打劫也得講藝術,如何通過登錄社交賬號榨乾你的錢包?
今天我們想告訴你波蘭銀行的攻擊者在實施攻擊時到底有多麼有創意?
本文我們就來介紹完整的攻擊過程,首先從簡單的Facebook帳戶入侵開始,到盜取受害者的銀行帳戶餘額,到最後將其轉入攻擊者自己的比特幣BTC錢包。
攻擊過程還原
這一切都是從Facebook帳戶的入侵開始,攻擊者可能是通過惡意軟體或網路釣魚而截獲的帳戶憑據,目前大多數用戶仍然不會使用雙因素驗證,攻擊者一旦登錄受害者的帳戶,就開始通過聊天記錄,選擇與該帳戶所有者保持良好關係的好友,比如該受害者是孫子,而常聊天的是其祖母,攻擊者就調出他們之間的特定對話進行分析,然後開始一種相同風格和語調,欺騙他的祖母:
「奶奶,我的話費不夠了,你可以幫我充5歐元話費嗎?」
如果奶奶同意支付5歐元話費,她將收到一個「付款鏈接」。
https://dotpay.pl.platnosc.link/n
DotPay是波蘭一家在線支付提供商,「platnosc」是波蘭語的「付款」的意思。付款中介在波蘭市場非常受歡迎,他們與所有主要銀行簽訂合同,這樣互聯網購物就無需信用卡。在結帳期間,用戶只需點擊付款提供商給予的鏈接,登錄到其銀行帳戶的網站即可,而且該賬戶已經將所需的信息都提前設置好了。銀行只提供通過簡訊發送的一次性代碼,以確定交易的發生。
於是攻擊者就決定模仿其中一個支付中介商的網站:
一旦奶奶決定幫助她的孫子,並在假付款提供商網站上選擇她的銀行,她就將被重定向到假銀行登錄頁面。波蘭一些最受歡迎的銀行的例子如下:
如果她輸入了銀行的登錄名和密碼,她將獲得一個SMS代碼,以確認發生5歐元的交易。雖然她只允許了一個5歐元的轉賬交易,但攻擊者是如何盜取她的整個賬戶?
攻擊者發現了一個簡單而又聰明的技巧,以確保收到的簡訊內容為「您已進行了5歐元的轉賬」,而現實中該代碼也將批准創建一個所謂的「信任轉移」,這將使攻擊者能夠進一步轉移從相同的帳號中進行資金轉移,而無需通過簡訊代碼的額外授權。幾個月前我們在波蘭觀察到這個方案的一些改進版本。
為了方便網路銀行的操作簡單,大多數銀行都允許客戶將指定賬戶添加到「受信任」賬戶中,以方便銀行轉賬,轉賬時用戶只需要在要轉移的賬號前打個勾即可。不幸的是,批准一次轉帳也可能意味著所有進一步的資金轉移都指向同一帳戶。
紅色框中的文本表示「添加到收件人列表」,這意味著「不會要求簡訊代碼以便將來轉移到此帳號」。
攻擊者的最後一個障礙便是建立他們自己的銀行帳號,並將其設置為可信賴的賬號,它們通常是為欺詐準備的錢騾子銀行帳戶。攻擊者又將同一騾子帳戶在波蘭比特幣交易所開了一個BTC錢包賬戶,並在那裡預存了一些資金,以建立一個定期的轉賬模式,這樣做是為了避免銀行打電話詢問「你確定今天要用加密的貨幣來轉之類的問題。 「轉賬」賬戶通常被選為與受害人(奶奶)賬戶相同的銀行(用於方便快速轉賬),一旦這筆錢從奶奶賬戶中被盜,則攻擊者不到15分鐘,就會將其轉換為比特幣。而在另一個變體中,攻擊者直接是從受害人的賬戶直接轉到比特幣交易所的賬戶。
總結
整個計劃很難被銀行發現和阻止,因為它主要發生在銀行管理的許可權之外。攻擊者從Facebook開始,等到賬戶被攻破後,就進入到攻擊者所設計的平台,而攻擊者登錄銀行進行資金轉移都屬於手續正常的操作,唯一的破綻就是主要是在受害者設備上的Socks代理埠上,只有配備高級檢測機制的網路安檢機構才能檢測並處理這些攻擊。
本文翻譯自:From full Facebook account takeover to an empty bank account ,如若轉載,請註明來源於嘶吼: 打劫也得講藝術,如何通過登錄社交賬號榨乾你的錢包? - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※酷站推薦 - inforsec.org/wp/ - 網路安全研究國際學術論壇
※網上找片源,啃生肉?小心字幕攻擊盯上你!
※網路安全技術和網路安全意識哪個更重要?
※白帽子挖洞—SQL注入篇