這是一篇用 專門針對獲取Andriod 手機使用者裝置存取權的攻擊手段做介紹的新聞,主要介紹的是 Telephone-oriented attack delivery (TOAD) ,包含兩種 聲音釣魚(Voice Phishing , Vishing) & 簡訊釣魚(SMS Phishing,Smishing) 攻擊 ,義大利的線上銀行使用者是該類攻擊最早被發現的受害者。
Telephone-oriented attack delivery (TOAD) 是一種透過社交工程手段欺騙受害者安裝帶有木馬後門的惡意軟體以成功遠端存取其手機裝置的攻擊手段。它的作法:首先駭客先獲取目標使用者的電話等聯絡資訊(某銀行網路app的使用者群),然後假裝銀行客服人員打電話告訴受害者其手機有安全疑慮,誤導使用者安裝帶有木馬的惡意軟件app到受害者的Andriod手機,同時該app將要求使用者同意額外的存取權限,如此駭客便取得受害者手機遠端存取控制權,如此一來駭客便可存取受害者手機的online-bank 資訊或操作達成金融詐騙的目的。下圖演示了 TOAD 攻擊的流程:
[圖片來源] The Hacker News
而藉由TOAD 攻擊,可能使 SMS Spy 軟體成功滲透到受害者手機,那是一種可以讓駭客存取到所有受害者手機SMS簡訊包含銀行OTP(One Time Password) code 的間諜程式,該類SMS攔截程式釣魚攻擊又可簡稱 Smishing。(但其實Smishing也是Vishing,只是該惡意軟體目標是存取所有受害者手機簡訊)
目前 TOAD 攻擊手法已經在不同國家的銀行都出現蹤跡,最具代表性的兩大惡意軟體是Copybara及BRATA,他們都是透過電話誘導的方式誘騙Android手機受害者安裝然後讓駭客有機會竊取手機的Bank資訊。
所以目前針對TOAD攻擊最有效的作法就是當接到可疑的銀行或其他公司的客服人員可疑電話時,不要按照期指示下載安裝任何軟體並在掛斷電話後打電話詢問該銀行或公司消息真實性。
[新聞來源] The Hacker News : https://thehackernews.com/2022/10/hackers-using-vishing-tactics-to-trick.html
2022年12月27日 星期二
留言列表
