针对Spotify的网络钓鱼活动,目标锁定音乐爱好者
时间 : 2018-11-26 编辑 : DNS智能解析专家
AppRiver的安全研究人员发现了针对热门流媒体服务Spotify的网络钓鱼活动。活动于11月初被发现,攻击者使用富有说服力的电子邮件诱骗Spotify用户提供其帐户凭据。
这些电子邮件试图欺骗用户点击网络钓鱼链接,将其重定向到欺骗性网站。一旦进入该网站,用户就会被提示输入他们的用户名和密码,然后使用的密码就会直接进入幕后黑手的存储库。如果受害者在其他重要账户中使用同样的用户名和密码,恶意攻击者则可能成功劫持其相关账号。
攻击者设置的登录页面与真正的Spotify登录页面几乎完全相同,但URL是非法的,“From Address ”域名也并非Spotify的官方域名。
如果受害者点击了攻击者特别设置的“确认账户”按钮,将会将账户设置为紧急通信状态,表示用户可以通过一系列措施解除账户限制。点击该按钮,用户将被重定向到钓鱼页面。
老实说,这个具体的活动并不复杂,大部分用户都很容易发现。专家们发表的这篇文章只有一个目的,那就是分享一个可能欺骗不懂技术的用户的活动信息。
看起来简单的密码组合常常能暴露用户的个人习惯和重要信息,这些信息一旦让攻击者掌握,用户的账号就会岌岌可危。AppRiver的网络安全分析师David Pickett说:“了解某人如何创建密码可以让人窥见他们的密码创建思维方式以及整体攻击成功的可能性,这也为社会工程攻击提供了机会。”
例如,使用像Fluffy84这样的术语可能会告诉攻击者受害者喜欢他们的猫,并且可能在1984年出生 - 以及他们可能用来同样的思维方式创建其他密码。生日信息可以通过在线人数据搜索(Pipl,Wink,PeekYou等)进行验证,并找出他们生命中所有动物的名字和重要日期,社交媒体平台使探索答案变得非常简单而有用。
此外,攻击者可以容易地将所获得的信息输入到密码破解器中以生成用于混合密码攻击的潜在密码。这涉及了许多与目标相关的独特密码可能性,这些信息来自他们生活的特定信息,如果我发现他们喜欢特定的艺术家或主题,他们的Spotify播放列表可能会符合这个等式。诸如John the Ripper和Cain and Abel之类的密码破解软件都是这些攻击的流行工具。
本次网络钓鱼活动本身并不复杂,用户易发现漏洞,但此类活动非常普遍,所以用户仍需提高警惕,注意在各平台切换密码组合方式。
