網絡電話釣魚犯罪方法改良:轉移合法號碼呼叫
責編:gltian |2019-03-18 11:00:40惡意應用攔截撥往合法號碼的語音呼叫,網絡電話釣魚攻擊更加隱秘難測。
如果社會工程黑客不是給受害者撥打網絡語音釣魚通話,而是攔截他們撥往合法電話號碼的呼叫,會發生什么情況?新近出現的惡意應用使網絡罪犯得以改良傳統網絡語音釣魚,網絡攻擊戰術手冊又添新方法。
2017年9月,韓國大學及韓國金融安全研究所經理人張敏昌( Min-Chang Jang),收到報告稱有應用假冒金融公司行騙。于是,他開始調查這些應用,發現其中內嵌有電話攔截功能。這一點給了他啟發,揭開了新型網絡電話釣魚犯罪的面紗。
此類網絡電話釣魚犯罪結合了傳統網絡電話釣魚與惡意應用,可令毫無戒心的撥打者誤將網絡罪犯當成自己的聯系人,輕易陷入騙局。
該方法執行機制如下:
攻擊者必須先說服受害者下載一個應用,所用方法可能是向受害者發送一個鏈接,以低息貸款之類誘惑受害者安裝該應用。只要目標上鉤,并在之后撥打金融公司咨詢貸款情況,該電話呼叫就會被攔截并接往攻擊者。
受害者認為他們是在與金融公司員工通話,但實際上并不是。他們根本不知道自己已身陷騙局之中。大多數此類攻擊都模仿的是金融公司的應用。
不幸的是,張敏昌及其研究團隊首次發現帶有攔截功能的惡意應用時,他們已不能訪問在線惡意應用分發服務器,因為他們接到受害者報告的時候,那個服務器已經被關閉了。2018年4月,張敏昌發現了一個活躍的在線分發服務器,他們的研究由此轉入惡意釣魚應用。
該分發服務器的運營周期非常短暫,從幾個小時到兩天不等。
我是在監視社區網站以收集信息的時候發現的這臺服務器。上面有一篇帖子教導用戶警惕網絡釣魚網站。幸運的是,帖子里面討論了他們想要調查的幾個惡意應用。我在該網頁源代碼中發現了一個描述在線惡意軟件分發服務器的字符串。我以該字符串為關鍵字進行掃描,想收集更多惡意軟件分發服務器。
只要能訪問服務器,研究人員便可驗證其上開放了哪些端口,訪問其網頁源代碼。基于從第一臺分發服務器收集的代碼串,他們創建了一個實時惡意應用收集腳本。該腳本可近實時的自動收集惡意軟件分發服務器及應用。
在該腳本的幫助下,研究人員找到了更多的惡意應用分發服務器和各種各樣的惡意應用。從發現第一臺活躍惡意應用分發服務器開始,他們收集到了約3,000個來自不同服務器的惡意應用。這些命令與控制服務器(C2)地址被硬編碼到了惡意應用中,可被輕易抽取。
研究繼續深入。團隊分析了C2服務器,在上面發現了一份含有訪問服務器所需賬戶數據的文件。這份數據幫助團隊獲得了該分發服務器Windows服務器管理員和C2服務器數據庫管理員的權限。連接該服務器的遠程桌面協議(RDP)讓研究團隊獲悉了更多信息——研究團隊證實攻擊者是通過以太網點對點協議(PPPoE)接入互聯網,服務器位于臺灣。
亞洲黑帽大會上,張敏昌發表題為《網絡電話釣魚vs惡意安卓應用》的演講,披露并討論其研究團隊在過去幾個月中對網絡電話釣魚所做犯罪追蹤與分析的發現。
亞洲黑帽大會《網絡電話釣魚vs惡意安卓應用》:
https://www.blackhat.com/asia-19/briefings/schedule/index.html#when-voice-phishing-met-malicious-android-app-13419