想要入侵電子郵箱,知道手機號碼就行

責任編輯:editor005

作者:明明知道

2015-06-23 13:48:33

摘自:FreeBuf

知名安全公司賽門鐵克(Symantec)發(fā)出警告,有一個精裝騙局能夠獲取用戶電子郵箱,其中包括了Gmail、Outlook(微軟自帶管理郵件軟件)及Yahoo。)

知名安全公司賽門鐵克(Symantec)發(fā)出警告,有一個精裝騙局能夠獲取用戶電子郵箱,其中包括了Gmail、Outlook(微軟自帶管理郵件軟件)及Yahoo。

精裝騙局輕松獲取電子郵箱,有手機號碼就行

  黑郵箱,有手機號碼就行

下面這段來自賽門鐵克迷你視頻將解釋騙局是如何進行的。

之所以說這是一個迷你視頻,是因為它確實只有2分17秒。但顯然賽門鐵克認為觀眾只有金魚的注意力,所以還特地添加了動感的背景節(jié)奏,防止你在這兩分多鐘內睡過去。

視頻

如果你無法忍受視頻當中的“音樂”,那么就讓小編來為大家講解一下。這是一個只需要知道手機號和電子郵件賬戶就可以黑進郵箱的方法。

小花與大黑的故事

舉例中,我們將假設攻擊者試圖入侵一個名叫小花的受害者Gmail賬戶。

小花使用手機號碼注冊了Gmail郵箱,因此當她不記得密碼時谷歌會給她發(fā)送一條短信,其中包含一個援助驗證碼,憑借驗證碼她就可以訪問自己的郵箱賬戶。

精裝騙局輕松獲取電子郵箱,有手機號碼就行

這時,有一個壞人——我們暫時稱他為大黑——迫切渴望進入小花的電子郵箱,但是大黑并不知道小花的郵箱密碼。然而,他知道小花的電子郵箱及電話號碼。

于是,大黑訪問了Gmail登錄頁面,輸入了小花的電子郵箱地址。此時,因為他并不知道密碼是什么,他仍然無法進入小花的郵箱。

然后他邪惡地點擊了“需要幫助嗎?”鏈接,通常使用者都是忘了他們的密碼才進入這里。

想要入侵電子郵箱,有手機號碼就行

大黑在這里選擇了“發(fā)送一條驗證碼到我手機上:[ x手x機x號x碼x ]”,從而小花手機會收到一條包含六位數(shù)驗證碼的信息。

氣氛開始變得詭異起來。

此時,大黑冒充谷歌發(fā)送了一條短信,內容是這樣的:

“谷歌發(fā)現(xiàn)你的賬戶存在不正常的活動。請將收到的驗證信息發(fā)送過來,用以阻止未經授權的活動。”

想要入侵電子郵箱,有手機號碼就行

高潮來了:對此信以為真的小花將谷歌發(fā)送來的驗證碼發(fā)給了大黑。(真是令人發(fā)指!)

大黑成功獲得驗證碼之后,便可重設一個臨時密碼從而進入了小花郵箱。

想要入侵電子郵箱,有手機號碼就行

如果大黑繼續(xù)查看小花的電子郵件,同時在可以預見的未來不引起她的懷疑,小花郵箱會收到一個密碼已重置的郵件,但郵箱已在小黑的控制之下。此時小黑發(fā)送短信給小花,內容如下:

“感謝你驗證了你的谷歌賬戶。你的臨時密碼是(臨時密碼)。”

即使小花遲些時候再次修改了自己的郵箱密碼,大黑仍然可以收到她的郵件,除非小花仔細查看了自己的賬戶設置。(直覺告訴我,她不會。。。。。。)

騙子沒有看上去那么笨

簡而言之,這是一個社會工程學手段。聰明如你可能不會中招,但是你不能保證你身邊的朋友不會落入陷阱。

我們常常奇怪,為什么手機常常收到那些拙劣的詐騙短信,騙子為什么固執(zhí)于這么愚蠢的方式行騙?你需要明白這個成功的概率不可能等于0,而且可能比0.01%更高,騙子唯一需要做的就是竭盡所能地擴充基數(shù),而詐騙成本卻并不會因此而飆升。

那么,這個問題該怎么解決呢?

最簡單的建議就是慎重對待可疑短信,特別是詢問你驗證碼信息的(如果你并沒有發(fā)送驗證請求)。

我仍然好奇有多少人在面對這一貌似從谷歌或者雅虎發(fā)出的消息時,他們會不顧后果地立刻采取行動。畢竟,在這樣的一個時代,很多人最大的擔憂之一就是他們的郵件安全了。

QQ郵箱并不受此影響

鑒于大多數(shù)人有使用QQ郵箱的習慣,所以我們測試了一下QQ郵箱的忘記密碼功能。結果發(fā)現(xiàn)QQ郵箱竟然智慧地要求用戶自主發(fā)送特定短信到指定號碼,避免了前文的種種情況。

想要入侵電子郵箱,有手機號碼就行

  而另一個熱門163郵箱,則沒能幸免,使用還是很容易被模仿的短信驗證碼。

想要入侵電子郵箱,有手機號碼就行

想要入侵電子郵箱,有手機號碼就行

珍愛隱私,請認真保護你的郵箱信息!

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號