一、概述
*** 垂钓进犯,向来是具有伊朗布景的歹意安排用于获取账户的最常见浸透 *** 。CERTFA剖析了该歹意安排最新的 *** 垂钓进犯活动,该进犯被称为“诱人小猫的归来”(The Return of The Charming Kitten)。
在此次歹意活动中,歹意安排首要针对参加对伊朗经济和军事制裁的安排,以及国际范围内的特定政治家、公民、人权活动家和记者。
经过CERTFA的查询标明,进犯者清晰清楚受害者会运用两步验证(Two-step Verification),包含验证码和电子邮件帐户(例如Yahoo!和Gmail)。依据这一点,CERTFA以为,这些进犯的最有用办法,便是运用YubiKey等安全密钥。
二、布景
在2019年10月初,Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行 *** 垂钓进犯。据这名用户说,这些突击可能是针对美国对伊朗新一轮制裁的反击。
该用户初次提到了地址为accounts[-]support[.]services的域名,该域名与伊朗 *** 支撑的一个黑客安排有关,咱们信赖这些黑客与 *** 革新卫队(IRGC)关系密切。ClearSky此前现已发布有关其活动的详细陈述。
在这些进犯发作的一个月后,accounts-support[.]services的办理员就扩展了他们的活动范围,而且开端针对民权与人权活动家、政治人物、伊朗和西方的记者发起进犯。
三、进犯办法
咱们的查询标明,进犯者正在运用不同的 *** 进行进犯,这些 *** 能够大致分为两类:
1、经过不知道的电子邮件、交际媒体、音讯帐号进行 *** 垂钓进犯。
2、进犯者首要攻陷公众使命的电子邮件、交际媒体、音讯帐号,然后运用它们进行 *** 垂钓进犯。
咱们还发现,进犯者在进行 *** 垂钓进犯之前,首要收集了有关其方针的信息。进犯者依据方针的 *** 常识水平、联系人、活动、工作时间和地理位置,为每个方针设置了详细的方案。
咱们还注意到,与此前的 *** 垂钓活动不同,在某些情况下,进犯者在最新一轮进犯中,没有更改受害者帐户的暗码。这样一来,进犯者的进犯行为就能够尽可能荫蔽,一起也能经过邮箱实时监控受害者的电子邮件通讯。
3.1 发送“未经授权拜访”的虚伪正告
依据 *** 垂钓进犯的样本,咱们发现进犯者用于诈骗方针的首要技巧是经过邮件 *** 发送虚伪的警报。发件人包含 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等,邮件内容大致是阐明未经授权的个人企图拜访用户的帐户。
经过运用这种手法,进犯者伪装电子邮件供给商,向方针发送安全警报,并诱导用户当即点击检查并约束能够拜访。在方针链接部分供给了更多的详细信息。
3.2 伪装成Google云盘上的文件同享
发送带有标题的链接(例如来自Google云盘的同享文件)是黑客近年来常常运用的技巧之一。与之前的进犯比较,这些进犯的共同之处是在于它们运用Google Site,其答应进犯者展现Google Drive的虚伪下载页面,并诱运用户以为它是一个真实的Google Drive页面。
例如,进犯者运用hxxps://sites.google[.]com/view/sharingdrivesystem来诈骗用户,并压服他们该网页是真实的Google云盘,用户也能够在浏览器的地址栏中看到“google.com”的字样。CERTFA现已陈述此链接,以及其他与Google类似的链接,现在这些链接现已被整理。
经过创立具有相同规划和外观的Google云盘文件同享页面,进犯者能够伪装与用户同享文件,诱导用户下载文件并在其设备上运转。随后,进犯者运用其攻陷的Twitter、Facebook和Telegram帐户发送歹意链接,并进一步传播给新的用户。现实上,这一进程中没有任何文件发生,进犯者运用这一页面将其方针定向到假的Google登录页面,诱运用户输入他们的凭据详细信息,包含双要素身份验证。
四、进犯结构
现在来说,大多数进犯都是经过 *** 垂钓邮件来完成的。因而,在最近的 *** 垂钓歹意活动中,检查原始邮件会对咱们的剖析进程很有协助。
4.1 方针链接
1、值得信赖的阶段:全球互联网用户都以为Google的主域名(google.com)是一个安全可靠的地址。但进犯者乱用这一现实,在sites.google.com(Google的子域名)上创立虚伪页面,来诈骗群众。Google的网站服务运用户能够在上面显现各种内容。进犯者假如运用此功用发送虚伪警报,并将方针重定向到不安全的网站,或许将嵌入式 *** 垂钓页面作为页面上的iframe。
2、不受信赖的阶段:因为Google能够快速辨认并删去sites.google.com上的可疑链接和歹意链接,因而进犯者也能够运用自己的网站。 *** 垂钓网站的链接与曩昔几年的前期 *** 垂钓活动具有类似的形式。例如,进犯者会在域名和 *** 垂钓URL中运用比如“办理”、“自定义”、“服务”、“标识”、“会话”、“承认”这类字词,来诈骗想要验证其网站地址的用户。
4.2 电子邮件中可点击的图画
为了绕过Google的安全体系和反 *** 垂钓体系,进犯者在他们的电子邮件正文中运用了图画,以此来替换文本。为此,进犯者还运用Firefox Screenshot4等第三方软件来保管他们的电子邮件图画。
[1] [2] 黑客接单网
由于假如咱们能够经过一些技巧将开端的 imageData 消除的话就能够经过将 URL 中的 ID 设置为 imageData ,随后修正 URL 中的 type 参数,到达操控 imageData....
WHID 代表根据 Wi-Fi 的 HID 注射器,即对 HID 进犯进行无线化进犯的一种注入东西。 试验进犯原理如下图: 进犯者运用ESP8266作为AP,在自己的电脑创立客户端衔接AP。在客...
「删帖_怎样联系网络黑客-通过黑客找电话号码」ASP: 不支撑,找不到途径,并且D盾制止履行带不合法字符或特别目录的脚本(/1.asp/x),撤底没戏了试验环境二、Bypass Fuzzimport...
open: module_open,</script>SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SH...
-------------------------------------------------------- 今天就跟大家说说 盗号的几种方法 1、tx数据库 ...
「黑客接单软件_找 黑客-黑客帮你找手机」图18 HackRF脚本遍历后得到完好的跳频序列22、通吃一切商城+动力上传体系is_writeable()函数官方阐明:假如文件 filename 存在而且...