賽門鐵克發佈資安警訊,網路攻擊者利用簡訊詐騙手法,假冒電子郵件服務商(例如Gmail)傳送簡訊給受害者,騙取電子郵件帳號碼證碼,簡單又有效。

賽門鐵克表示,生活中一些簡單的詐騙手法反而最為有效,像是假冒警察要求受害者交出車鑰匙,受害者通常在信任權威下交出鑰匙。相同的手法應用在網路攻擊,詐騙簡訊就成為簡單又有效的工具,Gmail、Hotmail及Yahoo Mail等電子郵件服務都可能成為被假冒的對象。

現代人使用各式各樣的網路服務,我們有時會遇到忘記某個服務所設定的密碼,以Gmail為例,只要按下忘記密碼,就能請Google協助恢復用戶密碼。其中一個恢復密碼的方式是Google向用戶手機發送驗證碼簡訊。

攻擊者只要知道受害者的電子郵件及手機號碼(在生活中不難取得),在Gmail登入頁面上輸入郵件地址,點選忘記密碼後輸入被害者的手機號碼,該用戶就會收到Google發出的驗證碼簡訊。

↓Gmail登入頁面下方的「需要協助嗎?」對忘記密碼用戶而言可說是救星,只要輸入Gmail信箱帳號,選擇手機SMS簡訊發送暫時登入驗證碼,就能重新設定信箱密碼。

這時攻擊者只要模仿Google系統發送簡訊,例如「Google監測到您的帳戶出現未經授權的行為。請回復您在手機上收到的驗證碼,以終止未經授權的活動。」,或是「我們仍然監測到有人未經授權登錄您的帳號。Google已通過簡訊重新發送驗證碼:請回復驗證碼以確保您的Google帳戶的安全」,設法取信於受害者要求其回覆所收到的驗證碼,只要受害者上當,依指示回覆驗證碼,攻擊者就能登入別人的電子郵件信箱。

攻擊手法如下:

  1. 攻擊者先取得鎖定對象的電子郵件及手機號碼。
  2. 在Gmail電子郵件登入頁面點選忘記密碼,輸入受害者的手機號碼。
  3. 受害者收到由Google系統發出的驗證碼簡訊,在這同時攻擊者假冒Google名義發送詐騙簡訊,要求受害者回覆驗證碼。
  4. 攻擊者利用受害者回覆的驗證碼登入其電子信箱,設定所有郵件轉發第三方信箱,監控受害者的電子郵件內容,作為其他攻擊的準備。

賽門鐵克指出,這類攻擊的目的並非在取得信用卡資料等經濟利益,主要是要蒐集鎖定對象的資料,例如將受害者信箱設定所有收到的郵件轉發到另一個信箱,從而掌握該用戶所有的信件內容,可能用於APT進階持續攻擊。和傳統的釣魚手法相比,簡訊詐騙的成本低而且簡單有效,攻擊者不易被追查,除非使用者在行動裝置上安裝軟體或電信業者協助追查。

不論詐騙攻擊手法有何變化,破解之道都在於用戶必需具有高度的警覺心,以此攻擊手法為例,賽門鐵克建議受害者在自己沒有申請的狀況下,收到向你索取驗證碼的陌生簡訊應保持高度懷疑,向電子郵件服務商確認。另外,用於恢復密碼的驗證碼簡訊只會發送給用戶,服務商不會向用戶傳送簡訊要求回覆驗證碼。

從這項手法的攻擊原理來看,不只可用於電子郵件,也可能用在其他同樣以簡訊協助用戶恢復密碼的服務,擴大網路攻擊的範圍。

事實上,刑事局在今年4月發出警告,有民眾向165專線檢舉收到假冒Google名義,以偵測到Gmail異常登入為由所發送的釣魚郵件,騙取受害者Gmail的帳號及密碼。


Advertisement

更多 iThome相關內容