谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示,网上提供的黑客雇用服务大多数都是骗钱的。
研究人员伪装成有所需求的买家,直接与 27 个提供黑客服务的卖家接触,并要求他们针对特定的 Gmail 账户进行攻击。
这些Gmail 账户实际上是研究人员与谷歌一起设计的、用来进行此次研究的蜜罐,这些账号可以让研究人员记录其与受害者的关键互动,以及为此次研究创建的角色的其它方面信息,如商业网络服务器、朋友或合作伙伴的电子邮件地址。
研究结果表明,在27个提供黑客服务的卖家中,有 10 个从未回复过研究人员的消息,12 个回复了研究人员,但并没有发起过攻击,只有 5 位黑客对测试 Gmail 帐户真正发起了攻击。但在回复了信息但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三个人似乎就是诈骗份子。
研究人员表示,这些黑客攻击服务的收费通常在100美元到500美元之间,而且没有人使用自动化工具进行攻击。几乎所有的攻击都涉及社会工程学,黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中,一些黑客询问了研究人员要攻击的受害者的详细信息,而其它人则问都没问,并且直接用可重复使用的电子邮件网络钓鱼模板。
发起攻击的五名黑客的奇怪之处在于,其中一人试图用恶意软件(一种远程访问木马)感染受害者,而不是利用网络钓鱼手段窃取受害者的帐户凭据。恶意软件一旦安装在受害者的系统上,就能够从本地浏览器恢复密码和身份验证cookie。
此外,一名攻击者还通过将受害者重定向到一个欺骗性的Google登录页面来绕过双因素身份验证(2FA),该页面不仅可以获取密码,还可以获取SMS代码,然后实时检查两者有没有效。
研究人员还发现,知道必须绕过2FA的黑客的要价基本上会翻倍。
研究人员还发现,攻击Gmail帐户的价格也有所增加,从2017年的每帐户125美元增加到今天的400美元左右。研究人员将此定价上涨归因于Google改进了帐户安全措施。
总的来说,研究人员发现商业化帐户劫持生态系统还远未成熟,客户服务不到位、回复不及时以及定价不准确。
研究人员表示即使启用了2FA,网络钓鱼策略仍然会成功,但结果表明,2FA增加了攻击的难度。多个卖家表示,他们无法在没有受害者电话号码的情况下入侵该账户,因为他们必须通过发送新的钓鱼信息来绕过2FA。其中一个卖家在发现该账户受到2FA保护后,重新商定了价格(从307美元提高至690美元)。基于这些结果,研究人员建议采用U2F安全密钥。
研究人员表示,除了诈骗网站他们并不认为黑客租用服务会给用户账户带来风险。这是因为雇佣黑客攻击帐户的价格偏高,也因为他们提供的服务质量低。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
