Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks
笔者前言:上次被骗,只能怪自己才学疏浅,学艺不精,连这等论文都没有看到。:)
Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks 这篇文章是印度一所大学实验室的工作,被投在了AsiaCCS 2016上。AsiaCCs 2016是计算机网络安全方面的c类会议,感觉这篇文章并不是很厉害,但是由于笔者自身原因,觉得他还是很有意思的,因此决定做个小笔记。
读者慎入!!!从科研的角度来说,这篇文章确实没有很大的意思,反倒有一种纸上谈兵的感觉。想想现实世界那些“诈骗高手”,人家的技术比这篇文章炉火纯青多了!!!但是对于那些毫无防范意思或者物质变态的人来说,里面涉及的一些东西可以当新闻读读扩充一下见识。:)
文章背景:随着网络与移动技术的交叉发展,许多Over-The-Top Apps(OTT应用实际就是那些利用网络实现低成本交流的应用,比如说VoIP,Facebook,WeChat等 )应运而生,这些应用往往与手机号码相互绑定并且包含了手机用户大量信息(比如说朋友,邮箱等),因此也带来了新的安全挑战。
文章研究领域:如何利用这些应用搜集来的信息有针对性的设计不同的攻击模式。
研究方法:文章通过随机生成一组手机号码,然后通过手机号码利用不同的应用向量收集用户信息,根据用户信息情况决定对用户采用什么样的攻击模式。
实验结果:实验过程比较有意思的是,它们生成了116万手机号码,其中对一半的人成功进行了电话诈骗。当然对其他模式的诈骗也进行了分析。
进行诈骗的4个关键步骤:
#step 1: 随机生成一组电话号码文章利用现在电话号码的命名规律,比如说区号、连续性随机生成了一组电话号码,这些号码有的是其他用户正在使用的号码,有的因为还未分配出去是空号。(还有其他一些找到受害者电话号码的方法:共享云上或者软件中去寻找)
#step 2:从OTT Apps收集用户信息,比如很滑稽的一个方法是,现在为了防止诈骗,有一些电话号码认证服务(Truecaller等),这些app会收集许多用户信息:
(姓名,地址,电话号码,国家,邮箱,微信等)
比如另一种方法是微信或者Facebook往往会包含许多好友信息。
可以写一写程序自动从这些应用上扒取#step1中手机号码用户的相关信息。
#step 3:根据#step 2中获取的信息量选择诈骗途径
(电话,邮件等)
#step 4:选择攻击模式
(社交钓鱼,Whaling attack-攻击那些大款,VIP等,无目的攻击)
Scalability:文章还介绍了一下他们这个攻击方式就算不知道用户信息也可以发起攻击。
反正我觉得这篇文章对我来说还是具有“讽刺”意味的!!!
不过它里面提供了一些相关的参考文献对我近期的研究似乎有很大的帮助。而且个人觉得里面实验用到的数据,实验过程和结果都是比较有意思和惊人的。直接上部分图片说话吧:
图片解释:比如Public sources是通过Truecaller找到的朋友列表,Public friendlist是通过facebook找到的朋友列表,发现两部分朋友匹配率到到95%上的victim有68%。
Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks相关推荐
- SAP UI5 Cross Application Navigation (跨应用间跳转)的本地模拟实现试读版
一套适合 SAP UI5 初学者循序渐进的学习教程 本专栏计划的文章数在 300 篇左右,到 2022年9月16日为止,目前已经更新了 131 篇,专栏完成度为 43.6% 作者简介 Jerry Wa ...
- SAP Fiori应用里Cross Application跳转的一些常见错误
登录SAP CRM Fiori应用"My task", 随便选择一个task,点击进入明细页面: 点击Task responsible employee的hyperlink,期望的 ...
- XSSF - Cross Site Scripting Framework
2019独角兽企业重金招聘Python工程师标准>>> 跨站脚本框架 (XSSF) 是一个设计用来快速发现网站存在XSS漏洞的一个安全工具集. 该项目是为了验证网站存在的XSS漏洞及 ...
- 论文中英对照翻译--(Fusing Multiple Deep Features for Face Anti-spoofing)
[开始时间]2018.10.22 [完成时间]2018.10.22 [论文翻译]论文中英对照翻译--(Fusing Multiple Deep Features for Face Anti-spoof ...
- A002-185-2521-李子泓
课程名称 软件建模与分析 班级 18软工5班 专题名称 个人的需求分析与建模读书心得与对你组项目的发展建议 教导教师 董瑞生 姓名 李子泓 学号 1814080902521 日期 2020年12月19 ...
- mySAP标准培训教材全套列表
mySAP标准培训教材全套(2004/2005/2006年), 涵盖SAP ECC4.7/5.0/6.0 各个模块: AC,ADM,APO,ASAP,BC,BIT,BW,CA,CRM,CT,DELTA ...
- 分布式系统领域经典论文翻译集
分布式领域论文译序 sql&nosql年代记 SMAQ:海量数据的存储计算和查询 一.google论文系列 1. google系列论文译序 2. The anatomy o ...
- 摄影获得最佳图像的十大要诀_十大最佳应用程序性能管理工具
摄影获得最佳图像的十大要诀 Looking for Application Performance Management (APM) tools for your organization? Here ...
- 51 Best DevOps Tools for #DevOps Engineers
不用那么累了, 都在这. 原文出处:https://blog.profitbricks.com/51-best-devops-tools-for-devops-engineers/ 51 Best D ...
最新文章
- 曾因「抢车位」出圈儿,神奇的Mask R-CNN了解一下?
- 科研人专属微信红包封面免费送!速领
- Ubuntu 16.04 下Redis Cluster集群搭建
- Linux命令行下登录ssl加密的ftp
- 隐藏模块(无模块注入)
- SpringBoot入门 (一) HelloWorld
- 12种方法返回2个文件路径之间的公共基路径ExtractBasePath
- 基于单片机步进电机ppt答辩_基于单片机的步进电机式汽车仪表的设计(含电路原理图,程序)...
- Winodws live writer
- 微信开发七(配置js-SDK,步骤2)
- mongodb数据库扩展名_MongoDB如何存储数据
- c语言程序怎么打分数,用C语言编程平均分数
- python实现时频谱,语谱图,mel语谱倒谱等
- Hadoop 开源调度系统zeus
- 【Java多线程】写入同一文件,自定义线程池与线程回收利用2
- tab选项卡不同样式的效果
- js汉字到linux乱码,完美解决JS中汉字显示乱码问题(已解决)
- 支持华为荣耀HarmonyOS鸿蒙2.0系统安装谷歌服务框架play商店GMS的工具介绍,也开始支持其他安卓设备安装谷歌套件
- 上海计算机在职专业硕士学校,专业硕士计算机类可以报考上海哪些学校?
- 微信小程序实现拍照功能