在生活中，一些最有效的騙局通常都非常簡單，例如裝扮成警察要求別人交出車鑰匙，而一般人可能會毫不質(zhì)疑地交出，這也是為什么冒充警察在全世界都被界定為非常嚴重的犯罪。這種騙局背后利用了兩個因素：第一，操作簡單；第二，人們過分傾向于信任權(quán)威。然而，這兩個因素在網(wǎng)絡犯罪領域也同樣適用。

　　近期，賽門鐵克發(fā)現(xiàn)，以移動用戶為目標的特定魚叉式網(wǎng)絡攻擊的數(shù)量有所增加。該攻擊的目的是為了獲取受害人的電子郵件帳戶的驗證碼。這種社交工程攻擊具有很強的說服力，并且我們發(fā)現(xiàn)，已有用戶深受其害。

　　犯罪分子需要知道攻擊目標的電子郵件地址和手機號碼來進行攻擊；然而，獲取這些信息并不費力。攻擊者會利用電子郵件提供商所提供的密碼恢復功能，該功能可以幫助忘記密碼的用戶獲得帳戶訪問權(quán)限。在眾多密碼恢復方式中，向用戶的手機發(fā)送驗證碼是其中一種手段。

　　賽門鐵克發(fā)現(xiàn)，大多數(shù)攻擊針對Gmail、Hotmail和Yahoo Mail用戶。本安全公告將以Gmail為例，展示這類攻擊的手法。

　　攻擊說明

　　受害人Alice用手機號碼注冊了Gmail賬戶。如果她忘記密碼，Google將會向她發(fā)送短信驗證碼，以便她可以再次訪問自己的帳戶。

　　假設犯罪分子名為Malroy。他在不知道Alice賬戶密碼的前提下想要登錄她的帳戶。但是，Malroy知道Alice的電子郵件地址和手機號碼。他可以訪問Gmail的登錄頁面，輸入Alice的電子郵件，然后單擊“需要幫助？”鏈接。該鏈接將為忘記登錄憑證的用戶提供幫助。

　　Malroy現(xiàn)在有幾個選擇，包括“輸入您記得的最后一個密碼”和“通過[品牌和型號]手機確認重置密碼”。他可以跳過這些選項，直到獲得“通過手機獲取驗證碼：[手機號碼]。”

　　Malroy選擇通過短信發(fā)送驗證碼選項。這時，系統(tǒng)會向Alice發(fā)送一條包含六位驗證碼的短信。

　　Alice收到一條消息上顯示：“您的Google驗證碼為[六位數(shù)字]。”

　　接著Malroy向Alice發(fā)送一條短信，大致內(nèi)容為“Google監(jiān)測到您的帳戶出現(xiàn)未經(jīng)授權(quán)的行為。請回復您在手機上收到的驗證碼，以終止未經(jīng)授權(quán)的活動。”

　　Alice對這條短信的合法性毫不懷疑，并回復了驗證碼。

　　然后Malroy就會使用該驗證碼獲取一個臨時密碼，從而獲得Alice電子郵件帳戶的訪問權(quán)限。

　　賽門鐵克還發(fā)現(xiàn)，當驗證碼無效時，攻擊者會繼續(xù)與受害者互動。受害者會再次收到一條短信，大概內(nèi)容為：

　　“我們?nèi)匀槐O(jiān)測到有人未經(jīng)授權(quán)登錄您的帳號。Google已通過短信重新發(fā)送驗證碼：請回復驗證碼以確保您的Google帳戶的安全”

　　當攻擊者獲得帳戶訪問權(quán)限后，他們可以做很多利己的行為，例如，向該電子郵件添加一個備用電子郵件并完成設置，這樣所有的信息都會被抄送至該地址。一個臨時密碼將會被發(fā)送給受害者，使他們不會察覺到自己的電子郵件會同時被發(fā)送給攻擊者。受害者將會收到一條短信，大概內(nèi)容為：

　　“感謝您驗證Google賬戶。您的臨時密碼為[臨時密碼]”

　　這會讓釣魚攻擊看上去更加可信，讓受害人相信該通信的合法性，并相信他們的帳號的安全性。

　　實施這些攻擊的網(wǎng)絡犯罪分子似乎并非專注于盜竊信用卡號碼等經(jīng)濟收益。他們的目的似乎是為了收集攻擊目標的信息。總體上，該攻擊不針對大批用戶，也并不針對具體個人。他們犯罪的手法與APT集團所使用的方法類似。

　　與需要注冊域名并設立釣魚網(wǎng)站的傳統(tǒng)魚叉式攻擊方式相比，這種攻擊方式簡單有效，并且更加經(jīng)濟。犯罪分子的唯一成本是短信費用。此外，這種攻擊方法也很難被監(jiān)測，這是由于監(jiān)測必須通過用戶的移動軟件或由移動運營商完成。

　　在上文案例中，犯罪分子并非假冒警察，而是偽裝成受害者的電子郵件提供商。用戶過分信任權(quán)威機構(gòu)的傾向性幫助犯罪分子實施了釣魚攻擊。 賽門鐵克提示，盡管一些人看上去像警察或說得像警察，但這并不意味著用戶應該在不查明身份的情況下就交出車鑰匙。

　　賽門鐵克建議，用戶應該對索取驗證碼的短信保持懷疑態(tài)度，尤其是在自己沒有申請的情況下。如不能確定意外收到的請求，用戶可以與電子郵件提供商核實，確認該消息是否合法。用于密碼恢復服務的合法消息只會告知驗證碼，并不會要求用戶以任何方式回復驗證碼。