相信不少人曾经都遇到过自己的社交账号长时间不用之后,重新登入的话会发现上面发满了各种的水军贴子、广告或者一些其他自己根本不会发也没有发过的东西。会出现这种情况,很有可能就是账号被盗了。
盗号的手法也有很多种,而卡巴斯基的研究人员最近就发现了两个可以用来盗号的新型安卓恶意修改程序。攻击者把这两个恶意程序相结合的话,可以窃取由浏览器和社交媒体应用收集的用户cookie,从而使攻击者可以控制受害者的账户。
Cookies是网站在用户的装置上储存,有关用户的小部分数据,其中就包括用于辨认用户的Session ID。当用户再次进入同样的网站时,网站会查看有没有这样的Cookies,有的话就会根据里面的内容来为用户推送个性化的内容。不过如果这些Cookies被不法分子取得,那么他们就可以利用这些Session ID,使网站认为他们就是用户本人,使得不法分子可以在无需登入的情况下进入用户的账号。
这也是这两个代码很相似、而且由同一个C&C(Command & Control)服务器控制的木马病毒可以做到的事情。第一个木马病毒需要在用户的装置上获得ROOT权限来让攻击者把用户的Facebook Cookies转移到他们自己的服务器内。不过,单单只有用户的Session ID还是不够的,有的网站对于可疑的登入尝试会有相应的安全措施。
这时就到第二个木马病毒上埸了。它是一个可以在用户装置上运行代理服务器的恶意应用,可以在不引起网站怀疑的情况下绕开其安全措施,取得用户的账号控制权。
卡巴斯基的恶意软件分析师Igor Golovin表示,目前大概有1千名用户的账号因此被盗,而这数字将会继续增长,因为网站很难探测到这样的攻击手法。
笔者搜了下,暂时还没有找到国内以Cookie盗用他人社交软件账号的报导,但是可以找到以Cookies登录社交账号的方法,因此用户最好还是妥善保护好自己的计算机手机等装置,不要安装可疑的软件或者点击可疑的连接免遭损失。