短信轰炸机:一个短信能有多危险?

在网络安全领域不断发展的威胁中,短信hz攻击正在成为一种现代危险,可能产生重大和令人不安的后果。最近,我们几乎所有人的手机都收到了来自未知号码的短信或电话。几乎所有这些号码都来自企业,销售公司或非法投注网站,这些网站收到客户的短信验证码。

地下短信轰炸机市场和定价

图片[1]-短信轰炸机:一个短信能有多危险?-可能资源网

在我们监控的一个地下论坛中,我看到了一个很特别的网站。除了短信,这网站还提供电话有关的服务。所提供服务的定价详情如下:

  1. 短信15分钟 6.99
  2. 短信一小时 25
  3. 短信六小时 78
  4. 短信+电话 128

除这些外,目标国家为中国。

在我们跟踪的另一个地下论坛中,有一个帖子与重大参与,其中包括一个URL,能够用于短信轰炸和其他恶意目的。

A forum post including a URL capable of SMS and email bombing
一个论坛帖子,包括一个能够进行短信和电子邮件轰炸的URL
SMS Flood Service

在重定向的链接中,我们遇到了一个面板,它提供了一系列超出SMS攻击的服务。通过免费会员访问,该小组提供短信攻击服务,收取指定费用。攻击者可以确定攻击持续时间,并且价格随着持续时间的延长而增加。例如,1小时的攻击成本为25,而一天的攻击需要支付128。此外,攻击者可以激活涡轮模式进行更快的攻击,这会导致针对特定个体的额外费用。此机制使攻击者能够轻松发起SMS攻击并对目标系统造成损害。

电报频道:短信hz股份和销售

下面的内容都是外网的,本文章学习与研究可能资源不提供任何技术支持

根据我们对Telegram频道的研究,我们遇到了一个成立于2022年12月16日的频道,由于其大量的用户数量和提供付费服务而引起了我们的注意。该频道拥有94,925名订阅者,没有任何对话历史。通信是直接与机器人进行的,因此我们需要与机器人进行交互以进行交易活动。

The Telegram bot
短信呼叫轰炸机电报机器人

我们联系了机器人,并按照某些步骤进行,并获得了有关价格的信息。

The bot's services
bot的服务

以下是bot的答案:

它能做什么?

  • 执行SMS垃圾邮件(洪水)
  • 打洪水电话。
  • 发送回叫请求
  • 发送恶作剧电话并发送电话录音。

根据消息,攻击者计划在这次短信攻击中专门针对俄罗斯号码。但是,他们不保证它将工作在其他国家的电话号码。这意味着攻击的成败取决于目标国家,攻击者在这方面不提供任何保证。

“机器人是为俄罗斯联邦手机号码设计的;它的功能对来自其他国家的号码是不保证!目前,该机器人被200多种不同的服务使用。

图片[7]-短信轰炸机:一个短信能有多危险?-可能资源网

定价详情如下:

20₽ Ruble is charged for 1 hour of use.
使用1小时收费20卢布。

在继续研究Telegram频道的过程中,我们在另一个有352个订阅者的频道上发现了另一个有趣的帖子。一个短信验证程序应用程序,这是一个短信轰炸机,并以不同的名称发布,可以攻击用户使用相同的方法。

SMS Validator
SMS验证器

根据他们的解释,他们不拥有原始的短信验证器。相反,他们以更实惠的价格提供精简版,与原版没有区别。此精简版可供$18为一次使用,并在1400卢比(印度卢比)的价格为终身使用。

GitHub Replit Repo研究

我们从开源共享平台GitHub和Replit获得了大量结果,只使用了几个搜索词。您可以在下表中看到我们特别针对Replit进行的查询的结果。

搜索字符串码计数
短信炸弹1K代码
短信轰炸机4.9K代码
短信轰炸341代码

仅仅通过调整“炸弹”这个词,我们就得到了相当多的结果,但是这些结果的总价值并没有给予我们实际的数字,因为在存储库中也有脚本同时被触发。这里要重点关注的一点是,Replit平台上有许多现成的SMS轰炸脚本。

作为我们研究过程的一部分,在检查这些代码的同时,我们还发现了一个新创建的repo,可能会继续。我们遵循了2023年7月25日发布的repo,仅留下“测试”。

A repo including testing for a bomber
包括测试炸弹的回购

从屏幕截图中可以看出,回购所有者将属于“TR”域的公司添加到其第一个目标,并保持原样。考虑到代码将带来连续性,作为SOCRadar治疗研究团队,我们始终以受控方式跟踪此类检测。

在对其他存储库进行研究后,我们成功地获得了明确的结果,解决了“短信轰炸攻击是如何执行的?”’.在下面的屏幕截图中,我们可以看到一个简单的Python脚本,它通过API促进了请求提交,目标是

Python script targeting the register pages
以寄存器页面为目标的Python脚本

为了提供对代码的粗略解释,它进入条件循环,并逐个向“注册”页面发送请求,以获得作为输入提供的电话号码,如代码的“try”部分所示。如果请求过程成功,

print(nice + ‘MOYO发送成功!’ + 样式.RESET_ALL),允许我们显示字符串’MOYO发送成功!’.在失败的情况下,“except”部分触发另一个打印功能以显示文本“MOYO Failed!哦!屏幕上

在这个由俄罗斯用户创建的SMS Bomber脚本中,通过利用俄罗斯和乌克兰域和子域的漏洞进行SMS Bomber攻击,我们总共识别了52个域和子域。

图片[12]-短信轰炸机:一个短信能有多危险?-可能资源网

我们从分析SMS轰炸机脚本中得到的结果将其潜在的威胁推向了最前沿。相关的Python脚本可能会给通信基础设施带来过度负担,并通过向目标个人发送大量垃圾短信而导致服务中断。由于安全措施薄弱,特别是在注册页面上,以及缺乏安全的API集成,这些类型的攻击可能变得更加有害。

网站应该对安全漏洞更加敏感,尤其是在注册页面和API中。增强安全性的一种有效方法是在注册页面上实施CAPTCHA挑战。这一主动步骤可以通过区分自动化机器人和真实用户来显著降低创建虚假账户的风险。加强核查进程与验证码一体化对于挫败潜在威胁至关重要。此外,保护API是降低未经授权访问风险和维护系统完整性的关键步骤。这些措施对于确保用户数据的安全和加强对网络攻击的防御都很重要。

根据我们对不同存储库(repo)的调查,我们注意到其中一个拥有俄罗斯顶级域(TLD)的域名提供支付系统服务。

图片[13]-短信轰炸机:一个短信能有多危险?-可能资源网
Russian domain providing payment systems services
俄罗斯域名提供支付系统服务

当我们查询域名查询时,我们从SOCRadar XTI平台的Threat Hunting模块中获得的网址,我们收到的结果表明有相当多的数据泄露。

图片[15]-短信轰炸机:一个短信能有多危险?-可能资源网
图片[16]-短信轰炸机:一个短信能有多危险?-可能资源网

结果,该域共检测到52个窃取者日志、66个违规数据集和10多个暴露的原始数据。此外,还发现了4个公共桶。

Information about the repo owner
关于回购所有者的信息

Google Dorks Country Research

通过对地下论坛、Telegram频道、Github和Replit的研究,我们确定了用于SMS Bomber攻击的网址以及网址的来源国。然后,我们继续使用Google Dorks进行研究,以找到更多信息。

在我们分享Google Dorks的结果之前,这里有一个我们已经确定的网址,隶属国家和部门信息的图表。

Countries of Affiliation
所属国家
Industries of Affiliation
所属行业

当我们查看用于短信轰炸的网址的基于国家的结果时,我们看到最多的检测是在俄罗斯进行的。然后我们在土耳其、印度和乌克兰取得了相当多的成果。最常见的部门如下:食品饮料(21),金融(20),电子商务(15),健康(12),时尚(10)。

对于不在我们列表中的国家,我们使用一个简单的谷歌傻瓜列出的结果与“短信炸弹”一词的国家区号。对于阿尔巴尼亚,我们遇到了一个相当令人惊讶的结果;一个基于Python的短信轰炸机广告创建在一个自由职业者网站。

SMS Bomber related search results found using Google dorks
短信轰炸机相关的搜索结果发现使用谷歌呆子
A user on the internet looking to create a bomber in Python
互联网上的一个用户希望用Python创建一个轰炸机

继续使用谷歌呆子,我们继续发现令人惊讶的结果,包括阿塞拜疆。

SMS Bomber related search results found using Google dorks
短信轰炸机相关的搜索结果发现使用谷歌呆子

经验教训

短信轰炸机活动自20世纪90年代以来一直存在,当时手机和短信服务变得普遍。当时,当电话号码很容易获得,短信发送很普遍时,这种攻击是为了骚扰用户和破坏服务而进行的。随着技术和互联网的进步,短信轰炸机脚本的使用和影响已经增加,并一直持续到今天。因此,网络安全专家和服务提供商正在不断更新和改进安全措施,以打击此类攻击。

防护方法:

  • 垃圾邮件过滤器:运营商和消息应用程序可以使用垃圾邮件过滤器检测和阻止垃圾邮件。您可以通过启用这些过滤器来保护自己免受垃圾邮件的侵害。
  • 数字隐藏:避免在网上分享您的个人电话号码。通过不在社交媒体和其他平台上公开发布您的号码,您不太可能成为垃圾邮件攻击的目标。
  • 可靠来源:小心来自未知或不可靠来源的消息。尽量不要回复来自未知号码或您不认识的人的消息。
  • SMS服务提供商应采取的对策:公司应该实施强有力的控制机制,包括速率限制和验证码方法,以防止消息轰炸和监控可疑模式。

SOCRadar如何回应?

作为威胁研究团队,我们仔细评估当前或潜在的威胁,对其进行逻辑分析,然后启动研究和预防流程。由于这项研究,我们正在不断扩展我们需要遵循的框架,以便在每个问题上通知我们的客户并提高他们的安全级别。

即使是不经常被安全研究浮出水面的问题,如SMS Bomber,实际上也会对公司产生严重的影响和漏洞。因此,我们会识别必要的更新,并在不忽视任何细节的情况下向客户提供重要信息。通过让客户了解威胁,我们帮助他们以最高级别保护自己的安全。我们的目标是最大限度地降低客户安全和IT基础设施的风险,并帮助他们利用我们提供的有价值信息创建更安全的数字环境。

A SOCRadar alarm: Company Related Information Detected on Code Repository
SOCRadar报警:在代码存储库中检测到公司相关信息

结论

根据这项研究,确定攻击者使用公司的注册页面,并通过API请求向受害者发送垃圾邮件。可采取的防范此类攻击的措施如下:

  • API安全性:定期检查您的API是否存在漏洞,并只允许受信任的用户访问。
  • 教育:教育员工有关垃圾邮件和网络钓鱼攻击的知识。让他们知道不要点击来自未知来源的消息和链接。
  • 垃圾邮件过滤器:在电子邮件、短信和消息应用程序中启用并定期更新垃圾邮件过滤器。& nbsp;你好
  • 身份验证层:使用双因素身份验证和CAPTCHA等附加安全措施阻止自动攻击。& nbsp;你好
  • 数据泄露监控:建立数据泄露监控机制,跟踪可疑或异常流量,并实现快速响应。& nbsp;你好
  • 网络安全:定期进行安全扫描并应用及时的更新来保护您的网站。& nbsp;你好
  • 授权和访问控制:仅向必要的人员和角色授予对某些功能的访问权限,并严格控制权限。

确保您的开发人员在处理代码片段时不使用任何机密信息,例如API密钥、令牌、密码、数据库条目、SSH密钥或凭据。尽快删除和撤销受损数据。通过实施这些措施,公司可以创建一个更安全的环境来抵御垃圾邮件和其他攻击,并更好地保护客户的数据。

THE END
抢沙发

请登录后发表评论

    暂无评论内容