电子邮件地址是保护个人数据的关键要素。它通常链接到其他用户帐户。拥有了他人的电子邮件后,攻击者便可以恢复或重置与被黑帐户相关联的服务的密码。如果一个人不使用两因素身份验证(2FA),那么他实际上是没有防御能力的。二元身份验证也不是万能药,但在这里,网络犯罪分子将需要额外的努力-您需要重新发行SIM卡或拦截身份验证代码。由于代码通常是通过SMS或身份验证器应用程序发送的,因此拦截很难实现。
提供用于黑客邮件帐户服务的站点之一的屏幕快照
无论如何,黑客邮箱是一项必需的服务。有趣的是,下达命令的通常不是犯罪分子,而是可疑的配偶或恋人。丈夫或妻子只想知道他们一半的在线通信,因此他们下达了骇客命令。商业竞争对手也利用这一机会-毕竟,成功地破解了黑客,您就可以获取竞争对手的秘密。
用信息安全术语来入侵邮箱被视为“目标”或“目标”攻击。国家安全局(NSA)和GRU等国家情报部门都从事此类活动,但对于凡人的服务也存在黑市,您可以在其中订购任何盒子中的休息费不多的费用。这就是“黑客入侵”市场。它在俄罗斯联邦正在蓬勃发展,因为在这里,与西方国家不同,此类小规模犯罪无需承担刑事责任。
尽管它很受欢迎,但对该市场的基础结构尚不甚了解。对于这些黑客如何工作以及所构成的威胁知之甚少。但是细节正在逐渐出现。例如,加利福尼亚大学圣地亚哥分校的Ariana Mirian进行了相对较小的市场研究。结果公布 会议''WWW'19:World Wide Web Conference''和科学杂志``ACM通讯''(2019年12月,第62卷第12期,第32-37页,doi:0.1145 / 3308558.3313489)。
这项服务要多少钱?
项目团队确定并检查了27种零售电子邮件黑客服务。大多数服务都用俄语做广告。服务费用-一个帐户从23美元到500美元不等。最便宜的方法是访问俄罗斯供应商的信箱。西方国家的价格更高,入侵Facebook和Instagram帐户的费用将比Yahoo和Gmail少。
入侵邮箱和帐户的价格。插图:加利福尼亚大学圣地亚哥分校
阿丽亚娜·米里安(Ariana Mirian)使用虚拟帐户联系了犯罪者,并下令入侵虚拟“受害者”帐户。在每个帐户上启用了两因素SMS身份验证。
实验技术
实验是经过深思熟虑的。该研究涉及的每个电子邮件箱都是从Enron电子邮件数据库填充的。此外,项目参与者还创建了网页,宣传受害人拥有或为其工作的一家小型企业。
拍卖了域名以提供每个假人的历史。通过WHOIS数据库,该网页链接到受害者的电子邮件地址以及虚拟伙伴的电子邮件地址。通常,研究人员会考虑并实施高质量的“陷阱”以识别所有攻击媒介。
此外,还为每个受害者创建了Facebook页面,以查看黑客是否会在攻击中使用它们。除了显示受害者网页的个人资料(例如商业广告)外,Facebook页面上的所有元素都是私有的(第三方将看不到这些元素)。
每个邮箱的活动已自动记录。借助Google的帮助,可以获取受害者的Google帐户中任何登录活动的日志。这些日志记录尝试登录帐户和IP地址的尝试,蛮力尝试以及在尝试可疑登录情况下的两因素身份验证的激活。
最后,分析了到达每个“受害者”站点的所有网络流量。如果攻击者从Facebook页面访问了该站点,则这将反映在流量记录中。
跟踪黑客试图入侵帐户的行为持续了数周。实际上,事实证明,有些“骗子”是常见的骗子,他们付了钱却什么也没做。其他人则在事后付款,也就是说,他们同意在黑客入侵成功的情况下收钱。但是他们接到任务后什么也没做。研究人员还指出,电子邮件黑客服务的“与客户合作”组织得很差:有些根本不回答请求,有些根本不回答,但是拖延了很长时间。
结果
27位骇客中只有5位开始执行客户设定的任务条款。
实验和日志使我们能够研究攻击者用来破解帐户的操作方案。在黑客执行任务的五种情况下,帐户的捕获均以“成功”结束,但仅在研究人员的协助下进行。
攻击者以一种或另一种方式将“受害者”引导至网络钓鱼页面,在该页面中,他们必须从帐户中输入密码或两因素身份验证码。项目参与者充当了欺骗的用户,并输入了所有必要的数据。之后,黑客高兴地报告了他们的成功。
有趣的是,没有一个受雇的网络犯罪分子试图强行使用帐户,也没有打给Facebook帐户或合作伙伴电子邮件的电话。五分之一的犯罪者通过邮件将恶意的可执行文件发送给受害者。其余的使用网络钓鱼作为其主要攻击媒介。
所有攻击都始于知名组织或个人的诱骗信。这样做可以使受害者平静下来,并引导他采取必要的措施-单击指向网络钓鱼资源的链接。攻击者使用了各种虚拟人物:受害者的相识者,大银行,陌生人,政府机构和Google。图片或网络钓鱼链接已附加到电子邮件中。
平均而言,攻击者在25天内使用不同的借口发送了10条消息,如上图所示。最受欢迎的技巧是伪造Google信件,然后是来自合作伙伴的信件以及来自陌生人的伪造电子邮件。
通过单击网络钓鱼链接,受害者将被带到一个类似于Google帐户登录页面的登录页面。输入密码后,将打开一个页面,要求输入2FA代码。所有获得该帐户访问权限的黑客都可以通过网络钓鱼实现他们想要的功能。没有特别复杂的技术或复杂的攻击。
如何避免成为网络犯罪分子的受害者
如果受害人疏忽大意并遵循网络钓鱼链接,则任何邮箱都可以被黑客入侵。如果有迫切需要或获得丰厚奖励,专业人员很可能能够在不进行网络钓鱼的情况下破解帐户,但是研究期间并未使用这种方法。当然,这里的样本本身不是很大。
为了保护您和您的家人免受此类攻击,专家建议您为2FA使用USB硬件安全加密狗,并且要小心-这是标准建议。
采取措施保护用户和电子邮件服务提供商。Google为用户登录引入了其他启发式方法。自动登录尝试也会被检测到并被阻止。顺便说一句,在Google采取了这些行动之后,研究人员先前联系的两项黑客服务使其服务的价格翻了一番。