- 仅通过滥用密码重置选项和使用公开可用信息就可以有效地进行暴力破解 ——
 本文介绍这种攻击如何进行 、以及它的危害,目标是提醒安全意识。(含视频讲解及幻灯片下载)
安全研究人员 Martin Vigo 对密码重置选项中的弱点和攻击媒介很在行,他谈到了一个名为 “Ransombile” 的工具。 该工具可以通过短信为许多Alexa排名前100的网站自动执行密码重置过程,有助于进行有针对性的攻击。 他还谈到了滥用 DEF CON 和CCC上的语音信箱系统所带来的广泛影响,该滥用是通过电话重置密码。 在研究这些主题时,Martin Vigo 花了许多时间在各种不同的网站上测试和重置密码。他开始注意到一种以前从未注意到的模式。 当您想重设密码时,你会看到不同的选项;通常包括:接收带有唯一链接的电子邮件,以进行单击验证;获取带有六位数代码的SMS,甚至可以选择直接接听电话并听到密码。 在查看通过短信或电话重置密码的选项时,你会注意到,用户界面上通常显示部分电话号码。 但是,它的屏蔽方式是仅显示其中几位数字,但是足以失败用户。 换句话说,如果我知道您的电子邮件,我可以为您的帐户启动密码重置过程,并获取您的电话号码的至少几位数。这就是攻击的开端。 如上所述,他花了很多时间重置密码,但意识到并非所有网站都显示相同的数字。有些会显示最后四位,有些会显示第一位和最后两位,依此类推。 没有掩盖电话号码等个人身份信息(PII)的标准方法。如何遮蔽完全由开发人员决定,这就是问题所在。 为了说明实际情况,以贝宝(Paypal)为例。 如果我是攻击者,启动密码重置过程,它将显示第一位和最后四位。 但是,如果我登录并遇到2FA的挑战,它将仅显示最后三位。 这意味着,仅用您的电子邮件地址,我就能获得您电话号码中的五位数。如果我知道您的电子邮件和密码,那么我只会得到三位数 。 与仅知道您的电子邮件地址的攻击者相比,贝宝对已经知道您的密码的攻击者隐藏了更多的数字。 深层发掘 列出人们倾向于注册的热门网站,并检查这些网站的密码重置过程。 目标是确定哪些站点只会要求电子邮件来启动该过程(无需进一步的信息),支持基于移动设备的密码重置、以及“泄漏”的电话号码位数。 以下是一小部分。 泄漏前三位和后两位: 泄漏第一位和后四位: 泄漏第一位和后两位: 泄漏最后四位: 泄漏最后两位: - Google
- Facebook
- Twitter
- Hotmail
- Steam
查看上面的列表可以得出结论,例如,如果您同时拥有 eBay 和 LastPass 帐户,则攻击者就可以知道您的电话号码中十分之七的数字(美国电话号码10位数)。 换句话说,攻击者可以仅仅使用您的电子邮件地址猜测到您电话号码的可能性,已经从十亿个可能性降低到一千个。 这不是唯一可能的组合,但在这篇文章中重点介绍这种情况。 发现剩余的数字 十分之七的数字,这意味着现在只缺少三个数字。在这一点上,重要的是集中于我们已经知道哪些数字。 美国电话号码由3个字段组成:区号(或NPA),电话局(或中心局代码)和用户号码。当然还有国家/地区代码,但暂时专注于美国号码(后面扩展到其他国家 —— 攻击模式是一样的)。 eBay + LastPass 泄漏了区号和用户号码。重要的是要强调,这丢失的3位数字是中心局代码。 这很重要,因为它将帮助你进一步缩小可能性。 NANPA NANPA 是北美编号计划管理员,加拿大、美国和某些加勒比国家的公用电话交换网的编号方案。这个网站是金矿! 从这个来源中可以学到了很多电话系统的工作原理。最重要的是,能找到你想要的东西。 NANPA 维护着实时更新的区号列表、以及可公开访问的相应中心局代码。它会经常更新,您可以查询数据或下载包含所有信息的可分析文件。  Exchanges in San Francisco那么这个东西怎么用呢?让我们以旧金山的区号415为例。如果我只缺少对应于中心局代码的三个数字,那么我有1000个可能的数字匹配目标人。 通过使用 NANPA 数据集,我可以将其减少为784个可能的数字,因为有216个交换号未分配给415区号。这就减少了20%以上,还不错! 我使用了不同的区号,例如,阿拉斯加907区号仅分配了625个交换机。 仅使用 NANPA 提供给我们的宝贵信息,就不再需要考虑那375个号码了。塔科马的253区号只有458个交换机。现在消除了一半以上的可能号码。 如果目标只有贝宝帐户怎么办?答案是:你能知道十分之五的数字! 但是,究竟是哪一个呢? 现在有区号的第一位数字和最后四位随机数字。假设您知道目标来自加利福尼亚。感谢 NANPA,你能知道与加利福尼亚州相对应的所有区号。 在加利福尼亚州,只有两个区号以2开头:213和209。其他两个以3开头,两个以4开头等等。 也就是说,仅仅知道区号的第一位数字,您仍然可以很容易地推断出电话号码的前三位数字。 国家号码资源管理者 但是,如果目标只有一个eBay帐户怎么办?或者 Paypal + Google? 现在有区号和用号号码的后两位 —— 再次强调,我们需要专注于已经拥有了哪些数字。 上面讨论了如何使用 NANPA 的公共记录来根据区号和交换机号以缩小可能的数量。那么,是否有任何公共记录可以帮助你根据用户号码排斥掉更多无效的号码可能性?有!那就是国家号码资源管理者。 从历史上看,电话号码是将电话转接到实际位置的人的一种方式。比如 415–272-XXXX。 前3位数字将其范围缩小到具体的区域,例如旧金山;272交换机专用于 Sausalito,而缺少的4位数字指定该限制区域内的实际个人(用户)。 由于运营商拥有特定的区号+交换机,因此,这意味着将有10000个电话号码分配给使用AT&T的 Sausalito 居民(运营商拥有415–272)。 截至2017年,索萨利托共有7110名居民。这意味着从10k的可用号码中,仅会使用7k,前提是如果每个人都是AT&T客户。这样就可以排除很多了。 国家共用管理部门负责管理号码,并拥有所分配区域的公共记录,包括订户号码。我们可以根据这些信息进一步过滤掉不可能的号码。 例如,以缺少最后4位数字的 Sausalito 号码 415–272-XXXX 为例,可以使用公共记录来丢弃 415–272- [0–8] XXX 等电话号码,只关注以9开头的用户号码。 换句话说,这样就可以把有效电话号码的可能性从1万减少到了1000。  9th block is the only one assigned仍然,还有有太多可能性 现在,您有目标的电子邮件地址,该电子邮件地址恰好来自塔科马,并且拥有 eBay 和 LastPass 帐户。 你启动密码重置过程,并从目标人的电话号码的十位数中获取七位数。 现在,您可以使用 NANPA 摆脱掉542个可能性,并将列表减少到分配给该电子邮件地址的458个可能的号码。然后继续使用“国家号码资源管理者”,从而将可能的有效电话号码减少到445。 现在怎么办?445仍然是相当数量的电话号码。我要说的是,仅在知道电子邮件的情况下就能将十亿个可能的电话号码减少到445个,这非常重要。 其余的甚至可以手动测试。 但这里的目标是在尝试进行任何手动验证之前,尽可能地减少可能性。于是 ,继续筛。 您可以通过多种方式获取其余缺失的电话号码数字,以查看它们是否以某种方式链接到电子邮件地址。 使用具有明确定义搜索标志的搜索引擎来尝试查找线索,找找看是否目标用户将其电话号码留在了论坛、网站等这类地方。 在 pipl、BeenVerified 或 Spokeo 等在线服务上查找电话号码,这些服务具有庞大的数据库,其中包含人们的个人信息。 您甚至可以使用电话系统在线服务,该服务使您可以按电话号码反向搜索电话的所有者。 这些选项很好,但并非100%可靠。您可能在搜索引擎中找不到任何内容、或在线数据没有目标的电话号码,并且白页往往有些过时,很多时候只是没有所需的信息。 因此,开始思考可以**可靠地**获取分配给电子邮件地址的电话号码的新方法。 反向重复使用相同的攻击媒介 再一次,重设了密码,然后发送了一封电子邮件……于是又得到了几位数。可以通过输入电话号码重置密码并找回一些电子邮件字符吗?  Amazon password reset using phone number找到了!事实证明,有一些流行的服务,例如 Amazon 和 Twitter,可让您通过输入电话号码并获取电子邮件来完成重置密码过程。 最重要的是,它将显示将链接发送到的电子邮件地址的几个字符。 以亚马逊为例,您将获得用户名的首字母和最后一个字母以及整个域名。您还可以获得用户名的长度,因为*的数量与掩码字符的数量匹配。 Twitter 将向您显示用户名的前两个字符和域名的第一个字符。您还可以通过计算星号来了解长度。 攻击向量如下所示: 1、使用目标的电子邮件地址在多个站点中启动重置密码过程,以获取多个电话号码数字; 2、通过使用类似 NANPA 这种公开可用的数据库来丢弃不存在的号码,从而减少可能的电话号码列表长度; 3、启动密码重置过程,以遍历其余电话号码列表,并将泄漏的电子邮件字符与目标的电子邮件地址相关联。 通过执行这些步骤,您无需拨打任何电话就可以获取与电子邮件地址关联的完整的十位数电话号码! 仅通过滥用密码重置选项和使用公开可用信息就可以有效地进行暴力破解。 自动化 上面的攻击向量可以手动完成。您可以使用namechk 之类的服务来确定要去哪里收获缺失的数字;自己可以查看NANPA的数据,以丢弃无效数字;您甚至可以使用某些工具,暴力破解其余电话号码以找到匹配的电子邮件。 但是,现在你不需要以上一切麻烦了。Martin Vigo 编写了一个工具,可以为您自动完成所有这些工作。 这个工具的名字叫:email2phonenumber,可让您仅仅提供部分电话号码就可以获取所有可能的有效电话号码的列表,从而有效消除不存在的号码。 该工具还可以让您使用 Amazon 和 Twitter 的密码重置功能来暴力破解电话号码,并将片段电子邮件地址与您提供的寻找匹配的电子邮件相关联。 它还支持使用代理服务器。因为你正在做的是开始用不同的电话号码重置密码,这意味着那些服务不应该根据您要使用的特定电话号码来追踪到您。 还有许多其他服务允许使用可用于相同目的的电话号码重置密码。该工具支持 Amazon 和 Twitter 的暴力破解。 演示 下面是演示视频: email2phonenumber 是一个很棒的工具,虽然它的大部分工作都可以通过 Burp 或 wfuzz 之类的工具完成。它真正的能力取决于收集、解析、并使用与一个国家的电话号码计划有关的所有公开可用数据,全程自动化。 Martin Vigo 正在开发一项新的联机服务,该服务将帮您生成可能的电话号码列表。 而且,它将具有多国支持,它将为您提供更多信息和详细信息,还将拥有历史记录功能,最重要的是,它能提供高级过滤器。 假设您知道目标选取的是哪家运营商,则可以按运营商进行过滤,甚至可以减少可能的数量列表;以及其他过滤器,比如年限。 其他国家 到目前为止,email2phonenumber 主要关注美国的电话号码,但是在考虑其他国家/地区的目标时,还需要强调其他问题。 Martin Vigo 来自西班牙,西班牙的手机号码也具有有趣的属性。所有手机号码均以数字6(最近是7)开头。 而且西班牙的电话号码只有9位数字;而 eBay 或 LastPass 之类的服务并没有调整其掩码模式。因此,如果你的追踪目标是西班牙手机,那么使用 LastPass,就能知道9位数中的5位数!超过一半的数字。 中国的号码有11位数,是目前全球最长的号码,也许看起来有些难度,但依旧可以使用上述方法挖掘到。 中国的手机号分为三段:前3位是网络识别号、4–7位是地区编码(HLR归属位置寄存器)、8–11位是用户号码。 日本的号码也是11位的;台湾、美国、德国、印度、瑞士、荷兰、比利时、法国、菲律宾、澳大利亚等国家是10位号码。 使用不同语种搜索,很容易找到相应的编码数据库。 通过了解国家/地区电话号码系统的属性,并利用上述思考方式,就不难收集到电话号码的所有数字。您能知道,这有多么的不安全。 所以呢? 以上向您展示了如何仅仅通过电子邮件地址就可以挖掘到电话号码的方法。所以呢?这究竟有多糟糕? 好吧,其实我们可以从不同角度(例如隐私和安全性)来回答这个问题,但本文会列出一些源自目标电话号码的攻击媒介: - SIM卡交换攻击 —— 这是一个臭名昭著的身份盗用攻击形式,它的威胁面比您想象的要普遍得多。
这将使攻击者能够以您的身份重置密码或绕过2FA保护。 SS7是运营商用来在它们之间进行交互的协议。它已经很老了,本身就非常不安全,研究人员已经在多个安全会议上演示了如何跟踪个人的位置,甚至监视通信。但运营商就是不改。 在下面的视频中了解攻击者破坏您的语音邮件的影响。 必须说,语音邮件系统是一种威胁。 大量的在线服务可让您欺骗来电显示 —— 这是用于社交工程攻击的“绝佳”工具。 结论 缺乏掩盖PII的标准化方法会导致在线服务采用不同的方法。这会在诸如重置密码区域之类的地方泄漏有关您的电子邮件地址和电话号码的部分信息。 攻击者完全可以滥用该信息,对其进行自动化侦查以重建目标数据。 特别是在有针对性的攻击中,有可能获得与电子邮件地址关联的电话号码的所有数字。 攻击者拥有了电话号码后,便可以将其用于其他具有严重影响的攻击,这些攻击可能导致帐户遭到完全破坏、位置跟踪、甚至各种各样的间谍活动。 对于电子邮件,仅掩盖用户名是不够的,域名完全可以提供有关该人可能在何处工作的信息。 Martin Vigo 的建议是允许用户设置标签。例如,用户可以将电子邮件地址标记为“个人电子邮件”或将电话号码标记为“工作电话”;这样,当密码重置过程显示提示时,它将显示标签而不是PII的片段。 除非严格要求,否则用户不应提供其电话号码。许多在线服务都需要电话号码,但是并没有真正的业务需求。这完全不正当。 这不仅与操作安全有关,还与数据安全有关。 再一次:手机号很危险,切勿轻易与不熟悉的人和在线服务分享。 回顾*完美隐身*栏目中介绍的安全和反追踪技巧:
| 
发表于 2020-3-19 15:56
