爱彼迎(Airbnb)在全球10万个活跃城市拥有超过700万个房源,为广大游客提供了价位合理、环境舒适的住宿,但超旺的人气也使其容易受到网络犯罪分子、欺诈性房东、虚假帐户及其他骗局的攻击。
本文便着重探讨了网络犯罪分子如何利用爱彼迎及其用户。
走近窃取器的世界
为了了解网络犯罪分子在如何利用爱彼迎,明白他们用来未经授权访问帐户的方法至关重要。
网络犯罪分子经常使用一种名为“窃取器”(stealer)的恶意软件来获取用户名和密码等信息,这类窃取器其实是一种恶意软件,渗入设备,并将窃取的数据(又名为日志)传输给攻击者。日志通常被发送到服务器,但在一些情况下,日志也可以通过电子邮件和Telegram等安全聊天程序来加以传送。
窃取器可以通过各种不同的技术加以部署,包括社会工程、利用软件漏洞和恶意广告等技术。
此外,还有一个地下市场,网络犯罪分子可以在这里大量买卖设备访问权限(又叫机器人程序、安装件或感染)。
图1. 该截图显示了网络犯罪分子在论坛上出售机器人程序
愿意花钱的网络犯罪分子可以联系机器人程序卖家或商店,立即开始在成千上万个设备上部署窃取器。
图2. 该截图显示了在一个臭名昭著的网络犯罪论坛上可售的不同窃取器
窃取器可以入侵大多数浏览器,主要目标是网络应用程序的帐户信息。日志通常遵循特定的格式,这包括多列,其中的一行行数据含有各种信息,比如姓名和信用卡或借记卡详细信息等。除了获取登录凭据外,窃取器还可以泄露cookie。
cookie的重要性
cookie是存储在用户设备上的小小的数据文件,其中含有关于用户在特定网站上浏览活动和访问偏好的信息,网络犯罪分子经常在各种在线论坛上窃取、购买和出售爱彼迎帐户的cookie。这样一来,他们就可以暂时访问爱彼迎帐户,不需要相关的用户名和密码。
图3. 该截图显示了网络犯罪论坛上的一个用户试图购买爱彼迎cookie
比如说,网络犯罪分子可以从受攻击帐户购买被盗的爱彼迎cookie数据库,将cookie加载到浏览器中,并访问受害者的帐户。有了这种非法访问权限,他们可以冒充真实用户,预订房源或执行其他未经授权的操作,而不会引发任何警报。然而需要注意的是,大多数会话cookie很快就会过期,因此网络犯罪分子必须在会话过期之前迅速采取行动。
有利可图的服务
一旦网络犯罪分子获得了用户帐户信息或获得窃取的cookie,他们的下一个目标通常就是从这些数据中牟利,一种标准的方法是直接向其他网络犯罪分子出售受攻击帐户的信息或被盗的cookie。
这可以通过在在线论坛上打广告来实现,也可以通过将一行行数据上传到为这类交易提供便利的热门商店来实现。
图4. 该截图显示了一家大受欢迎的网络犯罪商店出售爱彼迎帐户
在写这篇博文的时候,在上面提到的那家数字商店上有成千上万个爱彼迎帐户可供购买,令人震惊的是,大量被盗的帐户使每个帐户的价值缩水至区区1美元。
实际上,爱彼迎帐户被盗的规模非常庞大,以至于攻击者出售“帐户检查器”,这种自动化程序可以快速测试位于某个文本文件中的爱彼迎帐户。
图5. 该截图显示了为爱彼迎帐户检查器所打的广告
这些帐户检查器背后的概念比较简单。攻击者可以将一个含有大量被盗凭据的文本文件加载到检查器中,验证哪些凭据有效、哪些凭据无效。一些检查器还可以执行特定的操作,比如预房源。
网络犯罪分子还提供服务,为爱彼迎预订提供高达50%的折扣。
图6. 该截图显示了一项服务对爱彼迎的所有预订提供50%的折扣
很明显,这类服务有利可图,因为论坛上宣传这些服务的帖子已经收到了数以万计的浏览量和数以百计的回复量。
总而言之,网络犯罪分子已经发现了利用爱彼迎从事欺诈活动的各种方法,通过使用窃取器和被盗的cookie未经授权访问用户帐户。然后,这些泄露的信息被卖给其他网络犯罪分子,或者被用来向买家提供折扣服务。被盗帐户的规模相当大,数字商店里已有成千上万爱彼迎帐户,以低至1美元的单价就能买到。
我们必须意识到风险,并采取必要的预防措施,以保护个人信息免受此类网络威胁。