釣魚新套路：自動檢查受害者輸入的帳號密碼是否真實

美國網路安全服務商Proofpoint近日發現了一種新的針對PayPal用戶的釣魚套路，攻擊者在釣魚過程中利用身份驗證機制檢查用戶提交的賬戶信息是否真實，以尋求更高效的詐騙。

一探究竟

作為這套釣魚組合拳的第一步，攻擊者利用電子郵件散播虛假URL，誘使受害者訪問精心偽造的釣魚頁面（如下圖，完全仿照PayPal官方登錄頁）。

通過郵件散布惡意URL訪問到的虛假PayPal登錄界面

研究者證實，如果用戶在這裡輸入了虛假的登錄信息，這個釣魚頁面會返回一個「措辭含糊的錯誤提示」（見下圖）。以往釣魚網站通常不具備這種功能，一般是無論你輸入什麼信息它們都會笑納。

當隨意輸入登錄信息時看到的提示

之所以收到這樣的返回信息是由於釣魚網站會先同PayPal就用戶輸入的Login ID做一個檢查。具體來講，攻擊者會利用一項PayPal已經下線的服務，即允許從用戶手中購買禮品券或代金卡。

受害者輸入的郵箱地址會被拿給PayPal作驗證

（如下圖），如果該郵箱帳號不存在，釣上來的這條魚就會被無視掉。這種做法無疑提高了黑客獲得有效身份信息的比例。不過這種檢查並不涉及用戶密碼，只會確認郵箱帳號是否存在。

PayPal後台檢查帳號信息是否有效

以往攻擊者需要在獲得大量登錄信息後，通過特定的帳號驗證程序來檢查其是否可用，如今這種邊釣魚邊檢驗新鮮度的技術則大大解放了生產力。據研究人員稱，這種技術還可以欺騙一些自動分析工具。

如果輸入了真實的帳號會怎樣？

套路的第二步：一旦輸入了有效的PayPal帳號，受害者就會看到一個讓人心安的歡迎頁面。即跟著就是一個釣魚頁面，要求受害者輸入並確認與PayPal帳號綁定的銀行卡信息（附：本套釣魚工具支持多種語言，偽造頁面時可根據國家地區的不同自行調節）。

歡迎頁面

請提交更多銀行卡信息

除此之外，該流程還會檢查用戶輸入的銀行卡帳號，確保它通過Luhn演算法（Mod10校驗），而且會對卡號做一個查表嘗試獲得更多信息。

lookup

下一步，釣魚頁面會要求受害者輸入卡片的安全信息。

要求輸入卡片安全信息的頁面

接下來，攻擊者還要求用戶把他們的銀行賬戶同PayPal賬戶綁定，並提供了一些常見的零售銀行供他們選擇。

如圖，銀行圖標已做打碼處理

隨後用戶會被要求輸入銀行的登錄信息，並且還有聲明表示這些信息將不會被系統儲存。

盜取銀行登錄信息的頁面

之後會跳轉到受害者銀行賬戶的匯款路徑頁面。

routing information

最後，釣魚工具會提示用戶輸入更多個人信息，如駕照號碼或證明文件。（這裡如果用戶點擊「現在還沒有你的ID？」，就會跳過這個頁面。）

在把能提供的身份信息和財產信息都過了一遍後，釣魚工具會帶受害者跳轉到真正的PayPal頁面。

Proofpoint的安全專家表示，這種釣魚工具除了在偽造頁面上下功夫外，還有一個吸引人的特點在於

它有一個管理員後台

，類似一般遠程接入木馬所使用的後台。

後台樣式

幕後黑手可以在這裡看到各種受害人信息

此外它還提供了一個簡單的頁面允許攻擊者調整設置，甚至包括一個選項可以開啟「自拍頁面」。該功能通過Flash與受害者的網路攝像頭交互，據推測可能允許攻擊者偷拍受害者的照片供詐騙使用。管理員面板甚至還有一處功能留給木馬植入，目測還在開發中。

一點小小的感慨

由於許多網路詐騙者越來越抗拒利用exploits和傳統惡意程序來盜取用戶信息，這個產業在暗中開發著複雜且功能日趨完備的釣魚工具。如上文中的例子，這些將多種功能打包成套的釣魚工具為眾多地下產業的從業者提供了一站式模板，受害者也早已習慣了通過多重驗證後找回身份認證的程序，而且越來越逼真的釣魚網站也使得他們難以分辨，種種因素疊加，釣魚詐騙變得前所未有的輕鬆。

此類工具的出現同樣預示了「犯罪軟體即服務」（crimeware as a service，CaaS）的前景：提供一款廉價又簡單易上手的工具，用以完成釣魚詐騙，未來甚至有可能與傳統惡意軟體相結合。儘管上文中圖示的管理員面板在釣魚工具里還不常見，但我們完全可以想見，隨著釣魚技術的不斷發展，此類功能會變得越來越受歡迎。

註：Proofpoint已經將此釣魚手段告知了PayPal官方。

*參考來源：

SecurityWeek

，FB小編cxt編譯，轉載請註明來自FreeBuf.COM

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: