赛门铁克提醒用户警惕网络攻击者利用短信骗局获取电子邮件访问权限

在生活中，一些最有效的骗局通常都非常简单，例如装扮成警察要求别人交出车钥匙，而一般人可能会毫不质疑地交出，这也是为什么冒充警察在全世界都被界定为非常严重的犯罪。这种骗局背后利用了两个因素：第一，操作简单；第二，人们过分倾向于信任权威。然而，这两个因素在网络犯罪领域也同样适用。

近期，赛门铁克发现，以移动用户为目标的特定鱼叉式网络攻击的数量有所增加。该攻击的目的是为了获取受害人的电子邮件帐户的验证码。这种社交工程攻击具有很强的说服力，并且我们发现，已有用户深受其害。

犯罪分子需要知道攻击目标的电子邮件地址和手机号码来进行攻击；然而，获取这些信息并不费力。攻击者会利用电子邮件提供商所提供的密码恢复功能，该功能可以帮助忘记密码的用户获得帐户访问权限。在众多密码恢复方式中，向用户的手机发送验证码是其中一种手段。

赛门铁克发现，大多数攻击针对Gmail、Hotmail和Yahoo Mail用户。本安全公告将以Gmail为例，展示这类攻击的手法。

攻击说明

• 受害人Alice用手机号码注册了Gmail账户。如果她忘记密码，Google将会向她发送短信验证码，以便她可以再次访问自己的帐户。

图1.密码恢复设置

• 假设犯罪分子名为Malroy。他在不知道Alice账户密码的前提下想要登录她的帐户。但是，Malroy知道Alice的电子邮件地址和手机号码。他可以访问Gmail的登录页面，输入Alice的电子邮件，然后单击“需要帮助？”链接。该链接将为忘记登录凭证的用户提供帮助。

图2.密码恢复第一步

图3.输入受害人的电子邮件地址

• Malroy现在有几个选择，包括“输入您记得的最后一个密码”和“通过[品牌和型号]手机确认重置密码”。他可以跳过这些选项，直到获得“通过手机获取验证码：[手机号码]。”

图4.攻击者选择通过短信发送验证码

• Malroy选择通过短信发送验证码选项。这时，系统会向Alice发送一条包含六位验证码的短信。
• Alice收到一条消息上显示：“您的Google验证码为[六位数字]。”
• 接着Malroy向Alice发送一条短信，大致内容为“Google监测到您的帐户出现未经授权的行为。请回复您在手机上收到的验证码，以终止未经授权的活动。”
• Alice对这条短信的合法性毫不怀疑，并回复了验证码。
• 然后Malroy就会使用该验证码获取一个临时密码，从而获得Alice电子邮件帐户的访问权限。

图5.攻击者输入验证码

图6.获得重置密码的授权

赛门铁克还发现，当验证码无效时，攻击者会继续与受害者互动。受害者会再次收到一条短信，大概内容为：

“我们仍然监测到有人未经授权登录您的帐号。Google已通过短信重新发送验证码：请回复验证码以确保您的Google帐户的安全”

当攻击者获得帐户访问权限后，他们可以做很多利己的行为，例如，向该电子邮件添加一个备用电子邮件并完成设置，这样所有的信息都会被抄送至该地址。一个临时密码将会被发送给受害者，使他们不会察觉到自己的电子邮件会同时被发送给攻击者。受害者将会收到一条短信，大概内容为：

“感谢您验证Google账户。您的临时密码为[临时密码]”

这会让钓鱼攻击看上去更加可信，让受害人相信该通信的合法性，并相信他们的帐号的安全性。

实施这些攻击的网络犯罪分子似乎并非专注于盗窃信用卡号码等经济收益。他们的目的似乎是为了收集攻击目标的信息。总体上，该攻击不针对大批用户，也并不针对具体个人。他们犯罪的手法与APT集团所使用的方法类似。

与需要注册域名并设立钓鱼网站的传统鱼叉式攻击方式相比，这种攻击方式简单有效，并且更加经济。犯罪分子的唯一成本是短信费用。此外，这种攻击方法也很难被监测，这是由于监测必须通过用户的移动软件或由移动运营商完成。

在上文案例中，犯罪分子并非假冒警察，而是伪装成受害者的电子邮件提供商。用户过分信任权威机构的倾向性帮助犯罪分子实施了钓鱼攻击。赛门铁克提示，尽管一些人看上去像警察或说得像警察，但这并不意味着用户应该在不查明身份的情况下就交出车钥匙。

赛门铁克建议，用户应该对索取验证码的短信保持怀疑态度，尤其是在自己没有申请的情况下。如不能确定意外收到的请求，用户可以与电子邮件提供商核实，确认该消息是否合法。用于密码恢复服务的合法消息只会告知验证码，并不会要求用户以任何方式回复验证码。