警告 – 新型政府间谍活动:OAuth Phishing

  • OAuth Phishing 是什么?它如何导致传统的安全培训中指导的识别方法在此失效?

国际特赦组织的最新调查发现,可能源于政府机构支持的数字攻击浪潮从2019年1月初开始,涉及多次针对几个著名的埃及人权维护者、媒体和民间社会组织工作人员的电子邮件帐户。

这些攻击似乎是更广泛战略的一部分,发生在埃及政府不断加剧的镇压之中。由于已经确定了目标的身份、这些攻击的时间、它们的明显协调、以及 Google 发送的国家支持的攻击的通知,得出的结论是,这些攻击最有可能是由埃及当局或代表埃及当局的组织实施的。

近年来,埃及当局一直在通过对非政府组织的持续刑事调查和压制性的法律来骚扰民间社会并破坏结社和言论自由。当局一直在调查数十名人权维护者和非政府组织工作人员,将“获得外国资金”作为定罪的理由。如果被定罪,他们中的许多人可能会面临被监禁。

调查法官还下令对至少31名非政府组织工作人员实施旅行禁令,并冻结10名个人和7个组织的资产。与此同时,当局还关闭了 El Nadeem 暴力受害者康复中心,并继续拘留人权维护者 Ezzat Ghoniem 和 Hisham Gaafar,他们分别是埃及权利和自由协调组织的媒体研究人员。

此次网络钓鱼攻击活动中针对的个人和组织名单与公民实验室和埃及个人权利倡议组织(EIPR)在2017年披露的名为 Nile Phish 的旧版网络钓鱼攻击浪潮中的目标明显重叠。

大赦国际深感关切的是,这些网络钓鱼攻击是当局扼杀埃及民间社会的又一次尝试,并呼吁埃及当局结束对人权维护者的这些攻击,停止打击民间社会,包括废除非政府组织法。

自2019年1月以来,一些来自埃及的人权维护者和民间社会组织开始向国际特赦组织转发数十封可疑电子邮件。调查发现,这些电子邮件试图通过一种特别隐蔽的网络钓鱼形式(称为 OAuth 网络钓鱼)访问其目标的电子邮件帐户。估计目标个体的总数大约为几百个。

这些攻击恰逢该国发生的一系列重大事件。在埃及1月25日起义八周年之际,由于前总统胡斯尼·穆巴拉克在执政30年后被解职,调查总共记录了11起针对非政府组织和媒体集团的网络钓鱼攻击事件。

1月28日和29日,法国总统埃马纽埃尔马克龙访问开罗期间袭击再次发生,这次攻击于1月29日达到顶峰,当时马克龙会见了埃及四个著名的非政府组织的人权维护者。

后来,在2月的第一周,几个媒体组织也成为了这场数字攻击活动的一部分; 他们正在报道议会刚刚正式启动的修改埃及宪法的过程。

这些袭击都具有相同的标志,似乎是一个协调的运动的一部分,以监视、骚扰和恐吓他们的目标。尽管明确攻击者是困难的,但从埃及选择性地瞄准人权维护者来看,尤其是伴随特定政治事件,表明目前的数字攻击浪潮在政治上而不是在经济上是有动机的。

并且此次攻击的多个目标收到了谷歌发出的官方警告,警告“政府支持的攻击者正在试图窃取您的密码”。

这些因素加强了对国家支持的骇客行为的怀疑,进一步加剧了对埃及民间社会的寒蝉效应,并使那些批评政府的人保持沉默。

传统的网络钓鱼攻击试图通过创建例如谷歌或 Facebook 的登录页面的虚假克隆来欺骗目标提供其密码。如果目标被成功引诱输入了密码,则攻击者会“窃取”其凭据并可以重复使用这些凭据来访问其电子邮件帐户。

通常,这种网络钓鱼攻击可以通过使用两步验证程序来防止,例如目前大多数主流平台提供的程序,或验证程序应用程序,甚至更好的是安全密钥。

但是,在埃及记录的此次网络钓鱼活动中,攻击者利用了一种简单的但鲜为人知的技术,通常称为 OAuth 网络钓鱼。OAuth Phishing 滥用合法的登录提示,旨在诱骗目标在可疑的网站上输入密码,而不是滥用包括 Google 在内的许多在线服务提供商的合法功能,允许第三方应用程序直接访问帐户。例如,合法的外部日历应用程序可以请求访问用户的电子邮件帐户,以便自动识别和添加即将发生的事件或航班预订。

通过 OAuth 网络钓鱼,攻击者可以制作恶意的第三方应用程序,这些应用程序伪装成不会引起受害者的怀疑。

以下逐步了解这些攻击的工作方式,以及人们可以更好地保护自己免受这类攻击的具体方法。

第一步 — — 在下图所示的最常见情况下,该电子邮件模仿 Google 发出的安全警告,并要求目标将“Secure Email”应用于其 Google 帐户。

第二步 — — 单击“立即更新我的安全性”按钮将指向启动由攻击者命名为“安全邮件”的恶意第三方应用程序 OAuth 授权过程的页面。

第三步 — — 此时,目标被要求登录 Google 或选择现有的登录帐户。

第四步 — — 现在要求目标明确授权恶意“安全电子邮件”第三方应用程序访问其电子邮件帐户。虽然此授权提示确实包含来自 Google 的警告,但可能会被忽略,因为用户已被指示来自 Google 的合法电子邮件。

第五步 — — 单击“允许”按钮后,恶意“安全电子邮件”应用程序将被授予对目标电子邮件帐户的完全访问权限。攻击者可以立即阅读电子邮件的内容,并将受害者定向到真正的 Google 帐户设置页面,这进一步减少了目标对他们成为欺诈性攻击受害者的怀疑。

除了谷歌之外,攻击者还利用类似的策略对付雅虎、Outlook 和 Hotmail 的用户。

OAuth 网络钓鱼可能很难识别。通常,面临风险的个人的安全教育不包括对这种特定技术的提及。人们通常会接受培训,通过在浏览器的地址栏中查找可疑域名并启用双因素验证来阻止网上诱骗。但是,这些方法对 OAuth 网络钓鱼完全无效,因为受害者实际上是通过合法的网站直接进行了身份验证。

如果您是活动家、人权维护者、记者或其他任何关注此类攻击的人,那么每当您被要求在您的帐户上授权第三方应用程序时,请务必保持警惕。

有时,检查帐户的安全设置并检查授权的外部应用程序是一项很好的练习。在这种攻击的情况下,恶意安全电子邮件应用程序将显示为合法,如下图所示。

于是,您可能还需要考虑撤消对您无法识别或可能已停止使用的任何其他授权应用程序的访问权限。

如果您收到过本报告中描述的可疑电子邮件或其他形式的可疑针对性攻击,请联系 [email protected]

Phishing attacks using third-party applications against Egyptian civil society organizations. in this phishing campaign we have documented in Egypt, the attackers instead leverage a simple but less known technique generally called OAuth Phishing.

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据