该类攻击手段通常为直接仿冒应用登陆界面窃取银行账户数据,和通过劫持登陆界面窃取银行账户数据两种方式。
相对于单纯的仿冒银行应用界面来说,通过劫持登陆窗口的方式目的性更强。劫持登录窗口主要是通过攻击银行应用来窃取银行账户数据。在界面仿冒上多以HTML来布局,这种攻击手段更加灵活隐蔽(该攻击手段适用于:安卓系统版本低于5.0)。
2.2.2.3 利用漏洞欺诈难以防范 攻击者通过利用系统漏洞的恶意代码也可以导致钓鱼欺诈。
比如2012年北卡罗来纳州州立大学研究员发现了一个存在于Android 平台的“短信欺诈”漏洞,该漏洞可以允许应用在Android平台上进行短信伪装。通过利用该漏洞,攻击者可以私自篡改短信内容并实施诈骗。该漏洞对Android 4.1以下版本均有影响,由于短信欺诈漏洞属于Android系统漏洞,几乎影响了所有其他三方手机厂商。
相对Android系统漏洞来说,大量存在漏洞的APP也会导致用户遭受钓鱼攻击,如APP如果没有做防钓鱼劫持措施,此APP就会被攻击者利用,通过劫持应用程序的登录界面,获取用户的账号和密码,导致用户账号信息的泄露。
iOS平台同样存在此类风险。例如攻击者在未越狱的iPhone 6上进行钓鱼攻击并盗取Apple ID的密码,利用该漏洞恶意代码可以在其他应用包括App Store中弹出来伪造的与正规应用一模一样的登录框,所以用户很难察觉,用户会习惯性输入Apple ID的密码,最终导致帐号被盗。
2.2.2.4 移动APT攻击崛起 随着移动终端的智能化和普及,移动智能终端将更多地承载不同人群的工作和生活,更多的高价值信息都将附着于移动智能终端,移动平台也早已成为了APT攻击的重点目标。
APT,即高级持续性威胁,一般是国家间或国际公司间为了特定目标,由顶级黑客组织发起的持续攻击,鱼叉式钓鱼攻击是APT攻击者的首要攻击向量。鱼叉式网络钓鱼主要是向是公司内部的个人或团体发送看似真实的电子邮件。邮件附录多含有隐私窃取的恶意代码,甚至包含office、pdf等0day漏洞的利用。
2016年3月,多家安全厂商披露了一个以印度军方或政府人员为攻击目标的攻击组织,这个组织除了具备对PC平台的针对性攻击行为的能力,还发起了针对移动平台的攻击活动,使用了包括Android以及BlackBerry平台的攻击木马程序,并重点以收集和窃取攻击目标的身份信息和隐私数据为目的,此次针对移动平台的攻击采用结合社会工程学的钓鱼网站及仿冒APP挂马等方式进行攻击投放。
2016年8月Citizen Lab公布了一起名为“三叉戟”(Trident)的移动APT事件,报告称是对阿联酋人权活动人士进行的定向攻击,该工具由以色列公司NSO Group 开发并为政府所用,利用3 个iPhone 0day实现通过访问网页来完成攻击武器的植入和潜伏,可以有效刺破iOS的安全机制,抵达内核,完全控制手机,能在用户完全无法毫无察觉的情况下窃取设备上所有隐私数据。这是在移动平台最为典型的APT攻击事件,也是苹果历史上第一次公开披露的针对iOS的APT 0day攻击,而该攻击正是通过发送短信钓鱼引诱受害者访问某恶意站点进行攻击的。
2017年或将进入移动APT元年,移动APT由过去协同Cyber攻击逐渐转向独立前置性的攻击和前奏,基于移动军火商和改用商用间谍木马依旧会作为重点的攻击武器,移动APT会继续围绕监听和数据窃取为目的,针对高价值人群以及特殊行业的定向攻击开始真正崛起。
2.2.3 WiFi钓鱼影响扩大 2015年央视3.15晚会曝光了黑客如何在公共场所利用“钓鱼WiFi”窃取用户隐私数据,最终导致财产损失的黑幕。触目惊心的现场演示让许多人对公共WiFi上网安全产生恐慌,也让WiFi钓鱼这一攻击方式开始广为人知。
许多商家、机场等通常会为客户提供免费的WiFi接入服务,消费者通常也会为节省流量而接入其中。免费WiFi给消费者提供了便利,对于攻击者而言却是绝佳的攻击场景。其中最简单的攻击场景是提供一个名字与商家类似的免费WiFi接入点,吸引网民接入。一旦连接到黑客设定的WiFi热点,用户上网的所有数据包,都会经过黑客设备转发,这些信息会被截留下来分析,没有加密的通信数据就可以直接被查看。
除了使用免费WIFI钓鱼之外,攻击者还可以破解家用无线路由器,接手控制无线路由器管理后台,进而对家庭WiFi执行隐私监听、植入广告或恶意代码、网络劫持到钓鱼网站等攻击。
WiFi钓鱼属于中间人攻击,主要通过劫持受害者流量进行恶意行为。具体来说有以下几种:
- 窃取隐私。通过黑客提供的WiFi上网时,用户上网的所有痕迹都会被监听,比如新闻、相册、浏览朋友圈、刷微博、逛淘宝等。
- 网站劫持。攻击者可以将用户正在访问的网站劫持到精心构造的仿冒网站,从而获取用户提交的帐号密码等隐私信息,这种情况就极可能产生直接的经济损失。
- 身份冒用。当受害者掉进WiFi陷阱后登录微博账号,攻击者可以直接劫持访问令牌,不需要得到帐号密码即可直接用受害者的身份登录微博,进而执行钓鱼攻击。
- 流氓广告。攻击者劫持通信后,可以给受害者访问的所有网站植入广告。
- 植入木马。攻击者劫持流量后,当用户下载安装app时,攻击者可将APP替换为精心构造的恶意代码,从而达到植入木马的目的。
2.2.4 iPhone钓鱼产业呈现 苹果用户的Apple ID是苹果全套服务的核心账户,贯穿于iCloud、iTunes Store、App Store等服务。其中iCloud是苹果的云服务,实时保证用户苹果设备上的文档、照片、联系人等资料同步;提供与朋友分享照片、日历、地理位置等的接口;还能用来找回丢失的iOS设备。故而针对iPhone的钓鱼攻击也基本都是围绕着Apple ID进行的。常见的iPhone钓鱼有以下几种情况:
- 伪造Apple相关网站,通过伪基站等方式广泛发送钓鱼信息,进而窃取受害者的iCloud账号密码,最终远程锁定受害者设备进行勒索。
- 用户iPhone丢失或被盗,流入二手市场,黑客从设备获取到用户iCloud账号和手机号码等信息,从而有目标的投放伪造Apple相关网站,钓鱼窃取用户的iCloud密码最终解锁用户设备。
- 在获取到受害者的iCloud前提下,利用iOS的iMessage、日历推送、照片共享等功能给用户推送大量的垃圾信息或钓鱼信息。
2.2.4.1 iPhone勒索威胁加深 移动平台的勒索,主要分为Android平台的恶意代码勒索和iOS平台的iCloud钓鱼勒索,Android平台的勒索件通常表现为恶意锁屏和加密磁盘文件;而iOS平台的勒索则是基于Apple的iCloud账号进行的。
由于Apple的安全机制,当用户的Apple ID被盗取后,若其被盗取账户密码与邮箱密码一致,那么基本上就能很轻易的将受害者的设备锁上,被锁后通常只能联系苹果客服同时出示购买证明才有可能将其解锁还原,否则就只能乖乖地缴纳赎金,换取设备的解锁口令。
除了锁定勒索之外,还有如好莱坞女星iCloud被暴力破解后其上传至iCloud账户的艳照泄露而遭到勒索的案例发生。
以iCloud勒索攻击流程为例,其数据流转以及获利情况分析如下:
第一类是钓鱼网站开发者,通过向他人提供钓鱼网站服务器、服务器空间获利。
第二类是钓鱼网站使用者,他们通过钓鱼网站搭建自己的钓鱼平台,通过受害人发送钓鱼链接的方式,获取受害人苹果ID及密码,再将账户和密码出售给敲诈勒索人员获益。
第三类是敲诈勒索人员,该类人从钓鱼网站或者通过社工库撞库等方式获取到受害者ID密码后,登陆iCloud官网,远程锁定受害人使用的苹果设备,使其无法使用而敲诈勒索获利;
第四类是二手手机收购人员,此类人员自称二手机收购者,获取到丢失和被盗抢的手机后,通过钓鱼方式获取苹果ID账户密码而解锁设备,进行二次销售。
2.2.4.2 澳门博彩泛滥成灾 有不少iPhone用户都曾在日历以及照片共享中收到过一些莫名的垃圾广告,由于iOS的iMessage、日历推送、照片共享等分享功能可以在已知对方iCloud账号的前提下以几乎无成本的方式给用户推送信息,而这些都是常规功能,且都是默认开启的。因此催生了利用这些共享功能进行营销的黑产,其中最为典型的是澳门博彩,这类网站通常通过博彩获利或者其本身就是一个进行
信息窃取或诈骗的钓鱼网站。