钓鱼新套路：自动检查受害者输入的帐号密码是否真实

美国网络安全服务商Proofpoint近日发现了一种新的针对PayPal用户的钓鱼套路，攻击者在钓鱼过程中利用身份验证机制检查用户提交的账户信息是否真实，以寻求更高效的诈骗。

一探究竟

作为这套钓鱼组合拳的第一步，攻击者利用电子邮件散播虚假URL，诱使受害者访问精心伪造的钓鱼页面（如下图，完全仿照PayPal官方登录页）。

通过邮件散布恶意URL访问到的虚假PayPal登录界面

研究者证实，如果用户在这里输入了虚假的登录信息，这个钓鱼页面会返回一个“措辞含糊的错误提示”（见下图）。以往钓鱼网站通常不具备这种功能，一般是无论你输入什么信息它们都会笑纳。

当随意输入登录信息时看到的提示

之所以收到这样的返回信息是由于钓鱼网站会先同PayPal就用户输入的Login ID做一个检查。具体来讲，攻击者会利用一项PayPal已经下线的服务，即允许从用户手中购买礼品券或代金卡。受害者输入的邮箱地址会被拿给PayPal作验证（如下图），如果该邮箱帐号不存在，钓上来的这条鱼就会被无视掉。这种做法无疑提高了黑客获得有效身份信息的比例。不过这种检查并不涉及用户密码，只会确认邮箱帐号是否存在。

PayPal后台检查帐号信息是否有效

以往攻击者需要在获得大量登录信息后，通过特定的帐号验证程序来检查其是否可用，如今这种边钓鱼边检验新鲜度的技术则大大解放了生产力。据研究人员称，这种技术还可以欺骗一些自动分析工具。

如果输入了真实的帐号会怎样？

套路的第二步：一旦输入了有效的PayPal帐号，受害者就会看到一个让人心安的欢迎页面。即跟着就是一个钓鱼页面，要求受害者输入并确认与PayPal帐号绑定的银行卡信息（附：本套钓鱼工具支持多种语言，伪造页面时可根据国家地区的不同自行调节）。

欢迎页面

请提交更多银行卡信息

除此之外，该流程还会检查用户输入的银行卡帐号，确保它通过Luhn算法（Mod10校验），而且会对卡号做一个查表尝试获得更多信息。

lookup

下一步，钓鱼页面会要求受害者输入卡片的安全信息。

要求输入卡片安全信息的页面

接下来，攻击者还要求用户把他们的银行账户同PayPal账户绑定，并提供了一些常见的零售银行供他们选择。

如图，银行图标已做打码处理

随后用户会被要求输入银行的登录信息，并且还有声明表示这些信息将不会被系统储存。

盗取银行登录信息的页面

之后会跳转到受害者银行账户的汇款路径页面。

routing information

最后，钓鱼工具会提示用户输入更多个人信息，如驾照号码或证明文件。（这里如果用户点击“现在还没有你的ID？”，就会跳过这个页面。）

在把能提供的身份信息和财产信息都过了一遍后，钓鱼工具会带受害者跳转到真正的PayPal页面。

Proofpoint的安全专家表示，这种钓鱼工具除了在伪造页面上下功夫外，还有一个吸引人的特点在于它有一个管理员后台，类似一般远程接入木马所使用的后台。

后台样式

幕后黑手可以在这里看到各种受害人信息

此外它还提供了一个简单的页面允许攻击者调整设置，甚至包括一个选项可以开启“自拍页面”。该功能通过Flash与受害者的网络摄像头交互，据推测可能允许攻击者偷拍受害者的照片供诈骗使用。管理员面板甚至还有一处功能留给木马植入，目测还在开发中。

一点小小的感慨

由于许多网络诈骗者越来越抗拒利用exploits和传统恶意程序来盗取用户信息，这个产业在暗中开发着复杂且功能日趋完备的钓鱼工具。如上文中的例子，这些将多种功能打包成套的钓鱼工具为众多地下产业的从业者提供了一站式模板，受害者也早已习惯了通过多重验证后找回身份认证的程序，而且越来越逼真的钓鱼网站也使得他们难以分辨，种种因素叠加，钓鱼诈骗变得前所未有的轻松。

此类工具的出现同样预示了“犯罪软件即服务”（crimeware as a service，CaaS）的前景：提供一款廉价又简单易上手的工具，用以完成钓鱼诈骗，未来甚至有可能与传统恶意软件相结合。尽管上文中图示的管理员面板在钓鱼工具里还不常见，但我们完全可以想见，随着钓鱼技术的不断发展，此类功能会变得越来越受欢迎。

注：Proofpoint已经将此钓鱼手段告知了PayPal官方。

*参考来源：SecurityWeek，FB小编cxt编译，转载请注明来自FreeBuf.COM