賽門鐵克：簡訊詐騙電子郵件驗證碼簡單又有效，小心被騙！

現代人使用各式各樣的網路服務，我們有時會遇到忘記某個服務所設定的密碼，以Gmail為例，只要按下忘記密碼，就能請Google協助恢復用戶密碼。

其中一個恢復 ... 移至主內容 按讚加入iThome粉絲團 文/蘇文彬 | 2015-06-24發表 賽門鐵克發佈資安警訊，網路攻擊者利用簡訊詐騙手法，假冒電子郵件服務商（例如Gmail）傳送簡訊給受害者，騙取電子郵件帳號碼證碼，簡單又有效。

賽門鐵克表示，生活中一些簡單的詐騙手法反而最為有效，像是假冒警察要求受害者交出車鑰匙，受害者通常在信任權威下交出鑰匙。

相同的手法應用在網路攻擊，詐騙簡訊就成為簡單又有效的工具，Gmail、Hotmail及YahooMail等電子郵件服務都可能成為被假冒的對象。

現代人使用各式各樣的網路服務，我們有時會遇到忘記某個服務所設定的密碼，以Gmail為例，只要按下忘記密碼，就能請Google協助恢復用戶密碼。

其中一個恢復密碼的方式是Google向用戶手機發送驗證碼簡訊。

攻擊者只要知道受害者的電子郵件及手機號碼（在生活中不難取得），在Gmail登入頁面上輸入郵件地址，點選忘記密碼後輸入被害者的手機號碼，該用戶就會收到Google發出的驗證碼簡訊。

↓Gmail登入頁面下方的「需要協助嗎？」對忘記密碼用戶而言可說是救星，只要輸入Gmail信箱帳號，選擇手機SMS簡訊發送暫時登入驗證碼，就能重新設定信箱密碼。

這時攻擊者只要模仿Google系統發送簡訊，例如「Google監測到您的帳戶出現未經授權的行為。

請回復您在手機上收到的驗證碼，以終止未經授權的活動。

」，或是「我們仍然監測到有人未經授權登錄您的帳號。

Google已通過簡訊重新發送驗證碼：請回復驗證碼以確保您的Google帳戶的安全」，設法取信於受害者要求其回覆所收到的驗證碼，只要受害者上當，依指示回覆驗證碼，攻擊者就能登入別人的電子郵件信箱。

攻擊手法如下： 攻擊者先取得鎖定對象的電子郵件及手機號碼。

在Gmail電子郵件登入頁面點選忘記密碼，輸入受害者的手機號碼。

受害者收到由Google系統發出的驗證碼簡訊，在這同時攻擊者假冒Google名義發送詐騙簡訊，要求受害者回覆驗證碼。

攻擊者利用受害者回覆的驗證碼登入其電子信箱，設定所有郵件轉發第三方信箱，監控受害者的電子郵件內容，作為其他攻擊的準備。

賽門鐵克指出，這類攻擊的目的並非在取得信用卡資料等經濟利益，主要是要蒐集鎖定對象的資料，例如將受害者信箱設定所有收到的郵件轉發到另一個信箱，從而掌握該用戶所有的信件內容，可能用於APT進階持續攻擊。

和傳統的釣魚手法相比，簡訊詐騙的成本低而且簡單有效，攻擊者不易被追查，除非使用者在行動裝置上安裝軟體或電信業者協助追查。

不論詐騙攻擊手法有何變化，破解之道都在於用戶必需具有高度的警覺心，以此攻擊手法為例，賽門鐵克建議受害者在自己沒有申請的狀況下，收到向你索取驗證碼的陌生簡訊應保持高度懷疑，向電子郵件服務商確認。

另外，用於恢復密碼的驗證碼簡訊只會發送給用戶，服務商不會向用戶傳送簡訊要求回覆驗證碼。

從這項手法的攻擊原理來看，不只可用於電子郵件，也可能用在其他同樣以簡訊協助用戶恢復密碼的服務，擴大網路攻擊的範圍。

事實上，刑事局在今年4月發出警告，有民眾向165專線檢舉收到假冒Google名義，以偵測到Gmail異常登入為由所發送的釣魚郵件，騙取受害者Gmail的帳號及密碼。

熱門新聞 從網路上複製/貼上命令列要小心遭駭 2022-01-04 惡意軟體鎖定iLO韌體以刪除HPE伺服器資料，升級韌體也無法防堵 2022-01-04 英特爾向蘋果下戰帖：12代14核心的Corei9效能超越M1Max 2022-01-06 京都大學超級電腦備份錯誤，損失77TB資料 2022-01-03 微軟緊急修補造成WindowsServer遠端桌面無法連線、效能下降的臭蟲 2022-01-05 微軟內部部署ExchangeServer含有無法寄出郵件的2022年臭蟲 2022-01-03 WFH打破企業網路邊界，Cloudflare認為WAN已死、零信任安全模型興起 2022-01-04 趕在2021年結束之前，金管會正式要求臺灣上市櫃大型企業都需設置資安長，讓此要求擴及各類傳產與電子產業 2021-12-30 Advertisement 2021iThome鐵人賽 專題報導 展望後疫2022，CIO必看10大趨勢 醫院資安長的必要性 AWS2022新戰略 臺灣製造！世界第一物件偵測AI Nvidia2022新戰略 更多專題報導