在生活中，一些最有效的騙局通常都非常簡(jiǎn)單，例如裝扮成警察要求別人交出車(chē)鑰匙，而一般人可能會(huì)毫不質(zhì)疑地交出，這也是為什么冒充警察在全世界都被界定為非常嚴(yán)重的犯罪。這種騙局背后利用了兩個(gè)因素：第一，操作簡(jiǎn)單；第二，人們過(guò)分傾向于信任權(quán)威。然而，這兩個(gè)因素在網(wǎng)絡(luò)犯罪領(lǐng)域也同樣適用。

　　近期，賽門(mén)鐵克發(fā)現(xiàn)，以移動(dòng)用戶(hù)為目標(biāo)的特定魚(yú)叉式網(wǎng)絡(luò)攻擊的數(shù)量有所增加。該攻擊的目的是為了獲取受害人的電子郵件帳戶(hù)的驗(yàn)證碼。這種社交工程攻擊具有很強(qiáng)的說(shuō)服力，并且我們發(fā)現(xiàn)，已有用戶(hù)深受其害。

　　犯罪分子需要知道攻擊目標(biāo)的電子郵件地址和手機(jī)號(hào)碼來(lái)進(jìn)行攻擊；然而，獲取這些信息并不費(fèi)力。攻擊者會(huì)利用電子郵件提供商所提供的密碼恢復(fù)功能，該功能可以幫助忘記密碼的用戶(hù)獲得帳戶(hù)訪(fǎng)問(wèn)權(quán)限。在眾多密碼恢復(fù)方式中，向用戶(hù)的手機(jī)發(fā)送驗(yàn)證碼是其中一種手段。

　　賽門(mén)鐵克發(fā)現(xiàn)，大多數(shù)攻擊針對(duì)Gmail、Hotmail和Yahoo Mail用戶(hù)。本安全公告將以Gmail為例，展示這類(lèi)攻擊的手法。

　　攻擊說(shuō)明

　　受害人Alice用手機(jī)號(hào)碼注冊(cè)了Gmail賬戶(hù)。如果她忘記密碼，Google將會(huì)向她發(fā)送短信驗(yàn)證碼，以便她可以再次訪(fǎng)問(wèn)自己的帳戶(hù)。

　　假設(shè)犯罪分子名為Malroy。他在不知道Alice賬戶(hù)密碼的前提下想要登錄她的帳戶(hù)。但是，Malroy知道Alice的電子郵件地址和手機(jī)號(hào)碼。他可以訪(fǎng)問(wèn)Gmail的登錄頁(yè)面，輸入Alice的電子郵件，然后單擊“需要幫助？”鏈接。該鏈接將為忘記登錄憑證的用戶(hù)提供幫助。

　　Malroy現(xiàn)在有幾個(gè)選擇，包括“輸入您記得的最后一個(gè)密碼”和“通過(guò)[品牌和型號(hào)]手機(jī)確認(rèn)重置密碼”。他可以跳過(guò)這些選項(xiàng)，直到獲得“通過(guò)手機(jī)獲取驗(yàn)證碼：[手機(jī)號(hào)碼]。”

　　Malroy選擇通過(guò)短信發(fā)送驗(yàn)證碼選項(xiàng)。這時(shí)，系統(tǒng)會(huì)向Alice發(fā)送一條包含六位驗(yàn)證碼的短信。

　　Alice收到一條消息上顯示：“您的Google驗(yàn)證碼為[六位數(shù)字]。”

　　接著Malroy向Alice發(fā)送一條短信，大致內(nèi)容為“Google監(jiān)測(cè)到您的帳戶(hù)出現(xiàn)未經(jīng)授權(quán)的行為。請(qǐng)回復(fù)您在手機(jī)上收到的驗(yàn)證碼，以終止未經(jīng)授權(quán)的活動(dòng)。”

　　Alice對(duì)這條短信的合法性毫不懷疑，并回復(fù)了驗(yàn)證碼。

　　然后Malroy就會(huì)使用該驗(yàn)證碼獲取一個(gè)臨時(shí)密碼，從而獲得Alice電子郵件帳戶(hù)的訪(fǎng)問(wèn)權(quán)限。

　　賽門(mén)鐵克還發(fā)現(xiàn)，當(dāng)驗(yàn)證碼無(wú)效時(shí)，攻擊者會(huì)繼續(xù)與受害者互動(dòng)。受害者會(huì)再次收到一條短信，大概內(nèi)容為：

　　“我們?nèi)匀槐O(jiān)測(cè)到有人未經(jīng)授權(quán)登錄您的帳號(hào)。Google已通過(guò)短信重新發(fā)送驗(yàn)證碼：請(qǐng)回復(fù)驗(yàn)證碼以確保您的Google帳戶(hù)的安全”

　　當(dāng)攻擊者獲得帳戶(hù)訪(fǎng)問(wèn)權(quán)限后，他們可以做很多利己的行為，例如，向該電子郵件添加一個(gè)備用電子郵件并完成設(shè)置，這樣所有的信息都會(huì)被抄送至該地址。一個(gè)臨時(shí)密碼將會(huì)被發(fā)送給受害者，使他們不會(huì)察覺(jué)到自己的電子郵件會(huì)同時(shí)被發(fā)送給攻擊者。受害者將會(huì)收到一條短信，大概內(nèi)容為：

　　“感謝您驗(yàn)證Google賬戶(hù)。您的臨時(shí)密碼為[臨時(shí)密碼]”

　　這會(huì)讓釣魚(yú)攻擊看上去更加可信，讓受害人相信該通信的合法性，并相信他們的帳號(hào)的安全性。

　　實(shí)施這些攻擊的網(wǎng)絡(luò)犯罪分子似乎并非專(zhuān)注于盜竊信用卡號(hào)碼等經(jīng)濟(jì)收益。他們的目的似乎是為了收集攻擊目標(biāo)的信息。總體上，該攻擊不針對(duì)大批用戶(hù)，也并不針對(duì)具體個(gè)人。他們犯罪的手法與APT集團(tuán)所使用的方法類(lèi)似。

　　與需要注冊(cè)域名并設(shè)立釣魚(yú)網(wǎng)站的傳統(tǒng)魚(yú)叉式攻擊方式相比，這種攻擊方式簡(jiǎn)單有效，并且更加經(jīng)濟(jì)。犯罪分子的唯一成本是短信費(fèi)用。此外，這種攻擊方法也很難被監(jiān)測(cè)，這是由于監(jiān)測(cè)必須通過(guò)用戶(hù)的移動(dòng)軟件或由移動(dòng)運(yùn)營(yíng)商完成。

　　在上文案例中，犯罪分子并非假冒警察，而是偽裝成受害者的電子郵件提供商。用戶(hù)過(guò)分信任權(quán)威機(jī)構(gòu)的傾向性幫助犯罪分子實(shí)施了釣魚(yú)攻擊。 賽門(mén)鐵克提示，盡管一些人看上去像警察或說(shuō)得像警察，但這并不意味著用戶(hù)應(yīng)該在不查明身份的情況下就交出車(chē)鑰匙。

　　賽門(mén)鐵克建議，用戶(hù)應(yīng)該對(duì)索取驗(yàn)證碼的短信保持懷疑態(tài)度，尤其是在自己沒(méi)有申請(qǐng)的情況下。如不能確定意外收到的請(qǐng)求，用戶(hù)可以與電子郵件提供商核實(shí)，確認(rèn)該消息是否合法。用于密碼恢復(fù)服務(wù)的合法消息只會(huì)告知驗(yàn)證碼，并不會(huì)要求用戶(hù)以任何方式回復(fù)驗(yàn)證碼。