筆者前言：上次被騙，只能怪自己才學(xué)疏淺，學(xué)藝不精，連這等論文都沒有看到。：)?

Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks 這篇文章是印度一所大學(xué)實(shí)驗(yàn)室的工作，被投在了AsiaCCS 2016上。AsiaCCs 2016是計(jì)算機(jī)網(wǎng)絡(luò)安全方面的c類會議，感覺這篇文章并不是很厲害，但是由于筆者自身原因，覺得他還是很有意思的，因此決定做個小筆記。

讀者慎入！！！從科研的角度來說，這篇文章確實(shí)沒有很大的意思，反倒有一種紙上談兵的感覺。想想現(xiàn)實(shí)世界那些“詐騙高手”，人家的技術(shù)比這篇文章爐火純青多了！！！但是對于那些毫無防范意思或者物質(zhì)變態(tài)的人來說，里面涉及的一些東西可以當(dāng)新聞讀讀擴(kuò)充一下見識。：)

文章背景：隨著網(wǎng)絡(luò)與移動技術(shù)的交叉發(fā)展，許多Over-The-Top Apps（OTT應(yīng)用實(shí)際就是那些利用網(wǎng)絡(luò)實(shí)現(xiàn)低成本交流的應(yīng)用，比如說VoIP，Facebook，WeChat等 ）應(yīng)運(yùn)而生，這些應(yīng)用往往與手機(jī)號碼相互綁定并且包含了手機(jī)用戶大量信息（比如說朋友，郵箱等），因此也帶來了新的安全挑戰(zhàn)。

文章研究領(lǐng)域：如何利用這些應(yīng)用搜集來的信息有針對性的設(shè)計(jì)不同的攻擊模式。

研究方法：文章通過隨機(jī)生成一組手機(jī)號碼，然后通過手機(jī)號碼利用不同的應(yīng)用向量收集用戶信息，根據(jù)用戶信息情況決定對用戶采用什么樣的攻擊模式。

實(shí)驗(yàn)結(jié)果：實(shí)驗(yàn)過程比較有意思的是，它們生成了116萬手機(jī)號碼，其中對一半的人成功進(jìn)行了電話詐騙。當(dāng)然對其他模式的詐騙也進(jìn)行了分析。

進(jìn)行詐騙的4個關(guān)鍵步驟：

#step 1： 隨機(jī)生成一組電話號碼文章利用現(xiàn)在電話號碼的命名規(guī)律，比如說區(qū)號、連續(xù)性隨機(jī)生成了一組電話號碼，這些號碼有的是其他用戶正在使用的號碼，有的因?yàn)檫€未分配出去是空號。（還有其他一些找到受害者電話號碼的方法：共享云上或者軟件中去尋找）

#step 2：從OTT Apps收集用戶信息，比如很滑稽的一個方法是，現(xiàn)在為了防止詐騙，有一些電話號碼認(rèn)證服務(wù)（Truecaller等），這些app會收集許多用戶信息：

? ? ? ? ? ? ? ? ? ? ? ? ? （姓名，地址，電話號碼，國家，郵箱，微信等）

? ? ? ? 比如另一種方法是微信或者Facebook往往會包含許多好友信息。

? ? ? ? 可以寫一寫程序自動從這些應(yīng)用上扒取#step1中手機(jī)號碼用戶的相關(guān)信息。

#step 3：根據(jù)#step ?2中獲取的信息量選擇詐騙途徑

? （電話，郵件等）

? ? ? ? #step 4：選擇攻擊模式

? （社交釣魚，Whaling attack-攻擊那些大款，VIP等，無目的攻擊）

Scalability：文章還介紹了一下他們這個攻擊方式就算不知道用戶信息也可以發(fā)起攻擊。

反正我覺得這篇文章對我來說還是具有“諷刺”意味的！！！

不過它里面提供了一些相關(guān)的參考文獻(xiàn)對我近期的研究似乎有很大的幫助。而且個人覺得里面實(shí)驗(yàn)用到的數(shù)據(jù)，實(shí)驗(yàn)過程和結(jié)果都是比較有意思和驚人的。直接上部分圖片說話吧：

圖片解釋：比如Public sources是通過Truecaller找到的朋友列表，Public friendlist是通過facebook找到的朋友列表，發(fā)現(xiàn)兩部分朋友匹配率到到95%上的victim有68%。

總結(jié)

以上是生活随笔為你收集整理的Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。