摘要
- 大赦国际(Amnesty International)已经确认了两起可能由同一攻击组织发起的网络钓鱼活动,攻击者旨在窃取数百名中东和北非国家公民的电子邮箱凭证。
- 在其中一起活动中,攻击者主要针对了那些自称“安全电邮(secure email)”服务的账户,比如Tutanota和ProtonMail。
- 在另一起活动中,攻击者针对数百个谷歌和雅虎邮箱账户,并成功击败了目前已经被广泛采用的双因素认证(2FA)。
引言
从众多被用来对目标实施监视的工具和战术来看,网络钓鱼仍然是被用来攻击全球各国公民的最常见手段之一。越来越多的人权维护者也开始意识到由此威胁所带来的危害,其中许多人也已经采取了相应的措施来提高自身应对此威胁的防御能力。这通常包括使用更加安全、更加尊重隐私的电子邮件服务,或者为自己的在线账户启用双因素认证。
什么是网络钓鱼?它通常涉及到创建一个模仿特定在线服务(如Gmail或Facebook)的网站,目的是诱使攻击目标访问恶意登录页面并输入其用户名和密码,从而将这些凭证传输给攻击者。
模仿Facebook的网络钓鱼网站示例
然而,攻击者同样也在不断地改进其技术。这份报告记录了两起网络钓鱼活动,大赦国际认为,这两起活动很可能是由来自海湾国家的同一个攻击组织发起的,而攻击目标则是中东和北非国家的数百位公民,包括人权维护者、记者和政治行动者。
这两起活动令人不安的地方在于,它们用事实向其攻击目标证明——他们所采用的数字安全策略是如此“不堪一击”。举例来说,在第一起活动中,攻击者使用了精心设计的虚假网站,旨在模仿知名的“安全电邮”服务提供商。更令人不安的是第二起活动,攻击者击败了目前被认为最安全的双因素认证。事实上,大赦国际的调查表明,还有许多其他攻击组织也正在开发这种技术。
综上所述,这些活动无疑都在提醒我们,网络钓鱼仍是一种迫在眉睫的威胁。尤其是人权维护者,应该更加清楚地意识到这一点。
旨在模仿“安全电邮”服务的网络钓鱼网站
大赦国际已经确认了多个旨在模仿受欢迎的电子邮件服务Tutanota和ProtonMail的网络钓鱼网站。这两家公司都宣称自己提供的是“安全电邮”服务,因此在人权维护者群体中很受欢迎。
这些网络钓鱼网站或多或少都包含一些能够让其目标很难分辨真假的元素。例如,攻击者使用了tutanota.org域名,并且使用了几乎完全是从Tutanota网站复制过来的内容,而Tutanota网站的域名实际上是tutanota.com。
许多用户都理所当然地认为,这些在线服务提供商绝不可能让类似于.com、.org和.net这样的顶级域名掌控在其他人的手中。而攻击者恰恰是利用了这一固有观念,来让他们的钓鱼网站看上去更加真实。此外,这些虚假网站还使用了“https://”,而不是“http://”,导致其目标也无法通过浏览器地址栏左侧的锁头标志来分辨合法网站和恶意网站。
如果攻击目标登录到了这个钓鱼网站,那么他们的凭证就将遭到窃取,然后被重定向到真实的Tutanota网站页面,导致他们无法发现自己已经成为了受害者的事实。
鉴于这个网络钓鱼网站具有很明显的欺骗行为,大赦国际联系了Tutanota的工作人员,告知了他们正在进行的网络钓鱼攻击。
此外,攻击者还构建了一个旨在模仿ProtonMail(另一个流行的“安全电邮”服务)的钓鱼网站——protonemail.ch。它看上去与合法网站protonmail.ch非常相似,域名的唯一区别是多了一个字母“e”。
单击“登录(LOG IN)”按钮,受害者就将进入一个虚假登录页面。
显而易见,提交用户名和密码会导致该账户的凭证遭到攻击者的窃取。
针对谷歌和雅虎邮箱用户的网络钓鱼活动
在整个2017年和2018年期间,来自中东和北非地区的人权维护者和记者一直在与大赦国际分享他们收到的可疑电子邮件。通过对这些电子邮件的分析,大赦国际发现了一起针对数百人、甚至上千人的大规模持续性网络钓鱼活动。其中,大多数攻击目标都来自阿联酋、也门、埃及和巴勒斯坦。
值得注意的是,大赦国际发现的这起活动与加州大学伯克利分校研究员Bill Marczak在一份技术报告的2.4.2章节中提到的一些攻击存在直接的关联,而这些攻击针对的是阿联酋的持不同政见者。
大赦国际在经过进一步调查后得出结论,这起活动很可能是由在上一章节中提到的针对Tutanota和ProtonMail网站的相同攻击组织发起的。与上述活动类似,这起活动也使用了一些精心设计的网络钓鱼网站:谷歌和雅虎。然而,与上述活动不同的是,这起活动还击败了其攻击目标使用的双因素认证。
网络钓鱼电子邮件伪装成虚假安全警报
在这起活动中,攻击者使用了并不复杂的社会工程技巧——“安全警报”方案,涉及到通过一些虚假账户向目标发送虚假安全警报。这种方案利用的是目标的恐慌心理,并造成一种紧迫感——以确保帐户安全为由,告知目标需要进行邮箱登录并立即修改密码。由于人权维护者群体尤其注重他们的个人和数字安全,这种社会工程方案往往更加容易取得成功。
如下所示,是攻击者发送给其攻击目标的一封网络钓鱼电子邮件示例。
下面是另一封网络钓鱼电子邮件,使用了类似的社会工程方案。
点击这些恶意电子邮件中的链接或按钮,就会被重定向到一个精心设计的谷歌钓鱼网站。值得注意的是,该攻击组织会定期更换新的网站,以及使用新的基础设施,以避免被发现。你可以在本报告的末尾部分找到由大赦国际确认的所有恶意网站域名。
虽然不如模仿谷歌的攻击那样常见,但大赦国际的研究人员也观察到了针对雅虎用户的网络钓鱼攻击。
网络钓鱼攻击是如何执行的?
为了验证钓鱼页面的功能,大赦国际的研究人员创建了一个测试用的谷歌账户,并点击了上述钓鱼电子邮件中的按钮,以打开钓鱼页面。
在打开钓鱼页面之后,研究人员被重定向到了另一个页面。在这个页面,研究人员被提示已经通过短信向用于注册帐户的电话号码发送了一个由六位数组成的双因素认证验证码。
事实上的确如此,由研究人员配置的电话号码确实收到了一条包含有效谷歌验证码的短信。在研究人员将凭证和双因素认证验证码输入钓鱼页面并提交之后,看到了如下表单,要求研究人员重置帐户密码。
对于大多数用户而言,来自谷歌的修改密码提示似乎并没有什么值得奇怪的。但研究人员的分析表明,这里的修改密码提示实际上是由攻击者控制Windows主机发出的,IP地址来自美国(IP地址为196.19.3.66,但实际上攻击者使用了Squid HTTP代理,用来隐藏钓鱼服务器的真实位置)。
实际上,单拿窃取凭证来说,这个步骤是完全没有必要的。研究人员认为,攻击者之所以会采用这样一个额外的步骤,是为了使其社会工程方案更加完善,从而避免引起受害者的怀疑。
无论如何,在完成最后一个步骤之后,研究人员被重定向到了一个合法的谷歌页面。与此同时,攻击者也成功地窃取到了研究人员的凭证。
类似地,研究人员创建了一个测试用的雅虎帐户,并设置了可用来接收双因素认证验证码的电话号码。
当研究人员在雅虎钓鱼页面输入了新创建的电子邮箱地址和密码之后,研究人员首先被要求验证与帐户相关联的电话号码。
然后,研究人员被要求输入发送到其手机的验证码。
事实上,研究人员收到的确实是有效的雅虎验证码。
攻击者是如何击败双因素认证的?
由于托管谷歌和雅虎钓鱼网站的服务器错误地暴露了一些文件目录,使得研究人员能够发现攻击者计划的一些细节。其中,“/setup/”文件夹包含一个SQL数据库schema,它被攻击者用来存储通过钓鱼页面获取到的凭证:
“/bin/”文件夹包含了一个Selenium安装程序(Chrome版本),这是一个用来测试Web应用程序的工具。Selenium允许用户通过自定义脚本来自动化浏览器的配置和启动,并使其能够自动访问任何网站以及在页面上执行各种操作(例如,单击按钮)。
开发Selenium的初衷是为了简化Web开发人员的质量验证工作,但事实证明,它也能够被用来简化网络钓鱼攻击。而在上述攻击中,攻击者还用它击败了基于软件的双因素认证。
另一个名为“/profiles/”的文件夹包含了由Selenium生成的数百个文件夹,而这些文件夹实际上包含了各种自定义脚本执行后的结果。
由于这些文件夹是可公开访问的,使得研究人员能够通过查看其中包含的数据来了解这些帐户是如何被攻破的。
通过对这些Chrome文件夹的分析,研究人员确认了两种攻击方法。
第一种方法涉及到使用Selenium来自动访问如下合法雅虎登录页面,包括自动输入凭证和由受害者提供的双因素认证验证码来完成整个验证过程。
- hxxps://mail.yahoo.com/
- hxxps://guce.yahoo.com/consent?brandType=nonEu&gcrumb=[REDACTED]&done=hxxps%3A%2F%2Fmail.yahoo.com%2F
- hxxps://login.yahoo.com/?done=hxxps%3A%2F%2Fmail.yahoo.com%2F
- hxxps://login.yahoo.com/account/challenge/push?done=hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism=primary&display=login&yid=[REDACTED]&sessionIndex=QQ--&acrumb=[REDACTED]
- hxxps://login.yahoo.com/account/challenge/phone-obfuscation?done=hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism=primary&display=login&yid=[REDACTED]&acrumb=[REDACTED]&sessionIndex=QQ--&eid=3640
- hxxps://login.yahoo.com/account/challenge/phone-verify?done=hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism=primary&display=login&yid=[REDACTED]&acrumb=[REDACTED]&sessionIndex=QQ--
- hxxps://login.yahoo.com/account/challenge/pre-change-password?done=hxxps%3A%2F%2Fguce.yahoo.com%2Fconsent%3Fgcrumb%3D[REDACTED]%26trapType%3Dlogin%26done%3Dhxxps%253A%252F%252Fmail.yahoo.com%252F%26intl%3D%26lang%3D&authMechanism=prima$
- hxxps://login.yahoo.com/account/security/app-passwords/list
- hxxps://login.yahoo.com/?done=hxxps%3A%2F%2Flogin.yahoo.com%2Faccount%2Fsecurity%2Fapp-passwords%2Flist%3F.scrumb%3D0
- hxxps://login.yahoo.com/account/security/app-passwords/list?.scrumb=[REDACTED]
- hxxps://login.yahoo.com/account/security/app-passwords/add?scrumb=[REDACTED]
在通过身份验证之后,攻击者会继续创建一个通常被称为“App Password”的应用程序专用密码,该密码允许第三方应用程序不使用双因素认证验证码也可以访问某些服务(包括雅虎)的帐户。例如,用户可以通过Outlook来查看自己的雅虎邮箱。因此,这个App Password非常适合攻击者用来对受害者的帐户进行持续访问,因为在访问该帐户时无需额外的双因素认证。
攻击的第二种方法涉及到“帐户迁移”,攻击者试图通过这种方式来克隆受害者的账户——将电子邮件和联系人列表从受害者账户复制到由攻击者控制的一个账户下。在这种攻击方法下,攻击者仍然需要通过使用Selenium来访问一些链接,以自动化受害者帐户的身份验证过程:
- hxxps://mail.yahoo.com/
- hxxps://guce.yahoo.com/consent?brandType=nonEu&gcrumb=[REDACTED]&done=hxxps%3A%2F%2Fmail.yahoo.com%2F
- hxxps://login.yahoo.com/?done=hxxps%3A%2F%2Fmail.yahoo.com%2F
- hxxps://login.yahoo.com/account/challenge/password?done=hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism=primary&display=narrow&yid=[REDACTED]&sessionIndex=QQ--&acrumb=[REDACTED]
- hxxps://login.yahoo.com/account/challenge/phone-obfuscation?done=hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism=primary&display=narrow&yid=[REDACTED]&acrumb=[REDACTED]&sessionIndex=QQ--&eid=3650
- hxxps://login.yahoo.com/account/challenge/phone-verify?done=hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism=primary&display=narrow&yid=[REDACTED]&acrumb=[REDACTED]&sessionIndex=QQ--
- hxxps://login.yahoo.com/account/yak-opt-in/upsell?done=hxxps%3A%2F%2Fguce.yahoo.com%2Fconsent%3Fgcrumb%3D[REDACTED]%26trapType%3Dlogin%26done%3Dhxxps%253A%252F%252Fmail.yahoo.com%252F%26intl%3D%26lang%3D&authMechanism=primary&display=n$
- hxxps://guce.yahoo.com/consent?brandType=nonEu&gcrumb=[REDACTED]&done=hxxps%3A%2F%2Fmail.yahoo.com%2F
- hxxps://mail.yahoo.com/m/
- hxxps://mg.mail.yahoo.com/neo/m/launch?
- hxxps://mg.mail.yahoo.com/m/
- hxxps://mg.mail.yahoo.com/m/folders/1
- http://www.gmail.com/
- hxxps://www.gmail.com/
- hxxps://www.google.com/gmail/
- hxxps://mail.google.com/mail/
- hxxps://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=hxxps://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1&osid=1#
- hxxps://mail.google.com/intl/en/mail/help/about.html#
- hxxps://www.google.com/intl/en/mail/help/about.html#
- hxxps://www.google.com/gmail/about/#
- hxxps://accounts.google.com/AccountChooser?service=mail&continue=hxxps://mail.google.com/mail/
- hxxps://accounts.google.com/ServiceLogin?continue=hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&service=mail&sacu=1&rip=1
- hxxps://accounts.google.com/signin/v2/identifier?continue=hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&service=mail&sacu=1&rip=1&flowName=GlifWebSignIn&flowEntry=ServiceLogin
- hxxps://accounts.google.com/signin/v2/sl/pwd?continue=hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&service=mail&sacu=1&rip=1&flowName=GlifWebSignIn&flowEntry=ServiceLogin&cid=1&navigationDirection=forward
- hxxps://accounts.google.com/CheckCookie?hl=en&checkedDomains=youtube&checkConnection=youtube%3A375%3A1&pstMsg=1&chtml=LoginDoneHtml&service=mail&continue=hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&gidl=[REDACTED]
- hxxps://mail.google.com/accounts/SetOSID?authuser=0&continue=hxxps%3A%2F%2Fmail.google.com%2Fmail%2F%3Fauth%3D[REDACTED]
- hxxps://mail.google.com/mail/?auth=[REDACTED].
- hxxps://mail.google.com/mail/u/0/
- hxxps://mail.google.com/mail/u/0/#inbox
- hxxps://mail.google.com/mail/u/0/#settings/general
- hxxps://mail.google.com/mail/u/0/#settings/accounts
- hxxps://mail.google.com/mail/u/0/?ui=2&ik=[REDACTED]&jsver=OeNArYUPo4g.en.&view=mip&fs=1&tf=1&ver=OeNArYUPo4g.en.&am=[REDACTED]
- hxxps://api.shuttlecloud.com/gmailv2/authenticate/oauth/[REDACTED]%40yahoo.com?ik=[REDACTED]&email=[REDACTED]@yahoo.com&user=0&scopes=contactsmigration,emailmigration
- hxxps://api.login.yahoo.com/oauth2/request_auth?client_id=[REDACTED]&redirect_uri=hxxps%3A//api.shuttlecloud.com/gmailv2/authenticate/oauth/c$
- hxxps://api.login.yahoo.com/oauth2/authorize
- hxxps://api.shuttlecloud.com/gmailv2/authenticate/oauth/callback?email=[REDACTED]&code=[REDACTED]
- hxxps://mail.google.com/mail/u/0/?token_id=[REDACTED]&ik=[REDACTED]&ui=2&email=[REDACTED]%40yahoo.com&view=mas
通过上面的URL列表我们可以看到,攻击者试图使用窃取的凭证来登录受害者的雅虎邮箱,并向受害者发出需要输入双因素认证验证码的要求。一旦身份验证通过,钓鱼页面就会将被攻破的雅虎邮箱账户连接到一个名为“ShuttleCloud”的合法账户迁移服务,该服务允许攻击者生成受害者雅虎账户的克隆账户,这个克隆账户位于由他们控制的一个Gmail账户下。如此一来,攻击者便可以利用Gmail提供的功能来随时查看所有通过受害者邮箱账户发送和接收的电子邮件。
IOC
tutanota[.]org
protonemail[.]ch
accounts-mysecure[.]com
accounts-mysecures[.]com
accounts-secuirty[.]com
accounts-securtiy[.]com
accounts-servicse[.]com
accounts-settings[.]com
account-facebook[.]com
account-mysecure[.]com
account-privacy[.]com
account-privcay[.]com
account-servics[.]com
account-servicse[.]com
alert-newmail02[.]pro
applications-secure[.]com
applications-security[.]com
application-secure[.]com
authorize-myaccount[.]com
blu142-live[.]com
blu160-live[.]com
blu162-live[.]com
blu165-live[.]com
blu167-live[.]com
blu175-live[.]com
blu176-live[.]com
blu178-live[.]com
blu179-live[.]com
blu187-live[.]com
browsering-check[.]com
browsering-checked[.]com
browsers-checked[.]com
browsers-secure[.]com
browsers-secures[.]com
browser-checked[.]com
browser-secures[.]com
bul174-live[.]com
checking-browser[.]com
check-activities[.]com
check-browser[.]com
check-browsering[.]com
check-browsers[.]com
connected-myaccount[.]com
connect-myaccount[.]com
data-center17[.]website
documents-view[.]com
documents-viewer[.]com
document-viewer[.]com
go2myprofile[.]info
go2profiles[.]info
googledriveservice[.]com
gotolinks[.]top
goto-newmail01[.]pro
idmsa-login[.]com
inbox01-email[.]pro
inbox01-gomail[.]com
inbox01-mails[.]icu
inbox01-mails[.]pro
inbox02-accounts[.]pro
inbox02-mails[.]icu
inbox02-mails[.]pro
inbox03-accounts[.]pro
inbox03-mails[.]icu
inbox03-mails[.]pro
inbox04-accounts[.]pro
inbox04-mails[.]icu
inbox04-mails[.]pro
inbox05-accounts[.]pro
inbox05-mails[.]icu
inbox05-mails[.]pro
inbox06-accounts[.]pro
inbox06-mails[.]pro
inbox07-accounts[.]pro
inbox101-account[.]com
inbox101-accounts[.]com
inbox101-accounts[.]info
inbox101-accounts[.]pro
inbox101-live[.]com
inbox102-account[.]com
inbox102-live[.]com
inbox102-mail[.]pro
inbox103-account[.]com
Inbox103-mail[.]pro
inbox104-accounts[.]pro
inbox105-accounts[.]pro
inbox106-accounts[.]pro
Inbox107-accounts[.]pro
inbox108-accounts[.]pro
inbox109-accounts[.]pro
inbox169-live[.]com
inbox171-live[.]com
inbox171-live[.]pro
inbox172-live[.]com
inbox173-live[.]com
inbox174-live[.]com
inbox-live[.]com
inbox-mail01[.]pro
inbox-mail02[.]pro
inbox-myaccount[.]com
mail01-inbox[.]pro
mail02-inbox[.]com
mail02-inbox[.]pro
mail03-inbox[.]com
mail03-inbox[.]pro
mail04-inbox[.]com
mail04-inbox[.]pro
mail05-inbox[.]pro
mail06-inbox[.]pro
mail07-inbox[.]pro
mail08-inbox[.]pro
mail09-inbox[.]pro
mail10-inbox[.]pro
mail12-inbox[.]pro
mail13-inbox[.]pro
mail14-inbox[.]pro
mail15-inbox[.]pro
mail16-inbox[.]pro
mail17-inbox[.]pro
mail18-inbox[.]pro
mail19-inbox[.]pro
mail20-inbox[.]pro
mail21-inbox[.]pro
mail101-inbox[.]com
mail101-inbox[.]pro
mail103-inbox[.]com
mail103-inbox[.]pro
mail104-inbox[.]com
mail104-inbox[.]pro
mail105-inbox[.]com
mail105-inbox[.]pro
mail106-inbox[.]pro
mail107-inbox[.]pro
mail108-inbox[.]pro
mail109-inbox[.]pro
mail110-inbox[.]pro
mail201-inbox[.]pro
mail-inbox[.]pro
mailings-noreply[.]pro
myaccountes-setting[.]com
myaccountes-settings[.]com
myaccountsetup[.]live
myaccounts-login[.]com
myaccounts-profile[.]com
myaccounts-secuirty[.]com
myaccounts-secures[.]com
myaccounts-settings[.]com
myaccounts-settinq[.]com
myaccounts-settinqes[.]com
myaccounts-transfer[.]com
myaccount-inbox[.]pro
myaccount-logins[.]com
myaccount-redirects[.]com
myaccount-setting[.]com
myaccount-settinges[.]com
myaccount-settings[.]ml
myaccount-setup[.]com
myaccount-setup1[.]com
myaccount-setups[.]com
myaccount-transfer[.]com
myaccount[.]verification-approve[.]com
myaccount[.]verification-approves[.]com
myaccuont-settings[.]com
mysecures-accounts[.]com
mysecure-account[.]com
mysecure-accounts[.]com
newinbox-accounts[.]pro
newinbox01-accounts[.]pro
newinbox01-mails[.]pro
newinbox02-accounts[.]pro
newinbox03-accounts[.]pro
newinbox05-accounts[.]pro
newinbox06-accounts[.]pro
newinbox07-accounts[.]pro
newinbox08-accounts[.]pro
newinbox-account[.]info
newinbox-accounts[.]pro
noreply[.]ac
noreply-accounts[.]site
noreply-mailer[.]pro
noreply-mailers[.]com
noreply-mailers[.]pro
noreply-myaccount[.]com
privacy-myaccount[.]com
privcay-setting[.]com
profile-settings[.]com
recovery-settings[.]info
redirections-login[.]com
redirections-login[.]info
redirection-login[.]com
redirection-logins[.]com
redirects-myaccount[.]com
royalk-uae[.]com
securesmails-alerts[.]pro
secures-applications[.]com
secures-browser[.]com
secures-inbox[.]com
secures-inbox[.]info
secures-settinqes[.]com
secures-transfer[.]com
secures-transfers[.]com
secure-browsre[.]com
secure-settinqes[.]com
security-settinges[.]com
securtiy-settings[.]com
services-securtiy[.]com
settings-secuity[.]com
setting-privcay[.]com
settinqs-myaccount[.]com
settinq-myaccounts[.]com
thx-me[.]website
transfer-click[.]com
transfer-clicks[.]com
truecaller[.]services
urllink[.]xyz
verifications-approve[.]com
verification-approve[.]com
verification-approves[.]com
xn--mxamya0a[.]ccn
yahoo[.]llc
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
