下载本文的PDF版本 PDF

雇佣黑客

调查零售电子邮件帐户黑客服务的新兴黑市

Ariana Mirian

一个电子邮件地址通常支撑着一个人完整的在线身份,从银行到商业,再到社交媒体个人资料等等。这种身份不仅在注册众多服务时使用,而且在必须重置这些服务的密码时也会使用。因此,攻击者获得电子邮件帐户的访问权限会带来泄露与该帐户关联的所有其他服务的风险。政治家、记者和加密货币人士都曾是定向攻击的受害者,这些攻击始于访问他们的电子邮件帐户,然后对与这些电子邮件帐户关联的其他在线帐户造成严重破坏。3, 7, 9

由于电子邮件帐户可以提供大量信息,因此许多类型的攻击都针对它们:密码猜测、访问令牌盗窃、密码重置欺诈和网络钓鱼,仅举几例。电子邮件提供商添加了诸如安全问题、垃圾邮件过滤和双因素身份验证等机制,以限制这些攻击的成功率。4, 5, 6, 12 这些防御措施阻止了许多泄露事件,从而增加了访问帐户所需的复杂性和时间。然而,有针对性的攻击者愿意付出额外的努力,以应对这些大规模的防御措施来访问帐户。

虽然定向攻击通常被认为是需要国家级能力,但“雇佣黑客”服务的新兴黑市正在出现,它为任何愿意支付少量费用的人提供定向攻击。这些服务声称能够侵入各种不同电子邮件提供商的帐户,图 1 显示了一个示例。由于这些服务才刚刚兴起,人们对它们如何攻击受害者以及它们构成多大的风险知之甚少。

Hack for Hire: Investigating the emerging black market of retail email account hacking services

为了了解这种风险,我们调查了雇佣黑客黑市,识别出 27 个零售电子邮件帐户黑客服务,并从他们那里购买了这些服务。我们使用秘密身份与这些服务进行互动,以侵入所谓的“受害者”——实际上是我们控制的 Google 帐户。我们与 Google 合作,记录了我们与劫持者的互动以及这些劫持者如何尝试攻击我们的受害者。

 

抓捕劫持者

总的来说,定向劫持黑市充斥着诈骗,但少数服务发起了复杂的攻击,利用网络钓鱼作为其主要攻击媒介。这些攻击是持久的、个性化的,并且能够绕过 SMS 2FA(双因素身份验证)。我们使用从这些攻击中获得的信号来识别其他受害者,估计攻击者针对大约每百万个 Google 帐户中的一个。鉴于网络钓鱼攻击的复杂性,我们认为对于高风险用户来说,最好的防御措施是使用 U2F(通用第二因素)安全密钥作为 2FA 机制来保护帐户。U2F 安全密钥可以防止复杂的网络钓鱼攻击,因为 U2F 协议会在发送 2FA 代码之前验证域名,从而防止用户遭受网络钓鱼。虽然本次调查的重点是 Google 帐户,但从中吸取的教训可以很好地推广到所有电子邮件提供商。

 

服务的发现

对雇佣黑客服务的调查始于在英语、中文和俄语黑市论坛上搜索与定向帐户劫持相关的广告。我们还搜索了 Google 以查找劫持特定的关键词,以识别具有公开店面的服务,并且我们联系了大型互联网公司的滥用团队,以获取他们正在跟踪的任何此类服务的线索。总共识别出 27 个潜在的雇佣黑客服务。这些服务中的大多数以俄语做广告,价格从每个合同 23 美元到 500 美元不等。

 

扮演买家

对于联系的每个雇佣黑客服务,我们都通过唯一的“买家角色”进行沟通,以保护我们的身份并避免将我们在不同服务之间的互动联系起来。每个角色都涉及选择雇佣黑客服务母语的名字。例如,如果该服务以俄语做广告,那么我们为我们的角色选择了常见的俄语名字和姓氏。我们还为每个角色创建了一个 Google 帐户,用于所有电子邮件通信。对于非英语服务,母语人士在沟通时执行所有翻译。

 

选择受害者

在与雇佣黑客服务签订合同时,我们创建了一个受害者角色作为目标。受害者角色被赋予了大量的数字足迹,以塑造逼真的在线形象。这意味着以类似于买家角色的方式为受害者创建一个名字和 Google 帐户。受害者角色的收件箱中填充了来自 Enron 电子邮件语料库的消息子集,以给人留下该 Google 帐户正在积极使用的印象。2 我们用受害者的信息替换了 Enron 消息中的姓名和其他身份信息。此外,受害者角色的 Gmail 地址受到 SMS 2FA 的保护,这是当今最广泛使用的 2FA 形式。1 这用于确定雇佣黑客服务是否能够绕过这种类型的保护。

此外,我们创建了一个网页,宣传受害者拥有或工作的小型企业。我们从拍卖中购买了网页的域名,以确保每个域名都有历史记录。我们还为每个域名购买了隐私保护,以保护注册信息(最近的一项研究表明,20% 的域名受到这种方式的保护,因此我们不希望隐私保护引起任何警惕8)。此网页链接到受害者的电子邮件地址以及虚构的同事的电子邮件地址。通过这种方式,我们可以确定雇佣黑客服务是否会攻击该同事,以此来获得对受害者的访问权限。我们还为受害者创建了一个 Facebook 页面,以查看雇佣黑客服务是否会在他们的攻击中使用它。Facebook 页面上的所有项目都是私有的(公共用户将无法看到这些项目),除了“关于我”部分,其中列出了受害者的网页(作为受害者业务的个人广告)。

 

监控攻击

由于不确定这些雇佣黑客服务将使用哪种攻击方法,我们创建了广泛的监控基础设施,以便在我们 Google 帐户被未经授权的用户进入和修改时通知我们。我们还监控了网站以记录所有访问者。此监控基础设施包含:(1)每个帐户中用于 Gmail 的 Google 应用脚本;(2)Google 日志;以及(3)所有到虚构网站的流量的网络捕获。

加载到每个帐户的 Gmail 中的 Google 应用脚本是对先前研究中使用的一个脚本的修改。11 Google 应用脚本会通过代理向受控服务器发送信息,指示该脚本是否仍连接到该帐户,以及该帐户是否发生任何更改。例如,Google 应用脚本会指示收件箱或垃圾邮件文件夹中是否出现新消息,消息是否被移动到垃圾箱,或者任何标记为未读的消息是否被用户读取。此日志记录记录了攻击者进入帐户后的操作。

我们还能够分析对我们受害者角色的 Google 帐户的任何登录活动。这些日志由我们的 Google 同事捕获和分析,记录了帐户的登录尝试及其来源、暴力破解尝试,以及是否在可疑登录尝试时触发了帐户的 2FA。

最后,我们捕获了每个受害者角色网站的所有网络流量。如前所述,网站地址链接在受害者 Facebook 页面的“关于我”部分。如果攻击者能够通过 Facebook 页面找到该网站,这将在网络捕获中显而易见。网络捕获还将显示对 Google 帐户的任何黑客攻击尝试是否来自访问网页的相同 IP 地址。

 

法律和伦理考量

由于这项研究涉及与正在进行非法活动的参与者互动,因此需要考虑法律和伦理问题。

在法律上,有两个担忧:未经授权访问 Google 帐户和违反 Google 的服务条款。在美国,以及许多其他国家/地区,未经授权访问电子帐户是非法的。雇用服务执行此行为可能被视为协助和教唆;但是,由于电子邮件帐户直接在我们的控制之下,并且我们正在与服务提供商(Google)合作,因此我们明确授权实体访问我们的帐户。此外,创建虚假的 Google 帐户违反了 Google 的服务条款,但这项研究在开始工作之前已获得 Google 和加州大学圣地亚哥分校总法律顾问的批准。

尽管我们的机构审查委员会认为这项研究不是人权研究,因为我们衡量的是组织行为而不是个人行为,但还有其他伦理考量。通过创建虚构的受害者和买家角色,我们消除了任何个人在本研究期间受到伤害的可能性。此外,我们在这些服务的条款范围内与它们互动,并在它们成功时向它们付款。我们认为,从这项研究中吸取的教训超过了通过向这些服务付款来支持它们的成本。

 

雇佣黑客剧本

受控实验和日志记录基础设施允许检查攻击者用来接管受害者帐户的剧本。在我们联系的 27 个服务中,只有 5 个服务实际尝试侵入受害者的 Google 帐户。请注意,雇佣黑客服务的“成功”取决于我们的行动:在某些情况下,当网络钓鱼页面提示时,我们提供了密码或 2FA 代码,而在其他情况下,我们没有提供,以便了解该服务将如何适应。

总的来说,我们从未观察到任何暴力破解登录尝试、与受害者 Facebook 帐户的通信或与同事电子邮件的通信。在尝试获取帐户访问权限的五个服务中,有一个服务通过电子邮件消息向受害者发送了恶意软件可执行文件。虽然我们无法在虚拟机沙箱中运行该可执行文件,但 VirusTotal 报告称该恶意软件可执行文件是远程访问木马。其他四个服务使用网络钓鱼作为其主要攻击媒介。我们在此处分享我们的主要发现,但更多详细信息可以在完整论文中找到。10

 

电子邮件诱饵和网络钓鱼

所有攻击都始于发送到受害者帐户的电子邮件诱饵。这些诱饵模仿一些受信任或权威的人物,大概是为了刺激受害者点击链接。所有网络钓鱼消息中共有五种类型的诱饵:模仿同事角色、银行、陌生人、政府实体或 Google 的诱饵。这些如图 2 所示。同事诱饵利用信任来诱使用户点击“图像”(这会链接到网络钓鱼页面),而陌生人诱饵则由一个未知的人通过电子邮件向用户发送“图像”或链接。然而,政府、银行和 Google 诱饵在其消息中传达了一种紧迫感。图 3 显示了政府诱饵(翻译成英文)和 Google 诱饵的示例。

Hack for Hire: Investigating the emerging black market of retail email account hacking services

 

Hack for Hire: Investigating the emerging black market of retail email account hacking services

平均而言,攻击者在 25 天内发送了 10 条消息,并在其持久攻击中使用了不同的诱饵。图 2 说明了这种行为,显示了攻击者发送第一封电子邮件消息以来的时间、每条消息的诱饵类型以及我们何时点击诱饵(可能阻止任何未来的尝试)。X 表示我们何时点击发送给受害者的消息中的链接。每一行对应一个受害者,右侧的数字表示服务发送的电子邮件总数。最受欢迎的诱饵是模仿 Google,其次是同事,然后是来自陌生人的诱饵。

在发送个性化诱饵的服务中,除了一项服务外,所有服务都提前向买家角色询问了更多详细信息(例如,已知同事的姓名和电子邮件地址)。一项服务能够在没有买家角色提供额外信息的情况下构建个性化诱饵,这表明该服务搜索并找到了为受害者构建的在线网站。然而,我们也从这项服务购买了另外两份合同,在这两种情况下,运营商都向买家角色询问了有关受害者的详细信息。这些行为差异表明这些服务背后有多个人在工作。

如前所述,除了一个服务外,所有服务都依赖网络钓鱼作为其主要攻击媒介。点击网络钓鱼链接会将我们带到一个看起来像 Google 登录页面的着陆页。输入密码后,我们会进入一个页面,提示我们输入 2FA 代码。所有能够访问帐户的服务都是通过网络钓鱼 SMS 2FA 代码来做到这一点的,从而绕过了这种安全保护。

 

实时适应

虽然大多数服务在其初始网络钓鱼流程中都考虑了 2FA 代码,但有两项服务表现出适应障碍的网络钓鱼攻击。这两项服务在其初始网络钓鱼流程中,没有考虑 2FA 代码。他们的网络钓鱼流程收集密码,然后尝试登录 Google 帐户,这被 2FA 成功阻止。在意识到这一点后,这两项服务都向受害者发送了额外的电子邮件消息,其结构与之前发送的消息不同。这两项服务中的一项发送了一条新消息,当点击该消息时,会同时请求密码和 2FA 代码。另一项服务也改变了其流程以考虑 2FA 代码,并且在这样做时发送的网络钓鱼消息看起来与第三项服务发送的消息相似。这些相似之处表明服务之间使用了通用工具。

请注意,这些服务能够绕过 2FA,因为它们从用户那里网络钓鱼了 SMS 2FA 代码。如前所述,SMS 2FA 是最广泛使用的 2FA 形式,我们想看看使用它的人是否容易受到假设的雇佣黑客攻击。为了防止雇佣黑客服务获得对帐户的访问权限,高风险人群应使用安全密钥作为其 2FA 保护,因为该代码是无法被网络钓鱼的。

 

泄露后

在获得对受害者帐户的访问权限后,雇佣黑客服务开始删除任何泄露证据,并确保在需要时能够重新获得访问权限。获得我们受害者帐户访问权限的服务继续登录每个帐户,并从收件箱和垃圾箱中删除所有与新设备登录相关的 Google 电子邮件通知。没有一项服务更改密码,但我们确实观察到三项服务在他们获得访问权限后迅速从我们的受害者帐户中删除了 2FA 身份验证和恢复号码。我们推测他们采取这一步骤是为了确保买家可以访问该帐户,并确保服务本身可以重新获得对该帐户的访问权限,但我们没有看到任何服务在初始登录后登录该帐户。本质上,这些服务采取了预防措施,以从他们正在入侵的 Google 帐户中删除他们的数字足迹。

一旦电子邮件帐户被访问,除了一个服务外,所有服务都启动了 Google 中称为 Takeout 的可移植性功能,允许他们下载受害者帐户的电子邮件内容,并将信息包提供给买家角色。只有一项服务避免登录我们的受害者帐户,并在没有首先使用密码的情况下将密码提供给买家角色。这些发现突出了数据可移植性和围绕简化用户数据访问的法规方面的新兴风险。虽然旨在提高用户的可用性,但诸如 Takeout 之类的功能也增加了单个劫持事件将所有用户数据暴露给服务的容易程度。自这项研究以来,Google 已在敏感帐户操作中添加了更多逐步验证。

 

真实受害者和市场活动

根据我们从该过程中获得的发现,我们分析了最成功的服务的论坛,以了解他们其他服务的定价。此外,我们根据 Google 的登录跟踪数据,估算了受这些服务影响的真实受害者的数量。我们的研究结果表明,这个市场非常小众。

 

替代服务和定价

虽然我们的调查主要集中在 Google 上——由于法律限制——但我们与之互动的许多雇佣黑客服务也声称能够侵入其他类型的帐户。图 4 显示了截至 2018 年 10 月 10 日的雇佣黑客服务价格。所有价格均为美元,从卢布换算而来。* 表示该服务的广告价格低于要求的最终付款。

Hack for Hire: Investigating the emerging black market of retail email account hacking services

在这五项服务中,劫持俄罗斯电子邮件提供商是最便宜的,而劫持 Google 或 Yahoo 帐户是最贵的。侵入社交媒体帐户的价格介于这两者之间。其中一项服务的广告显示价格随时间变化,如图 5 所示。Google 帐户黑客攻击的价格涨幅最大——两年内从每个帐户 123 美元涨到 384 美元——而俄罗斯电子邮件提供商黑客攻击的成本基本保持不变。这些差异和价格变化可能是多种因素造成的,例如需求、安全变化以及来自其他服务的竞争。

Hack for Hire: Investigating the emerging black market of retail email account hacking services

 

一段时间内的受害者

在我们签订合同的 27 个独特服务中,只有 3 个服务能够成功登录受害者的电子邮件帐户。Google 分析了与成功登录尝试相关的元数据,发现所有三项服务都依赖于相同的密码有效性检查自动化流程,绕过任何安全障碍(例如 2FA),并下载受害者电子邮件存档。虽然各个合同之间的电子邮件发件人和送达地址有所不同,但在这些服务签订合同的八个月内,登录自动化流程是相同的。Google 能够为此自动化登录指纹创建签名,并追溯分析有多少 Gmail 帐户有可疑登录尝试。

Google 识别出从 2018 年 3 月 16 日到 2018 年 10 月 15 日期间,有 372 个帐户受到此自动化登录框架的攻击,即大约每 100 万 Google 用户中有一个。图 6 显示了每周目标 Google 帐户数量的细分。请注意,这些数字是下限,因为我们无法推断有多少用户受到这些服务的攻击但没有点击链接(或提供他们的信息以授予访问权限),只能推断有多少用户的帐户被这些服务访问。尽管存在这些限制,但与现成的网络钓鱼工具包等其他服务相比,雇佣黑客服务的活动量仍然很小,后者每年影响超过 1200 万用户。13 我们怀疑,与恶意软件分发等其他市场相比,雇佣黑客市场很小。

Hack for Hire: Investigating the emerging black market of retail email account hacking services

 

讨论

总的来说,发现收费 100-400 美元/合同的雇佣黑客服务能够产生复杂、持久和个性化的攻击,这些攻击能够通过网络钓鱼绕过 2FA。然而,对这些服务的需求似乎仅限于一个小众市场,这可以从可发现的服务数量少、成功的服务数量更少以及这些攻击者仅针对大约每百万 Google 用户中的一个用户这一事实中得到证明。此外,这个市场的客户服务很差,因为许多服务对我们的买家角色的回复很慢或不一致。

无论市场行为如何,这项研究都揭示了安全密钥对于认为自己处于风险之中的人群的重要性,因为只有安全密钥才能保护用户免受本研究中看到的攻击。然而,随着市场的发展和防御措施的变化,攻击也可能会发生变化,并从网络钓鱼转向更持久的威胁,例如恶意软件。

结合这项研究,Google 推出了两项新的防御措施,以帮助防御 MITM(中间人)网络钓鱼,这反过来将防止这些服务。Google 现在在您登录时运行额外的启发式方法,并阻止某些形式的自动化登录框架。此外,自从 Google 向用户推出新的保护措施以来,其中两项服务几乎将黑客攻击 Google 帐户的价格提高了一倍,尽管尚不清楚此次涨价是巧合还是由 Google 加强保护措施引起的。

 

致谢

作者感谢原始研究出版物的合著者 Kurt Thomas、Geoffrey M. Voelker、Joe DeBlasio 和 Stefan Savage 在撰写本文时提供的帮助和反馈。我们还要感谢 Mikhail Kolomogorov 在翻译电子邮件消息方面提供的重大帮助,以及 Kirill Levchenko、Vector Guo Li 和 Ivan Mikhailin 提供的翻译帮助。我们感谢 Shawn Loveland 提供有关地下雇佣黑客服务的其他线索。我们感谢 Elie Bursztein、Angelika Moscicki、Tadek Pietraszek 和 Kashyap Puranik 对原始研究的反馈。我们还要感谢编辑提供的反馈。这项工作部分由 NSF 资助 CNS-1629973 和 CNS-1705050 以及 DHS 资助 AFRL-FA8750-18-2-0087 支持。

 

参考文献

1. Anise, O., Lady, K. 2017. State of the auth: experiences and perceptions of multi-factor authentication. Duo Security; https://duo.com/blog/state-of-the-auth-experiences-and-perceptions-of-multi-factor-authentication.

2. Cohen, W. W. 2015. Enron email dataset; https://www.cs.cmu.edu/~enron/.

3. Coonce, S. 2019. The most expensive lesson of my life: details of SIM port hack; https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124.

4. Google. Protect users with the Advanced Protection Program; https://support.google.com/a/answer/9010419.

5. Google. Protect your business with 2-Step Verification; https://support.google.com/a/answer/175197.

6. Google. Verify a user's identity with extra security; https://support.google.com/a/answer/6002699.

7. Honan, M. 2012. How Apple and Amazon security flaws led to my epic hacking. Wired; https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/.

8. Liu, S., Foster, I., Savage, S., Voelker, G. M., Saul, L. K. 2015. Who is .com? Learning to parse WHOIS records. In Proceedings of the Internet Measurement Conference (IMC), 369-380; https://dl.acm.org/citation.cfm?id=2815675.2815693.

9. Matishak, M. 2016. How Podesta became a cybersecurity poster child. Politico; https://www.politico.com/story/2016/10/john-podesta-cybersecurity-hacked-emails-230122.

10. Mirian, A., DeBlasio, J., Savage, S., Voelker, G. M., Thomas, K. 2019. Hack for hire: exploring the emerging market for account hijacking. In Proceedings of the World Wide Web Conference (WWW), 1279-1289; https://dl.acm.org/citation.cfm?id=3313489.

11. Onaolapo, J., Mariconti, E., Stringhini, G. 2016. What happens after you are pwnd: understanding the use of leaked webmail credentials in the wild. In Proceedings of the Internet Measurement Conference (IMC), 65-79; https://dl.acm.org/citation.cfm?id=2987475.

12. Thomas, K., Huang, D. Y., Wang, D., Bursztein, E., Grier, C., Holt, T., Kruegel, C., McCoy, D., Savage, S., Vigna G. 2015. Framing dependencies introduced by underground commoditization. In Proceedings of the Workshop on the Economics of Information Security (WEIS).

13. Thomas, K., Li, F., Zand, A., Barrett, J., Ranieri, J., Invernizzi, L., Markov, Y., Comanescu, O., Eranti, V., Moscicki, A., Margolis, D., Paxson, V., Bursztein, E. 2017. Data breaches, phishing, or malware?: understanding the risks of stolen credentials. In Proceedings of the Conference on Computer and Communications Security, 1421-1434; https://dl.acm.org/citation.cfm?id=3134067.

 

相关文章

刑法
网络犯罪分子的形成
Thomas Wadlow, Vlad Gorelik
https://queue.org.cn/detail.cfm?id=1180192

Linux 安全的七宗罪
像躲避魔鬼一样避开这些常见的安全风险
Bob Toxen
https://queue.org.cn/detail.cfm?id=1255423

在打破网络之前,网络不会安全或可靠
假设您访问的每个网站都确切地知道您的身份。
Jeremiah Grossman
https://queue.org.cn/detail.cfm?id=2390758

 

Ariana Mirian 是加州大学圣地亚哥分校计算机科学与工程系的博士生,她的导师是 Stefan Savage 和 Geoff Voelker。她的工作重点是通过实证的角度理解安全和隐私。具体来说,她对使用大规模实证分析来了解用户行为以及如何更好地保护普通用户免受互联网上的伤害感兴趣。

 

版权 © 2019 归所有者/作者所有。出版权已许可给 。

acmqueue

最初发表于 Queue 第 17 卷,第 4 期
数字图书馆 中评论本文




更多相关文章

Mark Russinovich, Cédric Fournet, Greg Zaverucha, Josh Benaloh, Brandon Murdoch, Manuel Costa - 机密计算证明
证明是用于完整性和隐私的强大工具,使验证者能够委托计算并仍然验证其正确执行,并使证明者能够对计算的细节保密。CCP 和 ZKP 都可以实现健全性和零知识,但存在重要差异。CCP 依赖于硬件信任假设,这会产生高性能并为证明者提供额外的保密保护,但对于某些应用程序来说可能是不可接受的。CCP 通常也更易于使用,特别是对于现有代码而言,而 ZKP 则带来大量的证明者开销,这对于某些应用程序来说可能是不切实际的。


Raphael Auer, Rainer Böhme, Jeremy Clark, Didem Demirag - 中央银行数字货币的隐私格局
随着世界各地的中央银行转向现金数字化,隐私问题需要提到最前沿。所采取的路径可能取决于每个利益相关者群体的需求:注重隐私的用户、数据持有者和执法部门。


Sutapa Mondal, Mangesh S. Gharote, Sachin P. Lodha - 个人信息隐私
每次与外部服务的在线互动都会创建关于用户的数据,这些数据会被数字记录和存储。这些外部服务可能是信用卡交易、医疗咨询、人口普查数据收集、选民登记等。尽管表面上收集数据是为了向公民提供更好的服务,但个人的隐私不可避免地会面临风险。随着互联网覆盖范围的扩大和生成的数据量不断增加,数据保护,特别是保护个人隐私,已变得尤为重要。


Kallista Bonawitz, Peter Kairouz, Brendan McMahan, Daniel Ramage - 联邦学习和隐私
如果数据管理不当,集中式数据收集可能会使个人面临隐私风险,并使组织面临法律风险。联邦学习是一种机器学习设置,其中多个实体在中央服务器或服务提供商的协调下协作解决机器学习问题。每个客户端的原始数据都存储在本地,不会交换或传输;相反,旨在立即聚合的重点更新用于实现学习目标。



© 保留所有权利。

© . All rights reserved.