俄羅斯黑客組織「Fancy Bear」最新釣魚手段

近兩年，俄羅斯黑客似乎異常活躍，他們的魔爪伸向了全球範圍內各個行業，尤以屢次干擾政治活動帶來了最為惡劣的影響。

這一次，趨勢科技為我們揭秘了俄羅斯黑客針對谷歌用戶的最新釣魚手段——利用OAuth協議（第三方無需使用用戶的用戶名與密碼就可以申請獲得該用戶資源的授權），並冒充谷歌應用誘騙用戶落入陷阱。

也就是說，雖然谷歌為用戶設置了雙重認證方式，釣魚攻擊仍然能夠順利進行。

俄羅斯的黑客團體是影響美國與歐洲選舉活動的罪魁禍首，他們通過誘使受害者主動泄露密碼、甚至竊取訪問令牌的方式黑入重要的電子郵件賬戶。

趨勢科技在其周二的報告中指出，該黑客集團被稱為「Fancy Bear(花式熊)」或「Pawn Storm（pawn風暴）」，一般都以發送釣魚郵件的方式展開攻擊行動。他們的釣魚方式應對起來十分棘手，能夠繞過谷歌的雙重驗證。

攻擊的第一步就是假冒谷歌公司的身份發送虛假郵件，郵件主題是「你的賬戶存在安全風險」。

Fancy Bear發送的釣魚郵件

該電子郵件聲稱谷歌檢測到他們的帳戶出現了幾次異常登錄，建議用戶安裝一個叫作「Google Defender」的安全應用程序。

但實際上，這個程序就是個一個陷阱，幫助該黑客組織竊取受害者谷歌帳戶的特殊訪問令牌。受害者將被重定向至一個真實的Google頁面，在不知情的情況下把查看和管理其電子郵件的許可權交給了冒牌的「Google Defener」。也就是說點擊了「允許」的用戶把他們的OAuth令牌移交給了背後的黑客。

雖然OAuth協議不會泄露密碼信息，但它能夠通過特殊令牌授權第三方應用程序訪問某個互聯網帳戶。

OAuth協議設計的本意是為用戶帶來便利，但安全專家早已發出警告，該協議容易被不法分子所利用。在Fancy Bear的案例中，黑客就利用了該協議來創建虛假應用，騙取用戶賬戶的訪問許可權。

前文已經提到，雖然谷歌採用了雙重驗證方式，用於阻止惡意的賬戶訪問行為，但這種方式不能完全阻止黑客的入侵。谷歌的雙重驗證功能不僅需要密碼，還需要在登錄時輸入系統西東發送至用戶綁定手機的驗證碼。這是目前被公認為有效的賬戶保護方式。但是Fancy Bear的釣魚手段迴避了這一安全措施。他們通過偽造的谷歌安全應用欺騙用戶交出訪問許可權。

趨勢科技在其報告中表示：「目前很多用戶都能夠辨識常見的釣魚郵件，但對於這種利用OAuth的釣魚手段往往都是猝不及防。即使接受過專業信息安全培訓的人也有可能上當。」

谷歌表示，保護用戶免受這種網路釣魚攻擊需採取多種措施。谷歌公司已經著手檢測和評估潛在的OAuth濫用行為，並對上千違反谷歌用戶數據政策的應用（如冒牌的谷歌應用）採取強制關停措施。另外，他們還強調，用戶應直接從谷歌官方網站、Google Play或蘋果的App store下載安裝谷歌應用程序。

據趨勢科技報道，2015年至2016年的受害者很多都遭遇了這種攻擊手段。除了Google Defender，Fancy Bear還仿冒了Google Email Protection和Google掃描器等應用程序。他們也通過假冒Delivery Service和McAfee Email protection這些應用去欺騙雅虎的用戶。

黑客試圖通過虛假的谷歌第三方應用欺騙用戶交出他們email賬戶的訪問許可權

趨勢科技提醒廣大互聯網用戶千萬不要同意來源不明的OAuth令牌請求。

雖然有時候密碼重置能夠撤銷OAuth令牌，但最好還是檢查一下連接到你電子郵件賬戶的第三方應用。可以通過查看郵件賬戶的安全設置完成這一步驟，必要時撤銷訪問。

Fancy Bear團隊在去年美國民主黨全國委員會的被黑事件中早已臭名昭著。該黑客團隊的攻擊目標從政府部門、媒體機構到大學和高級智囊團組織，範圍十分廣泛。

*參考來源：PCWorld，FB小編Carrie編譯，轉載請註明來自FreeBuf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！