钓鱼新套路:自动检查受害者输入的帐号密码是否真实

美国网络安全服务商Proofpoint近日发现了一种新的针对PayPal用户的钓鱼套路,攻击者在钓鱼过程中利用身份验证机制检查用户提交的账户信息是否真实,以寻求更高效的诈骗。

一探究竟

作为这套钓鱼组合拳的第一步,攻击者利用电子邮件散播虚假URL,诱使受害者访问精心伪造的钓鱼页面(如下图,完全仿照PayPal官方登录页)。

通过邮件散布恶意URL访问到的虚假PayPal登录界面

研究者证实,如果用户在这里输入了虚假的登录信息,这个钓鱼页面会返回一个“措辞含糊的错误提示”(见下图)。以往钓鱼网站通常不具备这种功能,一般是无论你输入什么信息它们都会笑纳。

当随意输入登录信息时看到的提示

之所以收到这样的返回信息是由于钓鱼网站会先同PayPal就用户输入的Login ID做一个检查。具体来讲,攻击者会利用一项PayPal已经下线的服务,即允许从用户手中购买礼品券或代金卡。受害者输入的邮箱地址会被拿给PayPal作验证(如下图),如果该邮箱帐号不存在,钓上来的这条鱼就会被无视掉。这种做法无疑提高了黑客获得有效身份信息的比例。不过这种检查并不涉及用户密码,只会确认邮箱帐号是否存在。

PayPal后台检查帐号信息是否有效

以往攻击者需要在获得大量登录信息后,通过特定的帐号验证程序来检查其是否可用,如今这种边钓鱼边检验新鲜度的技术则大大解放了生产力。据研究人员称,这种技术还可以欺骗一些自动分析工具。

如果输入了真实的帐号会怎样?

套路的第二步:一旦输入了有效的PayPal帐号,受害者就会看到一个让人心安的欢迎页面。即跟着就是一个钓鱼页面,要求受害者输入并确认与PayPal帐号绑定的银行卡信息(附:本套钓鱼工具支持多种语言,伪造页面时可根据国家地区的不同自行调节)。

欢迎页面

请提交更多银行卡信息

除此之外,该流程还会检查用户输入的银行卡帐号,确保它通过Luhn算法(Mod10校验),而且会对卡号做一个查表尝试获得更多信息。

lookup

下一步,钓鱼页面会要求受害者输入卡片的安全信息。

要求输入卡片安全信息的页面

接下来,攻击者还要求用户把他们的银行账户同PayPal账户绑定,并提供了一些常见的零售银行供他们选择。

如图,银行图标已做打码处理

随后用户会被要求输入银行的登录信息,并且还有声明表示这些信息将不会被系统储存。

盗取银行登录信息的页面

之后会跳转到受害者银行账户的汇款路径页面。

routing information

最后,钓鱼工具会提示用户输入更多个人信息,如驾照号码或证明文件。(这里如果用户点击“现在还没有你的ID?”,就会跳过这个页面。)

在把能提供的身份信息和财产信息都过了一遍后,钓鱼工具会带受害者跳转到真正的PayPal页面。

Proofpoint的安全专家表示,这种钓鱼工具除了在伪造页面上下功夫外,还有一个吸引人的特点在于它有一个管理员后台,类似一般远程接入木马所使用的后台。

后台样式

幕后黑手可以在这里看到各种受害人信息

此外它还提供了一个简单的页面允许攻击者调整设置,甚至包括一个选项可以开启“自拍页面”。该功能通过Flash与受害者的网络摄像头交互,据推测可能允许攻击者偷拍受害者的照片供诈骗使用。管理员面板甚至还有一处功能留给木马植入,目测还在开发中。

一点小小的感慨

由于许多网络诈骗者越来越抗拒利用exploits和传统恶意程序来盗取用户信息,这个产业在暗中开发着复杂且功能日趋完备的钓鱼工具。如上文中的例子,这些将多种功能打包成套的钓鱼工具为众多地下产业的从业者提供了一站式模板,受害者也早已习惯了通过多重验证后找回身份认证的程序,而且越来越逼真的钓鱼网站也使得他们难以分辨,种种因素叠加,钓鱼诈骗变得前所未有的轻松。

此类工具的出现同样预示了“犯罪软件即服务”(crimeware as a service,CaaS)的前景:提供一款廉价又简单易上手的工具,用以完成钓鱼诈骗,未来甚至有可能与传统恶意软件相结合。尽管上文中图示的管理员面板在钓鱼工具里还不常见,但我们完全可以想见,随着钓鱼技术的不断发展,此类功能会变得越来越受欢迎。

注:Proofpoint已经将此钓鱼手段告知了PayPal官方。

*参考来源:SecurityWeek,FB小编cxt编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

美权威机构:微软苹果Linux等操作系统遭受严重安全漏洞威胁

5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen...

641
来自专栏FreeBuf

窃听电话的Hacking Team RCSAndroid木马

安卓设备小心:4.0-4.3版本都可以被RCSAndroid 搞定。 安卓平台上的远程控制木马RCSAndroid是目前曝光的安卓中最专业、最复杂的恶意程序之一...

2508
来自专栏FreeBuf

担心投票系统被黑,详解荷兰政府为何决定在大选中使用手工计票

在3月的荷兰大选即将到来之际,安全专家Sijmen Ruwhof通过Youtube上有关荷兰大选使用的计票软件介绍视频,对荷兰大选中使用的投票计票软件OSV p...

2137
来自专栏FreeBuf

安卓再曝新漏洞:可远程致使用户无法接打电话

本周堪称是安卓设备的“黑色周”,几天前刚被爆出Stagefight媒体库上存在胜似“心脏滴血”的高危漏洞,这两天安全研究人员再曝可远程致使安卓设备无法正常接打电...

20810
来自专栏小樱的经验随笔

网站渗透测试原理及详细过程

网站渗透测试原理及详细过程 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为(假设为)合法的评估...

7269
来自专栏程序人生

为什么你要懂点信息安全(续一)

昨天的文章可能让很多新读者读得莫名其妙,程序君在此抱歉。我应该使用这样的标题:『[连载] 途客们的旅行梦 - 创新工场初印象』,就不会让你看得摸不着头脑了,下次...

3547

安全问题无处不在:从非托管桌面开始

未修补和不受监控的Windows桌面是一个开放的大门,可以让病毒和木马潜入您的网络。除了恶意软件,这些桌面还可以作为恶意用户窃取或删除关键公司数据的窗口。如果怀...

663
来自专栏漏斗社区

看!我手里有个Email收集神器

众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且...

1923
来自专栏FreeBuf

百度软件中心版putty被曝恶意捆绑软件

近日,微步社区出现一则新情报,名为RTFM的用户发表文章《被污染的百度下载,被捆绑的Putty,为什么受伤的总是程序员?!》,引来网友热议。

1434
来自专栏小石不识月

做这 12 件简单的小事,能让你更安全地上网

勒索软件(Ransomware)攻击、身份盗窃,以及在线信用卡欺诈,这些都可能是具有毁灭性的,然而它们只是众多类型的恶意软件与网络攻击中的冰山一角。如果你从来没...

2001

扫码关注云+社区

领取腾讯云代金券