今年一月份,一个价值为$50,000的twitter账号@N被黑客突袭,通过社会工程学成功盗取(沦陷程度100%,复活率0%)。不过最终高富帅还是战胜了黑客,twitter官方为@N的原始持有者重置了账号。

 

 

twitter刚刚为@N重置了信息后,小编就准备跟大家分享这份近乎完美的社会工程学案例,但令小编差异的是黑客通过社工PayPal和GoDaddy来盗取的twitter账号。,这次的社会工程学手段几乎和twitter账号@jb被盗的手法一模一样。那么我们来看细节吧。


事件还原

1) 信息采集找入手点

首先从记不清是不是19日开始,@N这货在twitter上面一直高调的很,要收集他的信息其实很简单—看完他的推文,我们知道这货是个站长和常用用户名以后,按照惯例查看下whois信息,域名是GoDaddy的,即使得不到站长联系信息,也可以直接查MX记录。

域名的MX记录是解析在Google的,使用的是Gmail的App套件,登陆他的邮服的地址是mail.google,com/a/域名

这里可以猜登录名和防护措施的,甚至是可以日下Web网站后尝试用Web登陆密码来登陆Google的企业邮局。

当然了,高级社和终极社还是有区别的,直接社工密码不如直接换掉身份来的快。

2) 入手点

国内有很多社工IDC客服得到目标站点站长信息或者直接给重置权限的案例,大家觉得碉堡了吗?第一步,联系PayPal客服,通过非常简单的交流,就能得到目标Email的信用卡信息最后4位。

可以说与XXX交易,但是没有收到钱怎样怎样,或者怀疑XXX盗刷信用卡云云,当然前提是英文够好。Facebook是支持Email搜人的,XXX的信息如果再从Facebook、Linkedin搜集一点,呵呵,twitter上面的推文还真多啊。有些人每天在哪吃个饭,和谁谁谁,甚至厕所大便都要发一发。

我是XXX,我住在A市B路C号,我的Email是***,我的生日是???。。。除了密码。

这些信息基本是够黑客申诉的了,不过这里已经说了,我们只需要绑定的信用卡的最后4位数,怎么套出来,大家去试试就知道很容易了。

这部分的失误点在于低估了账号主人的密码安全,以为能猜出来PayPal的登陆密码,当然实际上确实登陆了,但是需要手机短信验证。幸运的是,账号主人在20号那天中午收到短信验证码以后忽略了短信,并且没有检查账号安全。

3) 入手点深入

信用卡的后4位作用在于攻破GoDaddy,电话联系GoDaddy客服,告诉他们我是XXX,我住在A市B路C号,我的Email是***,我的生日是????以后,我的密码忘了,GoDaddy当然后告诉你,我们不需要你上面说的信息,你告诉我你的Email和付款信用卡最后6位数字即可。

我说就是因为我信用卡丢了,所以我才需要重置密码,但是信用卡信息我知道后4位,还有2位我不敢肯定。

想要猜出剩下两位是00-99中的某一个数字其实很容易,反复尝试呗,在接近三四个小时的尝试,最终找到了正确答案。

迅速登陆被重置密码的GoDaddy账号以后,立刻变更信用卡信息,将原有的信用卡信息清除。

这一步的败笔在于GoDaddy重置账户信息后会发送Email给账户原有者。

4) 迅速攻陷

GoDaddy账号被盗取以后,厂商允许账户原持有者给GoDaddy提供ID、驾照、护照等政府颁发的带照片的证件,以及关于账户的一些原始信息后,人工申诉找回账户,但是时间可能会持续48小时左右。

时间紧迫,为攻陷Twitter账号,直接将域名的MX记录重置到。。。嘿嘿嘿。

域名MX重置有生效时间,不断的重置twitter密码后,大概在几个小时的时间才收到的重置密码Email。重置信按3小时发一次,2小时一次,1小时一次,每次45分钟连续发5次,后续每20分钟发一次,20次后仍不生效就必须考虑是不是MX记录重置失败的问题了。不过幸运的是,在大约四次以后就收到信了。

至此账号收入囊中,迅速变更所有能变更的一切信息,姓名、密码、Email、生日、地址、信用卡信息。

这一步时间紧迫,因为不知道MX重置什么时候生效,所以需要不断发重置信,原始的Google企业邮箱会收到没生效时的重置信。

5) 持续性社工和敲诈

从攻击开始到包括完成这一步,攻击的连续性必须非常强。

控制了GoDaddy账户以后,网站权限也很容易上手,不要轻易改变它,但可以从数据库开始下手,比方说常用密码之类的收集一下,在网站放个webshell埋个无特征一句话顺手把ftp密码之类的读一读。当然了,这些都是可有可无的。

使用常用密码直接登陆Facebook,了解一下朋友圈和身价,发条Facebook短消息证明“Twitter账号已经交易送人”之类的自娱自乐一下也可以。最后挂个VPN再上个3389,发Email勒索一下,最后呵呵。

6) 小编总结

物理需求(A):3389肉鸡一枚,有root权限(可架mail服务器)VPN两枚,ATT不记名手机卡一张,美国商店$50一次性不记名信用卡一张

文理需求(B):姓名、生日伪造出另外一个身份,一次性网名,临时注册Email,一次性Facebook或Twitter账号

生理需求(C):耐心,经验,英语词汇和口语,社工学和心理学

if(!handle(twitter)){A + B +C = $50,000}

最终twitter官方于昨日为@N重置了账户。

//silic.wiki