一场针对中东地区高端用户的网络攻击通过 WhatsApp 发送恶意链接,诱骗受害者在虚假的 Gmail 登录页面输入密码和两步验证码。该攻击不仅旨在窃取谷歌账户凭证,还通过滥用 WhatsApp 的设备关联功能来劫持账户,从而可能获取受害者的实时位置、照片和音频。尽管攻击者的服务器意外暴露,揭示了包括学者、官员和企业高管在内的多名受害者,但其背后主使尚不明确,可能是与伊朗政府有关的间谍活动,也可能是出于经济动机的犯罪行为。
攻击如何运作
攻击者通过 WhatsApp 向目标发送一个看似无害的链接。这个过程利用了多种技术来欺骗用户并窃取信息。
- 动态 DNS 掩盖真实地址: 攻击者使用动态 DNS 服务(如 DuckDNS)来隐藏钓鱼网站的真实服务器位置,使其链接看起来更可信。
- 伪造登录页面: 点击链接后,受害者会被导向一个仿冒的 Gmail 登录页面。该页面会记录下用户输入的所有信息,包括错误的尝试,实际上充当了一个键盘记录器。
- 窃取两步验证码: 在用户输入密码后,钓鱼网站会提示输入发送到手机的两步验证(2FA)码。一旦输入,攻击者就能完全接管 Gmail 账户。
- WhatsApp 账户劫持: 某些情况下,链接会打开一个带有二维码的虚假 WhatsApp 页面。如果用户扫描此二维码,攻击者就能将受害者的 WhatsApp 账户关联到自己的设备上,从而获取所有聊天记录和联系人信息。
这是一种早已为人所知的攻击技术,它滥用了 WhatsApp 的设备关联功能,过去也曾被用来攻击 Signal 等即时通讯应用的用户。
攻击者的目标:窃取凭证与实施监控
这次攻击的主要目的有两个:窃取敏感账户凭证和对目标进行持续监控。
- 凭证盗窃: 攻击者成功获取了数十名受害者的 Gmail 用户名、密码和两步验证码。
- 实时监控: 钓鱼页面的代码被设计用于向浏览器请求权限,以获取用户的敏感数据。
- 地理位置: 一旦用户授权,页面会立即将设备的 GPS 坐标发送给攻击者,并每隔几秒钟持续更新。
- 照片与音频: 该代码还允许攻击者利用设备摄像头每隔三到五秒拍摄照片并录制音频。
受害者身份:从学者到政府高官
由于攻击者的服务器未设密码,其数据意外暴露,从而揭示了部分受害者的身份。这个名单表明,此次攻击并非随机,而是针对特定人群。
- 一名从事国家安全研究的中东学者。
- 一家以色列无人机公司的负责人。
- 一名黎巴嫩的高级内阁部长。
- 至少一名记者以及部分美国用户。
受害者数量虽然不多(已知少于50人),但他们的身份表明攻击者对伊朗侨民、库尔德社区以及中东地区的关键人物具有浓厚兴趣。
谁是幕后黑手?
关于攻击者的身份,目前存在两种主要推测,但没有定论。
猜测一:国家支持的间谍活动
这种攻击手法和目标选择与国家行为体,特别是伊朗伊斯兰革命卫队(IRGC)的特征高度吻合。
安全研究员加里·米勒(Gary Miller)表示,这次攻击“当然具有与伊斯兰革命卫队相关的鱼叉式网络钓鱼攻击的特征”,他指出了其国际化的目标范围、凭证窃取手法以及对 WhatsApp 等流行平台的滥用。
对于一个政府而言,获取政治家或记者的电子邮件可以下载机密信息,了解他们与谁沟通以及讨论什么内容,这在伊朗信息封锁的背景下尤其有价值。
猜测二:出于经济动机的犯罪分子
另一方面,一些证据也指向了以牟利为目的的网络犯罪。
- 域名注册模式: 与该攻击相关的域名注册模式显示,其基础设施在抗议活动开始前几周就已经建立,这与一些以经济为目的的网络犯罪活动相似。
- 潜在的勒索价值: 窃取公司高管的账户可用于盗窃商业机密,或通过重置密码来洗劫其加密货币和银行账户。
不过,对受害者进行位置和音视频监控对于纯粹的经济犯罪来说并不常见。一种可能性是,伊朗政府将网络攻击外包给了犯罪团伙,以掩盖其官方参与的痕迹。无论动机如何,此类攻击都凸显了一个简单的安全原则:不要点击任何来路不明的链接。