目标用户探测与短信验证码钓鱼相结合的账号欺骗登录方法
简介
在信息化时代,大部分平台都需要通过账号密码进行验证和登录,账号里又包含着各种重要信息如个人手机APP账户、电脑网站账户、银行卡账户密码等。账号安全的重要性也就不言而喻,如果这些信息被泄露或者是被不法分子利用,将会造成数据泄露、资金盗取、网络诈骗等风险。扫号攻击,指的是黑产通过注册、登录或其他业务接口的返回值,如“账号已存在”或“账号不存在”,“您是老用户”或‘您是新用户’等来判断某个账号(用户名、邮箱、手机号等)是否在该平台注册过。如果接口缺乏安全防护,黑产极易对接口发起大规模的扫号攻击,通过暴力枚举的方式,大量获取平台注册用户的账号。如果平台被扫号攻击,不仅会造成用户个人隐私信息泄露,还会给用户带来资金盗用,恶意欺诈的风险,同时也会提高黑产攻击效率,从而变相提升了防护难度。
暗网或地下黑市经常会有不法分子贩卖某些平台注册用户的手机号,其中不少就是由于扫号攻击导致的信息泄露;随着手机号的泄露,平台用户也会遭遇到同行或中介的电话骚扰,甚至是电话诈骗,从而降低用户对平台安全性的信赖,造成用户大量流失;以撞库攻击为例,黑产为了避免被发现,往往会采用低频撞库的攻击方式。为了让攻击不因低频而变得低效,有经验的黑产则会先通过扫号进行过滤,然后集中针对注册的账号发起撞库攻击。
通过数据盲探或其他社工手段获取目标服务器上有哪些用户,然后构造针对目标服务器相关业务的短信验证码欺诈链接,骗取用户输入登录所需要的短信验证码,完成目标网站登录。
攻击流程介绍
步骤1:目标网站用户探测
部门企业网站没有针对扫号攻击的防范措施,可以通过社工手段获取目标用户是否是目 标网站注册用户,或者根据目标网站的登录认证接口、注册接口、密码找回接口,进行 账号探测,如:
........
通过此类方式可以探测目标网站注册用户信息。
获取目标网站存在哪些用户后,利用短信钓鱼攻击平台发送针对目标网站的短信验证码 钓鱼链接,如:
【XX商城】为答谢新老用户为您奉上满100减50的全场购物满减优惠券,请登录领取:
www.****.com/login.html (该链接可以通过dga生成域名,绕过威胁情报)。
用户登录钓鱼页面后,显示针对特定网站的短信验证码钓鱼web页面,要求输入手机 号获取短信验证码。
步骤3:目标上钩,且尝试短信验证码登录目标网站
步骤4:向目标网站发送短信登录验证请求
短信钓鱼攻击平台使用用户手机号登录目标网站,触发目标网站向用户发送短信验证码。
步骤5:发送登录短信验证码
目标网站发送短信验证码,至用户手机
用户将目标网站的短信验证码输入,给到攻击平台
目标网站若不对用户的常用登录指纹进行检测,则完成用户登录。获取用户正常登录权 限后,可进行信息窃取、账号提权等相关攻击。
技术文献参考链接:https://mp.weixin.qq.com/s/pZTV3f911pyvYRrYI0wmJQ