网络电话钓鱼犯罪方法改良:转移合法号码呼叫

恶意应用拦截拨往合法号码的语音呼叫,网络电话钓鱼攻击更加隐秘难测。

如果社会工程黑客不是给受害者拨打网络语音钓鱼通话,而是拦截他们拨往合法电话号码的呼叫,会发生什么情况?新近出现的恶意应用使网络罪犯得以改良传统网络语音钓鱼,网络攻击战术手册又添新方法。

2017年9月,韩国大学及韩国金融安全研究所经理人张敏昌( Min-Chang Jang),收到报告称有应用假冒金融公司行骗。于是,他开始调查这些应用,发现其中内嵌有电话拦截功能。这一点给了他启发,揭开了新型网络电话钓鱼犯罪的面纱。

此类网络电话钓鱼犯罪结合了传统网络电话钓鱼与恶意应用,可令毫无戒心的拨打者误将网络罪犯当成自己的联系人,轻易陷入骗局。

该方法执行机制如下:

攻击者必须先说服受害者下载一个应用,所用方法可能是向受害者发送一个链接,以低息贷款之类诱惑受害者安装该应用。只要目标上钩,并在之后拨打金融公司咨询贷款情况,该电话呼叫就会被拦截并接往攻击者。

受害者认为他们是在与金融公司员工通话,但实际上并不是。他们根本不知道自己已身陷骗局之中。大多数此类攻击都模仿的是金融公司的应用。

不幸的是,张敏昌及其研究团队首次发现带有拦截功能的恶意应用时,他们已不能访问在线恶意应用分发服务器,因为他们接到受害者报告的时候,那个服务器已经被关闭了。2018年4月,张敏昌发现了一个活跃的在线分发服务器,他们的研究由此转入恶意钓鱼应用。

该分发服务器的运营周期非常短暂,从几个小时到两天不等。

我是在监视社区网站以收集信息的时候发现的这台服务器。上面有一篇帖子教导用户警惕网络钓鱼网站。幸运的是,帖子里面讨论了他们想要调查的几个恶意应用。我在该网页源代码中发现了一个描述在线恶意软件分发服务器的字符串。我以该字符串为关键字进行扫描,想收集更多恶意软件分发服务器。

只要能访问服务器,研究人员便可验证其上开放了哪些端口,访问其网页源代码。基于从第一台分发服务器收集的代码串,他们创建了一个实时恶意应用收集脚本。该脚本可近实时的自动收集恶意软件分发服务器及应用。

在该脚本的帮助下,研究人员找到了更多的恶意应用分发服务器和各种各样的恶意应用。从发现第一台活跃恶意应用分发服务器开始,他们收集到了约3,000个来自不同服务器的恶意应用。这些命令与控制服务器(C2)地址被硬编码到了恶意应用中,可被轻易抽取。

研究继续深入。团队分析了C2服务器,在上面发现了一份含有访问服务器所需账户数据的文件。这份数据帮助团队获得了该分发服务器Windows服务器管理员和C2服务器数据库管理员的权限。连接该服务器的远程桌面协议(RDP)让研究团队获悉了更多信息——研究团队证实攻击者是通过以太网点对点协议(PPPoE)接入互联网,服务器位于台湾。

亚洲黑帽大会上,张敏昌发表题为《网络电话钓鱼vs恶意安卓应用》的演讲,披露并讨论其研究团队在过去几个月中对网络电话钓鱼所做犯罪追踪与分析的发现。

亚洲黑帽大会《网络电话钓鱼vs恶意安卓应用》:

https://www.blackhat.com/asia-19/briefings/schedule/index.html#when-voice-phishing-met-malicious-android-app-13419

上一篇:一篇报告了解国内首个针对加密流量的检测引擎

下一篇:IPv4 vs IPv6 :互联网面临分裂?