研究人员发出安全警告,谷歌和雅虎账户正面临一波新攻击,目的是绕过双重认证,妥协安全电子邮件服务,从而影响用户。非营利性国际特赦组织本周三发布的一份新报告让人们看到了近期网络钓鱼活动的内部运作,这些活动利用各种技术对中东和北非的用户帐户进行渗透。
报告显示,几个正在进行的针对捍卫人权人士的活动很可能由同一个威胁组织发起。
活动一
第一个活动“成功绕过常见形式的双因素身份验证(2FA)”,波及数百个谷歌和雅虎帐户。2017——2018年期间,国际特赦组织收到了发送给中东和北非人力资源开发司和记者的可疑电子邮件的副本。经调查,似乎许多网络钓鱼活动的受害者来自阿拉伯联合酋长国、也门、埃及和巴勒斯坦。
攻击者发送精心制作的“安全警报”消息,其总体目标是将受害者引诱到伪装成属于Google和Yahoo的合法网站的恶意域。域名通常轮换使用,以避免被检查关闭。然而,这次行动的不同之处在于,它试图打击2FA,一种额外的安全层,通过经常发送到链接移动设备的访问代码来保护在线账户。
钓鱼网站的设计目的是获取帐户凭证以及访问该帐户所需的2FA代码。一旦研究人员使用一个废弃的Gmail地址登录到其中一个欺诈性域名,他们就会被警告说已经发送了(被自动触发)2FA代码。创建该帐户的电话号码确实收到了一条SMS消息。钓鱼页面请求代码,输入后就会显示一个表单,要求用户在重定向到合法的谷歌登录页面之前更改密码。
“攻击者以完全自动化的方式,设法使用我们的密码登录我们的账户,从我们这里获得发送到我们手机的双因素身份验证码,并最终提示我们将密码更改为我们的账户,”这家非营利组织表示。
由于整个系统是自动化的,因此验证码可用于在2FA令牌到期之前危及帐户。雅虎账户面临的攻击运作方式与此相同。对此,雅虎一名发言人表示:“威胁格局正在不断演变,我们正致力于与之同步演变,以帮助我们的用户保持安全。2015年,我们推出了不使用SMS的雅虎账户密钥,并鼓励用户采用这种形式的认证。”
活动二
第二项活动采取了不同的路线,专门针对那些标榜自己安全的电子邮件服务,如Tutanota和ProtonMail。
网络犯罪分子利用了难得的机会,一旦抓住这些机会,网络钓鱼活动就会变得更加有效——注册看上去与合法服务非常相似的域名。在这种情况下,黑客能够注册域名tutanota.org,(而合法服务则托管在tutanota.com上)并创建真实电子邮件服务的副本。由于用户希望在线服务拥有这些主流域名,他们可能更容易受到钓鱼消息的影响,这些消息要求他们访问这些链接并输入他们的凭证,然后就可以获取这些凭证。
“这些假冒网站还使用传输加密,”该组织指出。“这使得浏览器地址栏左侧的挂锁能够得到有力的识别。多年来,用户在试图辨别合法和恶意网站时,经常被教导要寻找挂锁。”一旦输入凭据,用户就不会看到任何错误,将启动真实域上的登录过程。
ProtonMail也是通过网络钓鱼领域protonemail.ch的目标,它增加了一个额外的“e”,可能很容易被潜在的受害者遗漏。这个域名已被关闭。
国际特赦组织表示,最具嫌疑的威胁行为者很可能来自海湾国家,并且可能通过网络钓鱼计划针对成千上万的人力资源开发司,记者,政客和其他感兴趣的个人。总之,这些活动提醒人们,网络钓鱼是一个紧迫的威胁,人权维护者需要更多地了解和明确适当的对策。
谷歌专家建议:“虽然任何形式的双因素认证都比没有保护措施好,但我们建议最好使用高强度安全密钥来最有效地防止钓鱼。”此外,谷歌还提供账户保护计划,以便为记者、活动人士、商界领袖和政治竞选团队等面临目标攻击风险的人提供更强有力的保护。