在生活中，一些最有效的騙局通常都非常簡單，例如裝扮成警察要求別人交出車鑰匙，而一般人可能會毫不質(zhì)疑地交出，這也是為什么冒充警察在全世界都被界定為非常嚴(yán)重的犯罪。這種騙局背后利用了兩個因素：第一，操作簡單；第二，人們過分傾向于信任權(quán)威。然而，這兩個因素在網(wǎng)絡(luò)犯罪領(lǐng)域也同樣適用。

　　近期，賽門鐵克發(fā)現(xiàn)，以移動用戶為目標(biāo)的特定魚叉式網(wǎng)絡(luò)攻擊的數(shù)量有所增加。該攻擊的目的是為了獲取受害人的電子郵件帳戶的驗證碼。這種社交工程攻擊具有很強(qiáng)的說服力，并且我們發(fā)現(xiàn)，已有用戶深受其害。

　　犯罪分子需要知道攻擊目標(biāo)的電子郵件地址和手機(jī)號碼來進(jìn)行攻擊；然而，獲取這些信息并不費(fèi)力。攻擊者會利用電子郵件提供商所提供的密碼恢復(fù)功能，該功能可以幫助忘記密碼的用戶獲得帳戶訪問權(quán)限。在眾多密碼恢復(fù)方式中，向用戶的手機(jī)發(fā)送驗證碼是其中一種手段。

　　賽門鐵克發(fā)現(xiàn)，大多數(shù)攻擊針對Gmail、Hotmail和Yahoo Mail用戶。本安全公告將以Gmail為例，展示這類攻擊的手法。

　　攻擊說明

　　受害人Alice用手機(jī)號碼注冊了Gmail賬戶。如果她忘記密碼，Google將會向她發(fā)送短信驗證碼，以便她可以再次訪問自己的帳戶。

　　假設(shè)犯罪分子名為Malroy。他在不知道Alice賬戶密碼的前提下想要登錄她的帳戶。但是，Malroy知道Alice的電子郵件地址和手機(jī)號碼。他可以訪問Gmail的登錄頁面，輸入Alice的電子郵件，然后單擊“需要幫助？”鏈接。該鏈接將為忘記登錄憑證的用戶提供幫助。

　　Malroy現(xiàn)在有幾個選擇，包括“輸入您記得的最后一個密碼”和“通過[品牌和型號]手機(jī)確認(rèn)重置密碼”。他可以跳過這些選項，直到獲得“通過手機(jī)獲取驗證碼：[手機(jī)號碼]。”

　　Malroy選擇通過短信發(fā)送驗證碼選項。這時，系統(tǒng)會向Alice發(fā)送一條包含六位驗證碼的短信。

　　Alice收到一條消息上顯示：“您的Google驗證碼為[六位數(shù)字]。”

　　接著Malroy向Alice發(fā)送一條短信，大致內(nèi)容為“Google監(jiān)測到您的帳戶出現(xiàn)未經(jīng)授權(quán)的行為。請回復(fù)您在手機(jī)上收到的驗證碼，以終止未經(jīng)授權(quán)的活動。”

　　Alice對這條短信的合法性毫不懷疑，并回復(fù)了驗證碼。

　　然后Malroy就會使用該驗證碼獲取一個臨時密碼，從而獲得Alice電子郵件帳戶的訪問權(quán)限。

　　賽門鐵克還發(fā)現(xiàn)，當(dāng)驗證碼無效時，攻擊者會繼續(xù)與受害者互動。受害者會再次收到一條短信，大概內(nèi)容為：

　　“我們?nèi)匀槐O(jiān)測到有人未經(jīng)授權(quán)登錄您的帳號。Google已通過短信重新發(fā)送驗證碼：請回復(fù)驗證碼以確保您的Google帳戶的安全”

　　當(dāng)攻擊者獲得帳戶訪問權(quán)限后，他們可以做很多利己的行為，例如，向該電子郵件添加一個備用電子郵件并完成設(shè)置，這樣所有的信息都會被抄送至該地址。一個臨時密碼將會被發(fā)送給受害者，使他們不會察覺到自己的電子郵件會同時被發(fā)送給攻擊者。受害者將會收到一條短信，大概內(nèi)容為：

　　“感謝您驗證Google賬戶。您的臨時密碼為[臨時密碼]”

　　這會讓釣魚攻擊看上去更加可信，讓受害人相信該通信的合法性，并相信他們的帳號的安全性。

　　實施這些攻擊的網(wǎng)絡(luò)犯罪分子似乎并非專注于盜竊信用卡號碼等經(jīng)濟(jì)收益。他們的目的似乎是為了收集攻擊目標(biāo)的信息。總體上，該攻擊不針對大批用戶，也并不針對具體個人。他們犯罪的手法與APT集團(tuán)所使用的方法類似。

　　與需要注冊域名并設(shè)立釣魚網(wǎng)站的傳統(tǒng)魚叉式攻擊方式相比，這種攻擊方式簡單有效，并且更加經(jīng)濟(jì)。犯罪分子的唯一成本是短信費(fèi)用。此外，這種攻擊方法也很難被監(jiān)測，這是由于監(jiān)測必須通過用戶的移動軟件或由移動運(yùn)營商完成。

　　在上文案例中，犯罪分子并非假冒警察，而是偽裝成受害者的電子郵件提供商。用戶過分信任權(quán)威機(jī)構(gòu)的傾向性幫助犯罪分子實施了釣魚攻擊。 賽門鐵克提示，盡管一些人看上去像警察或說得像警察，但這并不意味著用戶應(yīng)該在不查明身份的情況下就交出車鑰匙。

　　賽門鐵克建議，用戶應(yīng)該對索取驗證碼的短信保持懷疑態(tài)度，尤其是在自己沒有申請的情況下。如不能確定意外收到的請求，用戶可以與電子郵件提供商核實，確認(rèn)該消息是否合法。用于密碼恢復(fù)服務(wù)的合法消息只會告知驗證碼，并不會要求用戶以任何方式回復(fù)驗證碼。