台iPhone手机会在锁屏界面显示WhatsApp的通知信息,于是我们向其发送了一条信息,这条信息也正如我们期待的那样显示在了锁屏界面中。接下来,我们还可以使用3D
touch功能直接在锁屏界面上回复消息。

准备完毕之后,我们就要创建一个讨论组,然后把这位用户手机号所绑定的WhatsApp账号拉进讨论组里。由于加入讨论组是不需要进行验证的,所以进入讨论组之后,iPhone锁屏界面上便会出现了一条新的通知消息,以告诉用户他新加入了一个讨论组。当然了,讨论组中还有一些用于测试的其他用户。

接下来,我们在讨论组中发了一条信息,这条信息也成功在iPhone的锁屏界面上显示了。然后我们利用3D
touch功能来回复这条信息,这样就成功获取到了用户的姓名。

下一步要做的,就是将我们所获取到的信息(手机号和用户姓名)填入Google的表单中,然后获取到用户的电子邮箱地址。

修改Google账号的密码

现在,我们就可以重现攻击者修改Google邮箱密码的操作了。操作步骤如下:

  1. 进入Google邮箱的登录界面;

  2. 选择“忘记密码”选项;

  3. 在“你所能记住的最后一个密码”中随便填写一些数据;

4.
接下来,Google会要求你输入与该邮箱绑定的手机号码。在这一步中,Google会显示部分手机号码,虽然只有两个数字,但也足够帮助我们验证手机号的正确性了。

  1. 输入手机号码,Google会通过短信向iPhone发送一个验证码;

  2. 填写完验证码之后,Google便会要求我们设置新的邮箱密码;

 

图片 6

 

很简单吧?其实只要犯罪分子拿到了你的手机或者SIM卡、以及你的姓名,他们就可以在几分钟之内重置你Gmail邮箱的密码。

修改Apple ID的密码

接下来,我们使用获取到的Google邮箱地址作为Apple
ID的账号来尝试进行登录。与此前一样,先选择“忘记密码”选项,然后系统会将密码重置链接通过邮件发送至你的邮箱。剩下的操作就非常简单了,想必大家也都知道。最后,我们成功地修改了用户苹果账号的密码。

 

图片 7

 

解锁“新的”iPhone

当iPhone丢失之后,很多用户可能会远程锁定并擦除iPhone中的数据。但是当iPhone数据被远程清除之后,iPhone会要求你输入此前设备所绑定的Apple
ID和密码,如果犯罪分子知道你的Apple
ID和密码的话,他们就可以将这台iPhone当作一台全新的手机来使用了。

总结

随着智能手机的功能越来越多,在方便了用户的同时,我们也应该学会如何保护自己的安全。为此,我们给大家提供了以下建议:

  1. 禁止手机在锁屏状态下显示通知的详细信息;

  2. 为SIM卡设置PIN码;

  3. 如果可以的话,开启网络服务的双因素身份验证功能;

相关文章