Spotify的网络钓鱼者针对音乐爱好者账户的攻击

研究人员已经发现了一个带有迷惑诱饵的Spotify网络钓鱼活动，试图获得流行的流媒体服务的用户凭据。

本月初，AppRiver的研究人员发现了一项旨在利用伪造 、劫持所有者帐户为目的的电子邮件来破坏Spotify客户的活动。

这些电子邮件试图欺骗用户点击网络钓鱼链接，将其重定向到欺骗性网站。一旦进入该站点，用户就会被提示输入他们的用户名和密码，在那里它会直接进入坏人的妥协事件存储库。



显然，如果受害者在其他更高价值的网站（如网上银行）上重复使用凭据，则凭据可能会很有用。然而，除了暗网上销售凭证之外，“只知道一个受害者的密码就会打开大量攻击媒介的大门，”AppRiver的网络安全分析师David Pickett告诉Threatpost。

“了解某人如何创建密码可以让他们个人一瞥他们的密码创建思维方式，最大程度提高整体攻击成功的可能性，”他说。“这也为社会工程提供了机会，使用对受害者来说很重要的相同信息。”

例如，使用像Fluffy84这样的关键词可能会告诉攻击者受害者喜欢他们的猫，并且可能在1984年出生 - 以及他们可能用来创建其他密码的格式。

“生日信息可以通过在线人数据搜索（Pipl，Wink，PeekYou等）进行验证，并找出他们生命中所有动物的名字和重要日期，”他说。“社交媒体平台使这次侦察变得非常简单和有价值。”

此外，可以容易地将所获得的信息输入到密码破解器中以生成用于混合密码攻击的潜在密码。

“这使用了许多与目标相关的独特密码可能性，这些信息来自这些特定于他们生活的信息，”皮克特告诉我们。“如果我发现他们喜欢特定的艺术家或主题，他们的Spotify播放列表可能会符合这个等式。诸如John the Ripper和Cain and Abel之类的密码破解软件是这些攻击的流行工具，但还有很多其他软件。“

在这种情况下，电子邮件和网络钓鱼网站都非常有说服力 - 但有关于潜伏在他们身后的危险的线索。例如，电子邮件的“发件人”地址显然不合法，URL也不存在，这两个域都与官方spotify.com无关。




“攻击者设置了一个伪装的登录页面，看起来与实际的Spotify登录页面相同，”AppRiver的研究人员在本周的一篇文章中表示。“但是，他们无法隐藏网址浏览器中的实际网址。”

此外，如果用户将鼠标悬停在显示“确认帐户”的绿色按钮上，则可以预览URL，这显然不会将访问者带到官方Spotify页面。

虽然这种欺骗合法服务的攻击非常普遍，但每天都会发生这种情况。Pickett补充说，网络钓鱼电子邮件可以在复杂程度上实现 - 这一点落在中等范围内。

“攻击技能很少的攻击者——他们仍在与精通不太精通的用户打交道，否则他们就不会尝试很多新奇、可笑的攻击”，皮克特告诉Threatpost。“另一方面，有一些攻击者在仔细检查后会有大量时间和工作涉及他们的知识，技能和经验。这些通常是APT级攻击，是有组织的网络犯罪团体和国家支持的攻击者。“

他还说，具有最多技能的攻击者知道并理解机器学习算法，这可能会标记来自合法服务的克隆消息。例如，当前通过响应用户之前与已知联系人进行的合法对话来实现此攻击的Gozi / Ursnif / Dreambot恶意软件。

“他们基于这项技术发展自己的攻击，”他说。“从合法来源伪造起源和邮件标题信息要困难得多，但是，通常会绕过发件人验证检查。”