本文來自微信公眾號“嘶吼專業(yè)版”,作者/布加迪。
愛彼迎(Airbnb)在全球10萬個(gè)活躍城市擁有超過700萬個(gè)房源,為廣大游客提供了價(jià)位合理、環(huán)境舒適的住宿,但超旺的人氣也使其容易受到網(wǎng)絡(luò)犯罪分子、欺詐性房東、虛假帳戶及其他騙局的攻擊。
本文便著重探討了網(wǎng)絡(luò)犯罪分子如何利用愛彼迎及其用戶。
走近竊取器的世界
為了了解網(wǎng)絡(luò)犯罪分子在如何利用愛彼迎,明白他們用來未經(jīng)授權(quán)訪問帳戶的方法至關(guān)重要。
網(wǎng)絡(luò)犯罪分子經(jīng)常使用一種名為“竊取器”(stealer)的惡意軟件來獲取用戶名和密碼等信息,這類竊取器其實(shí)是一種惡意軟件,滲入設(shè)備,并將竊取的數(shù)據(jù)(又名為日志)傳輸給攻擊者。日志通常被發(fā)送到服務(wù)器,但在一些情況下,日志也可以通過電子郵件和Telegram等安全聊天程序來加以傳送。
竊取器可以通過各種不同的技術(shù)加以部署,包括社會工程、利用軟件漏洞和惡意廣告等技術(shù)。
此外,還有一個(gè)地下市場,網(wǎng)絡(luò)犯罪分子可以在這里大量買賣設(shè)備訪問權(quán)限(又叫機(jī)器人程序、安裝件或感染)。
圖1.該截圖顯示了網(wǎng)絡(luò)犯罪分子在論壇上出售機(jī)器人程序
愿意花錢的網(wǎng)絡(luò)犯罪分子可以聯(lián)系機(jī)器人程序賣家或商店,立即開始在成千上萬個(gè)設(shè)備上部署竊取器。
圖2.該截圖顯示了在一個(gè)臭名昭著的網(wǎng)絡(luò)犯罪論壇上可售的不同竊取器
竊取器可以入侵大多數(shù)瀏覽器,主要目標(biāo)是網(wǎng)絡(luò)應(yīng)用程序的帳戶信息。日志通常遵循特定的格式,這包括多列,其中的一行行數(shù)據(jù)含有各種信息,比如姓名和信用卡或借記卡詳細(xì)信息等。除了獲取登錄憑據(jù)外,竊取器還可以泄露cookie。
cookie的重要性
cookie是存儲在用戶設(shè)備上的小小的數(shù)據(jù)文件,其中含有關(guān)于用戶在特定網(wǎng)站上瀏覽活動(dòng)和訪問偏好的信息,網(wǎng)絡(luò)犯罪分子經(jīng)常在各種在線論壇上竊取、購買和出售愛彼迎帳戶的cookie。這樣一來,他們就可以暫時(shí)訪問愛彼迎帳戶,不需要相關(guān)的用戶名和密碼。
圖3.該截圖顯示了網(wǎng)絡(luò)犯罪論壇上的一個(gè)用戶試圖購買愛彼迎cookie
比如說,網(wǎng)絡(luò)犯罪分子可以從受攻擊帳戶購買被盜的愛彼迎cookie數(shù)據(jù)庫,將cookie加載到瀏覽器中,并訪問受害者的帳戶。有了這種非法訪問權(quán)限,他們可以冒充真實(shí)用戶,預(yù)訂房源或執(zhí)行其他未經(jīng)授權(quán)的操作,而不會引發(fā)任何警報(bào)。然而需要注意的是,大多數(shù)會話cookie很快就會過期,因此網(wǎng)絡(luò)犯罪分子必須在會話過期之前迅速采取行動(dòng)。
有利可圖的服務(wù)
一旦網(wǎng)絡(luò)犯罪分子獲得了用戶帳戶信息或獲得竊取的cookie,他們的下一個(gè)目標(biāo)通常就是從這些數(shù)據(jù)中牟利,一種標(biāo)準(zhǔn)的方法是直接向其他網(wǎng)絡(luò)犯罪分子出售受攻擊帳戶的信息或被盜的cookie。
這可以通過在在線論壇上打廣告來實(shí)現(xiàn),也可以通過將一行行數(shù)據(jù)上傳到為這類交易提供便利的熱門商店來實(shí)現(xiàn)。
圖4.該截圖顯示了一家大受歡迎的網(wǎng)絡(luò)犯罪商店出售愛彼迎帳戶
在寫這篇博文的時(shí)候,在上面提到的那家數(shù)字商店上有成千上萬個(gè)愛彼迎帳戶可供購買,令人震驚的是,大量被盜的帳戶使每個(gè)帳戶的價(jià)值縮水至區(qū)區(qū)1美元。
實(shí)際上,愛彼迎帳戶被盜的規(guī)模非常龐大,以至于攻擊者出售“帳戶檢查器”,這種自動(dòng)化程序可以快速測試位于某個(gè)文本文件中的愛彼迎帳戶。
圖5.該截圖顯示了為愛彼迎帳戶檢查器所打的廣告
這些帳戶檢查器背后的概念比較簡單。攻擊者可以將一個(gè)含有大量被盜憑據(jù)的文本文件加載到檢查器中,驗(yàn)證哪些憑據(jù)有效、哪些憑據(jù)無效。一些檢查器還可以執(zhí)行特定的操作,比如預(yù)房源。
網(wǎng)絡(luò)犯罪分子還提供服務(wù),為愛彼迎預(yù)訂提供高達(dá)50%的折扣。
圖6.該截圖顯示了一項(xiàng)服務(wù)對愛彼迎的所有預(yù)訂提供50%的折扣
很明顯,這類服務(wù)有利可圖,因?yàn)檎搲闲麄鬟@些服務(wù)的帖子已經(jīng)收到了數(shù)以萬計(jì)的瀏覽量和數(shù)以百計(jì)的回復(fù)量。
總而言之,網(wǎng)絡(luò)犯罪分子已經(jīng)發(fā)現(xiàn)了利用愛彼迎從事欺詐活動(dòng)的各種方法,通過使用竊取器和被盜的cookie未經(jīng)授權(quán)訪問用戶帳戶。然后,這些泄露的信息被賣給其他網(wǎng)絡(luò)犯罪分子,或者被用來向買家提供折扣服務(wù)。被盜帳戶的規(guī)模相當(dāng)大,數(shù)字商店里已有成千上萬愛彼迎帳戶,以低至1美元的單價(jià)就能買到。
我們必須意識到風(fēng)險(xiǎn),并采取必要的預(yù)防措施,以保護(hù)個(gè)人信息免受此類網(wǎng)絡(luò)威脅。