目标用户探测与短信验证码钓鱼相结合的账号欺骗登录方法

简介

在信息化时代，大部分平台都需要通过账号密码进行验证和登录，账号里又包含着各种重要信息如个人手机APP账户、电脑网站账户、银行卡账户密码等。账号安全的重要性也就不言而喻，如果这些信息被泄露或者是被不法分子利用，将会造成数据泄露、资金盗取、网络诈骗等风险。扫号攻击，指的是黑产通过注册、登录或其他业务接口的返回值，如“账号已存在”或“账号不存在”，“您是老用户”或‘您是新用户’等来判断某个账号（用户名、邮箱、手机号等）是否在该平台注册过。如果接口缺乏安全防护，黑产极易对接口发起大规模的扫号攻击，通过暴力枚举的方式，大量获取平台注册用户的账号。如果平台被扫号攻击，不仅会造成用户个人隐私信息泄露，还会给用户带来资金盗用，恶意欺诈的风险，同时也会提高黑产攻击效率，从而变相提升了防护难度。

暗网或地下黑市经常会有不法分子贩卖某些平台注册用户的手机号，其中不少就是由于扫号攻击导致的信息泄露；随着手机号的泄露，平台用户也会遭遇到同行或中介的电话骚扰，甚至是电话诈骗，从而降低用户对平台安全性的信赖，造成用户大量流失；以撞库攻击为例，黑产为了避免被发现，往往会采用低频撞库的攻击方式。为了让攻击不因低频而变得低效，有经验的黑产则会先通过扫号进行过滤，然后集中针对注册的账号发起撞库攻击。

通过数据盲探或其他社工手段获取目标服务器上有哪些用户，然后构造针对目标服务器相关业务的短信验证码欺诈链接，骗取用户输入登录所需要的短信验证码，完成目标网站登录。

攻击流程介绍

步骤1：目标网站用户探测

部门企业网站没有针对扫号攻击的防范措施，可以通过社工手段获取目标用户是否是目 标网站注册用户，或者根据目标网站的登录认证接口、注册接口、密码找回接口，进行 账号探测，如：

1. 登录接口返回，密码不正确
2. 注册接口返回，用户不存在
3. 密码找回接口，返回相关链接已发送到注册邮箱

........

通过此类方式可以探测目标网站注册用户信息。

步骤2：针对目标网站生成短信验证码欺骗链接

获取目标网站存在哪些用户后，利用短信钓鱼攻击平台发送针对目标网站的短信验证码 钓鱼链接，如：

【XX商城】为答谢新老用户为您奉上满100减50的全场购物满减优惠券，请登录领取：

www.****.com/login.html  （该链接可以通过dga生成域名，绕过威胁情报）。

用户登录钓鱼页面后，显示针对特定网站的短信验证码钓鱼web页面，要求输入手机 号获取短信验证码。

步骤3：目标上钩，且尝试短信验证码登录目标网站

短信钓鱼攻击平台感知用户尝试通过短信验证码方式登录目标网站

步骤4：向目标网站发送短信登录验证请求

短信钓鱼攻击平台使用用户手机号登录目标网站，触发目标网站向用户发送短信验证码。

步骤5：发送登录短信验证码

目标网站发送短信验证码，至用户手机

步骤6：用户输入登录短信验证码

用户将目标网站的短信验证码输入，给到攻击平台

步骤7：若目标网站没有对登录指纹验证过程，则完成登录

目标网站若不对用户的常用登录指纹进行检测，则完成用户登录。获取用户正常登录权 限后，可进行信息窃取、账号提权等相关攻击。

技术文献参考链接：https://mp.weixin.qq.com/s/pZTV3f911pyvYRrYI0wmJQ