赛门铁克：简讯诈骗电子邮件验证码简单又有效

攻击者只要取得受害者的简讯及手机号码，就可利用电子邮件服务商的密码恢复功能，以服务商名义发送诈骗简讯，取信于受害者要求回覆收到的验证码，冒用其身份登入电子邮件信箱。

赛门铁克发布资安警讯，网路攻击者利用简讯诈骗手法，假冒电子邮件服务商（例如Gmail）传送简讯给受害者，骗取电子邮件帐号码证码，简单又有效。

赛门铁克表示，生活中一些简单的诈骗手法反而最为有效，像是假冒警察要求受害者交出车钥匙，受害者通常在信任权威下交出钥匙。相同的手法应用在网路攻击，诈骗简讯就成为简单又有效的工具，Gmail、Hotmail及Yahoo Mail等电子邮件服务都可能成为被假冒的对象。

现代人使用各式各样的网路服务，我们有时会遇到忘记某个服务所设定的密码，以Gmail为例，只要按下忘记密码，就能请Google协助恢复用户密码。其中一个恢复密码的方式是Google向用户手机发送验证码简讯。

攻击者只要知道受害者的电子邮件及手机号码（在生活中不难取得），在Gmail登入页面上输入邮件地址，点选忘记密码后输入被害者的手机号码，该用户就会收到Google发出的验证码简讯。

Gmail登入页面下方的“需要协助吗？”对忘记密码用户而言可说是救星，只要输入Gmail信箱帐号，选择手机SMS简讯发送暂时登入验证码，就能重新设定信箱密码。

这时攻击者只要模仿Google系统发送简讯，例如“Google监测到您的帐户出现未经授权的行为。请回复您在手机上收到的验证码，以终止未经授权的活动。”，或是“我们仍然监测到有人未经授权登录您的帐号。Google已通过简讯重新发送验证码：请回复验证码以确保您的Google帐户的安全”，设法取信于受害者要求其回覆所收到的验证码，只要受害者上当，依指示回覆验证码，攻击者就能登入别人的电子邮件信箱。

攻击手法如下：

攻击者先取得锁定对象的电子邮件及手机号码。

在Gmail电子邮件登入页面点选忘记密码，输入受害者的手机号码。

受害者收到由Google系统发出的验证码简讯，在这同时攻击者假冒Google名义发送诈骗简讯，要求受害者回覆验证码。

攻击者利用受害者回覆的验证码登入其电子信箱，设定所有邮件转发第三方信箱，监控受害者的电子邮件内容，作为其他攻击的准备。

赛门铁克指出，这类攻击的目的并非在取得信用卡资料等经济利益，主要是要搜集锁定对象的资料，例如将受害者信箱设定所有收到的邮件转发到另一个信箱，从而掌握该用户所有的信件内容，可能用于APT进阶持续攻击。和传统的钓鱼手法相比，简讯诈骗的成本低而且简单有效，攻击者不易被追查，除非使用者在行动装置上安装软体或电信业者协助追查。

不论诈骗攻击手法有何变化，破解之道都在于用户必需具有高度的警觉心，以此攻击手法为例，赛门铁克建议受害者在自己没有申请的状况下，收到向你索取验证码的陌生简讯应保持高度怀疑，向电子邮件服务商确认。另外，用于恢复密码的验证码简讯只会发送给用户，服务商不会向用户传送简讯要求回覆验证码。

从这项手法的攻击原理来看，不只可用于电子邮件，也可能用在其他同样以简讯协助用户恢复密码的服务，扩大网路攻击的范围。

事实上，刑事局在今年4月发出警告，有民众向165专线检举收到假冒Google名义，以侦测到Gmail异常登入为由所发送的钓鱼邮件，骗取受害者Gmail的帐号及密码。