钓鱼家谱网站:社交工程攻击的奥德赛之旅

本文深入分析了家谱网站Family Tree Now的安全隐患,探讨了其如何被用于社交工程攻击,包括数据收集、钓鱼邮件构造和攻击实施,揭示了免费服务背后的数据隐私风险。

钓鱼家谱网站:社交工程攻击的奥德赛之旅

您可能听说过一个名为Family Tree Now的新家谱工具。它是一个(看似)100%免费的工具(稍后会详细说明),允许您仅通过输入姓名即可枚举您的家谱。虽然它可能很有用——特别是如果您喜欢家庭聚会、正在做学校项目或试图寻找亲戚——但问题在于,您并不是唯一可能发现它有用的人。就像任何事物一样,它可以被用作工具或武器。就像锤子一样,其用途取决于意图。以下是我对该资源的分析和应用。

我的分析

我浏览了Family Tree Now网站,并分析了各种政策,以了解它们的运作方式和目标。在“关于”部分,他们以模糊的术语谈论公司和文化。这感觉像是营销炒作,所以我没有花太多时间在那里。

条款与条件

在条款与条件(T&C)部分,它讨论了网站的授权和未授权用途。这对我来说很奇怪,因为他们不需要任何身份验证来锁定用户,除了可能阻止滥用IP地址的能力。在T&C中,有一个条款授予Family Tree Now对输入系统的任何数据的版权,这实质上允许他们对您的家庭数据拥有版权。

在使用方面,T&C概述如下:

  • 仅用于适当、合法的目的,并遵守所有适用的联邦、州和地方法律法规
  • 获得联邦、州或地方法律法规要求的任何和所有必要的许可证、证书、许可、批准或其他授权,以规范您对服务的使用
  • 不以可能对任何人造成情感或身体伤害的方式使用服务,或“跟踪”或以其他方式骚扰他人
  • 不以任何方式使用服务寻求关于未成年人的信息或伤害未成年人
  • 不以使用服务寻求关于名人或公众人物的信息
  • 不以使用服务推广或提供关于非法活动的指导信息,或推广对任何群体或个人的身体伤害
  • 未经我们事先书面同意,不得转售您从服务获得的任何信息(他们不喜欢竞争)
  • 采取合理步骤确保您从服务接收的信息以安全方式存储

隐私

简而言之,他们通过账户注册、与功能/特性的交互、“cookie和其他技术收集您的IP地址、设备标识符、浏览器类型、操作系统、移动运营商和您的ISP,并接收您从哪些网站到达我们网站的URL”,以及与第三方网站的交互来收集信息。这是一个非常广泛的收集活动。回到整个“产品是什么/谁”的辩论。

该网站承认使用数据来管理您的账户、定制服务、创建和分发与您的体验相关的广告、通过电子邮件向您发送促销通信、用于内部业务目的、分析趋势和统计数据、用于审计/确定促销活动的有效性、保护应用程序和业务的安全性或完整性,并在必要时与您联系。

总结您可以做什么:审查和编辑信息、控制消息和关闭您的账户。注意术语是“关闭”,而不是“删除”。我猜他们忘记了Ashley Madison。

我不是律师,也没有正式的法律培训或专业知识,但这听起来像是我们是产品。对于收集的数据安全,几乎没有规定,这对于这类网站来说是合乎逻辑的。这就是不需要支付或身份验证等进入障碍的模型的问题。

货币化

货币化在隐私政策中 addressed。讽刺吗?并不真的。如果您不为服务或产品付费,通常您就成为产品。有时即使您付费也是如此,所以不要让那个方面欺骗您。Michael Bazzell经常在Complete Privacy & Security Podcast上与Justin Carroll谈论这个问题。

OSINT角度

这显然是一个OSINT宝库。它包括许多可能敏感的信息。它在互联网上公开可用——最好的是,它是免费的。唯一的问题是没有API,并且根据T&C,不允许自动收集。从这里,攻击者可以确认现有数据或确定可能的关系来检查。这可以使攻击者使用不同的向量和角度渗透目标的内圈。

社交工程角度

我一直说,家谱网站是黑客在尝试社交工程超越*ishing和尝试重置密码时的最好朋友。我过去常常引用Ancestry.com或Genealogy.com作为家庭导向攻击的顶级线索,Facebook紧随其后排名第三。您不能让妈妈或奶奶停止发布那些尴尬的照片并给出叙述,对吧?在过去的几个月里,我已经将后挡风玻璃上的贴纸家庭和现在的Family Tree Now添加到我的武器库中,作为第1和第2名。

那么,我们可以用从Family Tree Now收集的信息在社交工程攻击中做什么?这是一个近乎无限的列表。与大多数(如果不是所有)渗透测试和社交工程参与一样,时间是限制因素。如果您有足够的时间,您可以成功地对任何人进行社交工程。以下是我使用Family Tree Now构思的一个场景:

我使用Social Engineer Toolkit克隆了网站。

结果网站在这里

注意它与真实网站的区别:

在这一点上,我“触发”了钓鱼电子邮件。注意这不是最好的电子邮件,但也不是最差的。

点击验证后,受害者会看到这个:

如果他们选择退出,他们会到这里:

点击电子邮件顶部的链接,他们只会看到登陆页面(如上)。

如果他们提供任何信息或点击任何链接,他们最终会得到一个“有效载荷”。

无论他们做什么,我都在记录日志数据(这也记录了他们提供的任何输入)

结论

总之,我概述的攻击向量并不是Family Tree Now独有的。攻击的时机是我觉得有趣的原因。因为该网站预计会要求亲密和个人信息,最终访问该网站的人更倾向于点击这样或那样。没有API从网站的角度减慢了攻击速度。我觉得如果需要身份验证和/或支付,这将更不是问题。我一直在赞扬使用Ancestry.com。

这与使用IntelTechniques或OSINTFramework收集目标的OSINT并没有太大不同。这与社交媒体也没有太大不同。这将作为一个优秀的工具来验证和确认已经收集的数据,并且当与社交工程攻击结合时,任何数据收集和有效载荷交付的成功率都会放大。

__ *客座文章来自Joe Gray, CISSP-ISSMP, GSNA, GCIH Joe Gray高中毕业后直接加入美国海军,担任了七年的潜艇导航电子技术员。Joe是田纳西州诺克斯维尔Sword & Shield Enterprise Security的企业安全顾问。Joe还维护自己的博客和播客——Advanced Persistent Security。他还在SANS讲师发展管道中,教授SANS Security 504:黑客工具、技术、漏洞和事件处理。在业余时间,Joe喜欢阅读与信息安全相关的新闻,参加信息安全会议,为各种媒体贡献博客,低音钓鱼和飞行他的无人机。在Twitter上关注他,并在LinkedIn上查看他的个人资料。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次