激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?

就算使用者變更了帳號密碼,歹徒的應用程式還是能夠存取該帳號,除非…..

Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示,該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚(Phishing)來騙取帳號登入資訊。2016 年受害對象包括:美國民主黨全國代表大會 (Democratic National Convention,簡稱 DNC)、德國基督教民主黨 (Christian Democratic Union,簡稱 CDU)、土耳其國會和政府機關、蒙特內哥羅國會、世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA)、半島電視台 (Al Jazeera) 以及其他多家機構。

本文探討 Pawn Storm 如何利用開放驗證 (Open Authentication,簡稱 OAuth) 機制來從事進階社交工程詐騙。駭客在 2015 至 2016 年間攻擊了不少使用免費網站郵件服務的重要人士。

OAuth 如何遭到利用?

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制,此機制的好處是使用者不須提供自己的帳號密碼,而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
儘管 OAuth 既方便又應用廣泛,但卻也可能讓使用者暴露於風險。駭客可只需設法通過服務供應商的背景審查,就能讓自己的應用程式通過驗證,成為可以合法使用 OAuth 機制的應用程式。接著駭客就能利用進階社交工程(social engineering )詐騙來騙取使用者的 OAuth 認證碼。由於某些網路服務供應商只會要求第三方應用程式提供電子郵件地址和網站網址就能使用 OAuth。因此,像 Pawn Storm 這樣經驗豐富的駭客團體才能利用 OAuth 來從事網路釣魚詐騙。

圖 1:Pawn Storm 如何利用 OAuth 機制。
圖 1:Pawn Storm 如何利用 OAuth 機制。

 

上圖文字翻譯如下:

Pawn Storm 開發一個惡意的應用程式並向網站郵件服務供應商申請讓該程式使用 OAuth 機制。Pawn Storm 的應用程式通過郵件服務供應商的基本安全審查,接著就能將該應用程式用於網路釣魚攻擊。受害者收到假冒的郵件,信件內提供一個連結,使用者若點選連結就會前往惡意應用程式要求使用者提供存取權限的頁面。
權限請求頁面會詢問使用者是否要允許該應用程式存取其帳號。使用者若允許,Pawn Stom 的惡意應用程式就能隨時存取使用者的電子郵件帳號。就算使用者變更了帳號密碼,歹徒的應用程式還是能夠存取該帳號,除非撤銷其 OAuth 認證碼。

 

Pawn Storm 的 OAuth 攻擊過程

偽裝成來自 Gmail 的安全通知

在這類攻擊當中,使用者會收到一封如下圖所示的詐騙信件:

圖 2:來自 Pawn Storm 的詐騙郵件。
圖 2:來自 Pawn Storm 的詐騙郵件。

 

詐騙郵件會偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式。正常來說,使用者不該輕易安裝一些不請自來的應用程式。

但如果使用者真的點選了安裝連結,就會被導到一個位於 accounts.google.com 的頁面:

圖 3:Google Defender 發出的存取權限允許請求。
圖 3:Google Defender 發出的存取權限允許請求。

到這裡為止,使用者看到的都是正常的 Google 網站,因為所有的 OAuth 核准動作都是經由服務供應商的網站來進行,但該要求存取權限的應用程式本身卻是網路釣魚詐騙的一環。

「Google Defender」其實是 Pawn Storm 所開發的一個第三方應用程式。由於 Pawn Storm 的惡意應用程式早已通過 OAuth 的安全審查並獲得認證,因此它就能像其他應用程式一樣能被服務供應商所接受。使用者萬一落入這個圈套並點選「Allow」(允許) 按鈕,Pawn Storm 的應用程式就會取得一個 OAuth 認證碼,這幾乎等於讓歹徒隨時都能進入受害者的電子郵件信箱。

Yahoo 信箱重要使用者也是攻擊目標

除了針對 Gmail 使用者之外,Pawn Storm 也會將這項 OAuth 詐騙技巧應用在 Yahoo 信箱的一些重要使用者身上。以下是 2015 年駭客謊稱提供「McAfee Email Protection」免費電子郵件防護服務的案例。

圖 4:看似非常真實的 Yahoo 網路釣魚郵件。
圖 4:看似非常真實的 Yahoo 網路釣魚郵件。

 

 

 

使用者一旦點選了「Try McAfee Email Protection」(試用 McAfee 電子郵件防護) 按鈕,就會前往下列正常網站:

圖 5:此步驟用來允許第三方應用程式經由 OAuth 來存取使用者的信箱。
圖 5:此步驟用來允許第三方應用程式經由 OAuth 來存取使用者的信箱。

然而,這並非 Yahoo 的服務之一,同時也非 McAfee 的產品,而是 Pawn Storm 所製作的一個惡意程式。一旦點選了「Agree」(同意) 按鈕,Pawn Storm 就能取得 OAuth 認證碼,進而存取使用者的信箱。除非服務供應商或使用者撤銷該認證碼,否則駭客等於隨時都能進入信箱。

顯然 Pawn Storm 已多次經由該手段而得手,因為從下圖可看出該團體在 2015 年 11 月下旬至 12 月前半個月期間一直持續在散發這類社交工程誘餌。

圖 6:Pawn Storm 針對 Yahoo 使用者的登入資訊網路釣魚活動概況。藍色方塊代表 Pawn Storm 使用的是 OAuth 社交工程誘餌,紅色方塊代表其他類型的網路釣魚手法。
圖 6:Pawn Storm 針對 Yahoo 使用者的登入資訊網路釣魚活動概況。藍色方塊代表 Pawn Storm 使用的是 OAuth 社交工程誘餌,紅色方塊代表其他類型的網路釣魚手法。

 

不要隨便允許一些不請自來的應用程式或服務使用 OAuth 來存取帳號

OAuth 機制確實能提升網站使用者的體驗,例如,允許社群網站存取您的網站郵件通訊錄可以更方便找到同樣有在使用該社群網站的好友。雖然我們相信網路服務供應商已經加強了 OAuth 應用程式的審查,但我們仍呼籲網路使用者不要隨便允許一些不請自來的應用程式或服務使用 OAuth 來存取您的帳號。此外,也應定期檢查一下您網站信箱或社群網站的安全設定,看看您允許了哪些應用程式來存取您的帳號。萬一您看到任何可疑的應用程式,請立即撤銷其存取權限。

以下是一些我們已知 Pawn Storm 曾經用來詐騙一些重要人士的惡意應用程式 (Pawn Storm 也可能使用一些其他的應用程式名稱):

  • Google Defender
  • Google Email Protection
  • Google Scanner
  • Delivery Service (Yahoo)
  • McAfee Email protection (Yahoo)

如需關於 Pawn Storm 的進一步資訊,請參閱:網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動 (Espionage and Cyber Propaganda: A Look into Pawn Storm’s Activities over the Past Two Years)。

 

延伸閱讀:
熟人分享的 Google Docs 連結,瞬間讓帳號被盜用!!與激進駭客組織 Pawn Storm “偽裝 Gmail 的安全通知”手法雷同