ACM通信
实践
雇佣黑客
图源:Getty Images
一个电子邮件地址往往是一个人的整个在线身份的基础,从银行到公司,再到社交媒体档案等等。这个标识不仅在注册大量服务时使用,而且在必须重置这些服务的密码时也使用。因此,攻击者获得电子邮件帐户的访问权也会危及与该帐户绑定的所有其他服务。政客、记者和加密货币从业者都是有针对性攻击的受害者,攻击始于他们的电子邮件帐户,然后对与这些电子邮件帐户相关的其他在线帐户造成严重破坏。3.,7,9
由于电子邮件帐户可以提供丰富的信息,许多类型的攻击都以它们为目标:密码猜测、访问令牌盗窃、密码重置欺诈和网络钓鱼等等。电子邮件提供商已经添加了安全问题、垃圾邮件过滤和双因素身份验证等机制,以限制这些攻击的成功率。4,5,6,12这些防御措施防止了许多妥协,从而增加了访问帐户所需的复杂性和时间。然而,有针对性的攻击者在面对这些大规模防御时,愿意付出额外的努力来访问帐户。
虽然有针对性的攻击通常被认为需要民族国家的能力,但有一个新兴的“雇佣黑客”服务黑市,它向任何愿意支付适度费用的人提供有针对性的攻击。这些服务声称能够闯入各种不同的电子邮件提供商的帐户,其中的一个例子显示在图1.由于这些服务刚刚兴起,很少有人知道它们是如何攻击受害者的,以及它们会带来多大的风险。
图1。这是一个招聘广告的例子。
为了了解这种风险,我们调查了黑客雇佣黑市,确定了27个零售电子邮件账户黑客服务,并从他们那里购买了这些服务。使用隐蔽身份,我们与这些服务机构合作,攻破了我们控制的所谓“受害者”谷歌账户。与谷歌合作,我们记录了我们与劫机者的互动,以及这些劫机者如何试图攻击我们的受害者。
抓住劫机者
总体而言,有针对性的劫持黑市充斥着骗局,但少数服务机构发起了复杂的攻击,利用网络钓鱼作为主要攻击载体。这些攻击是持久的、个性化的,并且能够绕过SMS双因素身份验证(2FA)。利用从这些攻击中获得的信号来识别其他受害者,我们估计攻击者的目标大约是每100万个谷歌帐户中的一个。鉴于网络钓鱼攻击的复杂性,我们认为,对于处于风险中的用户来说,最好的防线是保护通用2nd因子(U2F)安全密钥作为2FA机制。U2F安全密钥可以防止复杂的钓鱼攻击,因为U2F协议在发送2FA代码之前验证域,防止用户被钓鱼攻击。虽然这次调查的重点是谷歌帐户,但从中得到的教训适用于所有电子邮件提供商。
发现服务。对黑客雇佣服务的调查始于搜索英语、中文和俄语黑市论坛,以寻找与目标账户劫持有关的广告。我们还在谷歌搜索特定于劫持的关键字,以识别具有面向公众的店面的服务,并且我们联系大型互联网公司的滥用团队,以获得他们正在跟踪的任何此类服务的线索。总共确定了27个潜在的黑客雇佣服务。这些服务大多用俄语做广告,每份合同的价格从23美元到500美元不等。
假扮成买家。对于接触到的每一个黑客雇佣服务,我们都通过一个独特的“买家角色”进行沟通,以保护我们的身份,并避免将我们的互动链接到不同的服务。每个角色都涉及到用黑客雇佣服务的母语选择一个名字。例如,如果服务是用俄语宣传的,那么我们就为我们的角色选择一个常用的俄语名和姓。我们还为每个角色创建了一个谷歌帐户,用于所有电子邮件通信。对于非英语服务,交流时由母语人士进行全部翻译。
选择受害者。在承包雇佣黑客服务时,我们创造了一个受害者角色来充当目标。受害者形象被赋予了巨大的数字足迹,以打造一个真实的在线形象。这意味着以与买方角色类似的方式为受害者创建一个名称和谷歌帐户。受害者角色的收件箱中填充了来自安然电子邮件语料库的消息子集,以造成谷歌帐户正在积极使用的印象。2我们用受害者的信息替换了安然邮件中的姓名和其他身份信息。此外,受害者角色的Gmail地址受到SMS 2FA的保护,这是目前最广泛使用的2FA形式。1这是用来确定黑客雇佣服务是否能够绕过这种类型的保护。
此外,我们还创建了一个网页,为受害者拥有或工作的小企业做广告。我们从拍卖中购买了网页的域名,以确保每个域名都有以前的历史记录。我们还为每个域名购买了隐私保护,以保护注册信息(最近的一项研究表明,20%的域名采用这种方式进行保护,因此我们没想到隐私保护会引起任何危险信号8).该网页链接到受害者的电子邮件地址,以及一个虚构的同事的电子邮件地址。通过这种方式,我们可以确定雇佣黑客服务是否会攻击该联系人,以获得对受害者的访问。我们还为受害者创建了一个Facebook页面,看看黑客雇佣服务是否会在攻击中使用它。Facebook页面上的所有项目都是私有的(公共用户将无法看到这些项目),除了About Me部分,其中列出了受害者的Web页面(作为受害者企业的个人广告)。
监控的攻击。由于不确定这些黑客雇佣服务会使用哪些攻击方法,我们创建了一个广泛的监控基础设施,当未经授权的用户进入并修改谷歌帐户时,它会通知我们。我们还监控网站,记录所有访问者。这个监控基础设施包括:每个账户Gmail的谷歌应用程序脚本;谷歌日志;以及对虚拟网站的所有流量的网络捕获。
为每个帐户加载到Gmail的谷歌应用程序脚本是对之前研究中使用的脚本的修改。11谷歌应用程序脚本将向通过代理控制的服务器发送信息,表明脚本是否仍然连接到帐户,以及帐户是否有任何更改。例如,谷歌应用程序脚本将指示收件箱或垃圾邮件文件夹中是否出现了新邮件,是否有邮件被移动到垃圾邮件,或者是否有任何标记为未读的邮件被用户阅读。该日志记录了攻击者进入该帐户后的操作。
我们还能够分析受害者角色的谷歌帐户的任何登录活动。这些日志由我们谷歌的同事捕获和分析,记录了对帐户的登录尝试及其来源、暴力尝试,以及帐户是否因可疑的登录尝试而触发了2FA。
最后,我们捕获了每个受害者角色网站的所有网络流量。如前所述,该网站地址链接在受害者Facebook页面的“关于我”部分。如果攻击者能够通过Facebook页面找到该网站,这将在网络捕获中很明显。网络捕获还将显示对谷歌帐户的任何黑客尝试是否来自访问Web页面的相同IP地址。
法律和伦理方面的考虑。由于这项研究涉及从事非法活动的参与者,因此需要考虑法律和道德问题。
法律上有两个问题:未经授权进入谷歌账户和违反谷歌的服务条款。在美国,和许多其他国家一样,未经授权进入电子账户是非法的。雇佣服务机构来执行这一行为可能被视为协助和教唆;但是,由于电子邮件帐户直接由我们控制,并且我们与服务提供商(谷歌)合作,我们明确授权实体访问我们的帐户。此外,创建虚假谷歌账户违反了谷歌的服务条款,但这项研究在工作开始前得到了谷歌和加州大学圣地亚哥分校的总法律顾问的批准。
虽然我们的机构审查委员会不认为这项研究是人权研究,因为我们测量的是组织行为,而不是个人行为,但还有其他伦理方面的考虑。通过创建虚构的受害者和买家角色,我们消除了任何个人在这项研究中受到伤害的可能性。此外,我们在这些服务的条款范围内与他们互动,如果他们成功了,我们就付钱给他们。我们相信,从这项研究中得到的教训超过了通过支付这些服务来支持这些服务的成本。
Hack-For-Hire剧本
受控实验和日志基础设施允许检查攻击者用来接管受害者帐户的剧本。在我们联系的27个服务中,只有5个真正试图侵入受害者的谷歌账户。请注意,雇佣黑客服务的“成功”取决于我们的行为:在某些情况下,我们在钓鱼页面提示时提供密码或2FA代码,而在其他情况下,我们没有提供密码或2FA代码,以查看服务如何适应。
总的来说,我们从未观察到任何暴力登录尝试,与受害者的Facebook帐户通信,或与同事的电子邮件通信。在试图访问该帐户的五个服务中,有一个通过电子邮件向受害者发送了可执行的恶意软件。虽然我们不能在虚拟机沙箱中运行可执行文件,但VirusTotal报告该恶意软件可执行文件是一个远程访问木马。其他四种服务使用网络钓鱼作为主要攻击载体。我在这里分享我们的主要发现,但更多细节可以在全文中找到。10
电子邮件引诱和网络钓鱼。所有的攻击都是从向受害者账户发送电子邮件开始的。这些诱饵假扮成一些可信的或权威的人物,大概是为了刺激受害者点击链接。在所有的网络钓鱼信息中,有五种类型的诱饵:那些冒充熟人、银行、陌生人、政府实体或谷歌(如图所示)的诱饵图2).关联诱饵利用信任让用户点击“图像”(这导致一个钓鱼页面),而陌生人诱饵由一个未知的人通过电子邮件向用户发送“图像”或链接组成。但是,政府、bank、谷歌的诱饵在信息中传达了一种紧迫感。图3展示了政府诱饵和谷歌诱饵的例子。
图2。用来尝试访问受害者帐户的诱饵。
图3。政府引诱和谷歌引诱的例子。
平均而言,攻击者在25天内发送了10条信息,并在持续攻击期间使用了不同的诱饵。图2说明此行为,显示攻击者发送第一个电子邮件消息以来的时间、每条消息的诱饵类型以及我们何时单击诱饵(可能会停止任何未来的尝试)。X表示我们何时点击了发送给受害者的消息中的链接。每行对应一个受害者,右边的数字表示该服务发送的电子邮件总数。最受欢迎的诱饵是模仿谷歌,其次是同伴,然后是陌生人。
在发送个性化诱饵的服务中,除了一家外,所有服务都提前要求买家提供更多细节(比如已知联系人的姓名和电子邮件地址)。一项服务能够在没有买家角色的额外信息的情况下构建个性化的诱饵,这表明该服务搜索并找到了为受害者构建的在线网站。然而,我们还从该服务中购买了另外两份合同,在这两份合同中,运营商都向买方角色询问了受害者的详细信息。这些行为上的差异表明,这些服务背后有很多人在工作。
如前所述,除一项服务外,所有服务都依赖网络钓鱼作为主要攻击载体。点击钓鱼链接将我们带到一个看起来像谷歌登录页面的登录页面。在输入密码后,我们被带到一个页面,提示我们输入2FA代码。所有能够访问该帐户的服务都是通过钓鱼发送SMS 2FA代码,绕过了这一安全保护。
适应生活。虽然大多数服务在初始网络钓鱼流程中使用了2FA代码,但有两个服务显示出了适应障碍的网络钓鱼攻击。这两种服务,在它们最初的网络钓鱼流中,没有使用2FA代码。他们的钓鱼流收集了密码,然后试图登录谷歌账户,被2FA成功阻止。意识到这一点后,两个服务都向受害者发送了与之前发送的结构不同的额外电子邮件消息。这两个服务中的一个发送了一条新消息,当单击该消息时,将请求密码和2FA代码。另一个服务也改变了它的流程,以考虑2FA代码,并在这样做时发送了看起来类似于从第三个服务发送的钓鱼消息。这些相似性建议在服务之间使用公共工具。
请注意,这些服务能够绕过2FA,因为它们从用户那里钓鱼到SMS 2FA代码。如前所述,SMS 2FA是使用最广泛的2FA形式,我们想看看那些使用它的人是否容易受到假设的黑客雇佣攻击。为了防止黑客雇佣服务获得帐户的访问权限,处于风险中的人群应该使用安全密钥作为他们的2FA保护,因为该代码是不可窃取的。
后妥协。一旦获得受害者帐户的访问权限,黑客雇佣服务就会开始删除任何泄露的证据,并确保在需要时能够重新获得访问权限。访问受害者帐户的服务继续登录每个帐户,并从收件箱和垃圾中删除所有与新设备登录相关的谷歌电子邮件通知。所有服务都没有更改密码,但我们观察到有三个服务在进入受害者帐户后迅速删除了2FA身份验证和恢复号码。我们推测他们采取这一步骤是为了确保买家能够访问该帐户,从而使服务本身能够重新访问该帐户,但我们在首次登录后没有看到任何服务登录到该帐户。从本质上讲,这些服务采取了预防措施,从他们入侵的谷歌账户中删除了自己的数字足迹。
一旦电子邮件帐户被访问,除了一个以外,所有的服务都在谷歌中启动了名为“外卖”的可移植性功能,允许他们下载受害者帐户的电子邮件内容,并将信息包裹提供给买家角色。只有一个服务避免登录我们的受害者帐户,并在没有使用它的情况下将密码提供给买方角色。这些发现强调了数据可移植性和简化用户数据访问的监管方面的新风险。虽然旨在提高用户的可用性,但Takeout等功能也增加了一次劫持将所有用户数据暴露给服务的便利性。自这项研究以来,谷歌对敏感帐户操作增加了更多的加强验证。
真正的受害者和市场活动
根据我们在这个过程中的发现,我们分析了最成功服务的论坛,以了解他们对其他服务的定价。此外,我们根据谷歌的登录跟踪给出了受这些服务影响的真实受害者数量的估计。我们的调查结果表明,这个市场相当小众。
替代服务和定价。虽然由于法律限制,我们的调查主要集中在谷歌,但我们接触过的许多黑客雇佣服务也声称能够侵入其他类型的账户。图4显示了截至2018年10月10日的黑客雇佣服务价格。所有价格均为美元,由卢布换算而成。一个*指示服务的广告价格低于请求的最终支付。
图4。据称价格访问各种帐户。
在这五种服务中,劫持俄罗斯电子邮件提供商的成本最低,而劫持谷歌或雅虎账户的成本最高。闯入社交媒体账户属于这两个极端的中间。其中一项服务的广告显示了随时间变化的价格,如图所示图5.两年来,黑客入侵谷歌账户的代价从每个账户123美元增加到384美元,而俄罗斯电子邮件提供商的黑客入侵成本基本保持不变。这些差异和价格变化可能是多种因素造成的,如需求、安全性变化以及来自其他服务的竞争。
图5。服务A的每月价格。
随着时间的推移受害者。在我们承包的27个独特服务中,只有3个能够成功登录到受害者的电子邮件帐户。谷歌分析了与成功登录尝试相关的元数据,发现所有三个服务都依赖于相同的自动化过程进行密码有效性检查,绕过了任何安全障碍,如2FA,并下载了受害者的电子邮件存档。虽然在不同的合同中,电子邮件发送者和送货地址有所不同,但在这些服务签订的8个月里,登录自动化过程是相同的。谷歌能够为这个自动登录指纹创建一个签名,并追溯分析有多少Gmail帐户有可疑的登录尝试。
从2018年3月16日到2018年10月15日,谷歌确定了372个自动登录框架的目标帐户,约为每100万谷歌用户中的一个。图6显示目标谷歌帐户的每周细目。请注意,这些数字是下界,因为我们无法推断有多少用户是这些服务的目标,但没有点击链接(或提供他们的信息以授予访问权限),只能推断有多少用户的帐户被这些服务访问过。尽管有这些限制,但与其他服务相比,例如现成的网络钓鱼工具包,黑客雇佣服务的活动量是相当小的,后者每年影响超过1200万用户。13我们怀疑,与恶意软件传播等其他市场相比,雇佣黑客的市场规模较小。
图6。与黑客雇佣服务相关的账户。
讨论
总体而言,每份合同收费100美元和400美元的雇佣黑客服务被发现会产生复杂、持久和个性化的攻击,能够通过网络钓鱼绕过2FA。然而,对这些服务的需求似乎仅限于一个利基市场,可发现的服务数量很少,成功的服务数量更少,而且这些攻击者的目标仅为百万分之一的谷歌用户。此外,这个市场的客户服务很差,因为许多服务对我们的买家角色的反应很慢或不一致。
不管市场的行为如何,这项研究揭示了安全密钥对于认为自己处于危险中的人群的重要性,因为只有安全密钥才能保护用户免受本研究中观察到的攻击。然而,随着市场的发展和防御措施的变化,攻击也可能发生变化,从网络钓鱼转向更持久的威胁,如恶意软件。
与这项研究相结合,谷歌引入了两种新的防御措施来帮助防止中间人网络钓鱼,这反过来又可以防止这些服务。谷歌现在在您登录时运行额外的启发式方法,并且还防止某些形式的自动登录框架。此外,自从谷歌向用户推出新的保护措施以来,其中两家公司将入侵谷歌账户的价格提高了近一倍,尽管目前尚不清楚这种价格上涨是巧合还是由谷歌保护措施的增加引起的。
致谢
感谢原始研究出版物的共同作者在撰写本文时的反馈:Kurt Thomas、Geoffrey M. Voelker、Joe De-Blasio和Stefan Savage。感谢米哈伊尔·科洛莫戈罗夫的大力帮助,以及基里尔·列夫琴科、矢量·郭立和伊万·米哈依林的翻译帮助。感谢Shawn Loveland, Elie Bursztein, Angelika Moscicki, Tadek Pietraszek和Kashyap Puranik。这项工作得到了美国国家科学基金会拨款CNS-1629973和CNS-1705050,以及国土安全部拨款AFRL-FA8750-18-2-0087的部分支持。
相关文章
在queue.acm.org
刑法
Thomas Wadlow, Vlad Gorelik
https://queue.acm.org/detail.cfm?id=1180192
Linux安全的七宗罪
鲍勃Toxen
https://queue.acm.org/detail.cfm?id=1255423
除非我们打破它,否则网络不会安全
耶格罗斯曼
https://queue.acm.org/detail.cfm?id=2390758
参考文献
1.Anise, O.和Lady, K.认证状态:多因素身份验证的经验和感知。两人安全, 2017;https://duo.sc/2kmOBid.
2.Cohen, W.W.安然电子邮件数据集,2015;https://www.cs.cmu.edu/~enron/.
3.我人生中最昂贵的一课:2019年SIM端口黑客的细节;http://bit.ly/2lGSD4Y.
4.谷歌。用高级保护程序保护用户;https://support.google.com/a/answer/9010419.
5.谷歌。用两步验证保护您的业务;https://support.google.com/a/answer/175197.
6.谷歌。以额外的安全性验证用户的身份;https://support.google.com/a/answer/6002699.
7.苹果和亚马逊的安全漏洞如何导致了我史诗般的黑客攻击。《连线》杂志;https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/.
8.Liu, S., Foster, I., Savage, S., Voelker, g.m., Saul, L.K. com是谁?学习解析WHOIS记录。在ACM互联网测量会议论文集。, 2015, 369380;https://dl.acm.org/citation.cfm?id=2815675.2815693.
9.M.马蒂沙克,波德斯塔如何成为网络安全的典范。政治报2016;https://politi.co/2m4fNmd.
10.Mirian, A., DeBlasio, J., Savage, S., Voelker, g.m., Thomas, K.雇佣黑客:探索账户劫持的新兴市场。在万维网会议论文集。, 2019, 12791289;https://dl.acm.org/citation.cfm?id=3313489.
11.Onaolapo, J., Mariconti, E., Stringhini, G.你被pwnd后会发生什么:了解在野外使用泄露的网络邮件凭证。在ACM互联网测量会议论文集。, 2016, 6579;https://dl.acm.org/citation.cfm?id=2987475.
12.托马斯,K.等人。由地下商品化引入的框架依赖性。在信息安全经济学研讨会论文集, 2015年。
13.托马斯,K.等人。数据泄露、网络钓鱼还是恶意软件?了解凭证被盗的风险。在计算机与通信安全会议论文集, 2017, 14211434;https://dl.acm.org/citation.cfm?id=3134067.
数字图书馆是由计算机协会出版的。版权所有©2019 ACM, Inc.
没有找到条目