本系列文章介紹了SMS PVA服務,說明該服務的運作方式,以及為何淪為網路犯罪集團的犯案工具。在這最後一篇,將討論受到SMS PVA服務影響最深的國家,並提供一些數據和建議來說明如何防範這類服務所帶來的威脅。
在這一系列文章中,上篇文章詳細說明什麼是SMS PVA服務,並深入分析了一個趨勢科技團隊從Facebook廣告上看到的「ReceiveCode」服務,而中篇討論了SMS PVA服務所帶來的衝擊和影響,同時以新加坡知名拍賣平台Carousell(旋轉拍賣)作範例來說明SMS PVA服務的運作方式,也另外提到了SMS PVA服務對於網路犯罪集團所帶來的好處。
在這最後一篇,將討論受到SMS PVA服務影響最深的國家,並提供一些數據和建議來說明如何防範這類服務所帶來的威脅。
受SMS PVA影響的地理區域分布
在圖1中,ReceiveCode列出了他們的服務在哪些國家最受歡迎。可以看到泰國、印尼、南非、美國、俄羅斯、哥倫比亞、孟加拉、墨西哥、土耳其、安哥拉以及印度持續名列smspva.net每日手機號碼數量(也就是受感染手機數量)十大排行榜。
圖1 ReceiveCode的Facebook和Telegram廣告。
這個結果與趨勢科技SPN監測資料的分布情況有些微差異,但可以確定印尼、俄羅斯、泰國、印度確實是Android手機受感染情況最嚴重的前幾名國家,如圖2所示。
圖2 Android手機感染數量國家排行榜。
此外,還可以從監測資料當中找出其User-Agent(例如瀏覽器)對應的手機廠牌與型號。圖3顯示有哪些型號的手機曾經出現與smspva.net後台資料蒐集伺服器通訊的情況。
從圖3可以發現,受感染的裝置有很多是中國平價品牌的手機。另外,Lava雖然是一個印度品牌,但他們某些型號是在中國製造,例如此處看到的Iris 88就是其中之一。
圖3 受感染的智慧型手機廠牌及型號。
這些平價手機的製造供應鏈很可能遭到駭客入侵,所以手機出廠時已經被預先安裝用來攔截手機簡訊的DEX檔案,或是預載下載器以供日後下載惡意程式。
受到SMS PVA服務影響的大多是即時通訊軟體,例如LINE、WeChat、Telegram以及WhatsApp。此外,像TikTok、Twitter及Facebook等社群媒體也受到影響,如圖4所示。
圖4 受到SMS PVA影響的線上平台與服務。
即時通訊軟體是目前smspva.net使用者註冊最多的服務,這應該跟這些通訊軟體上來自假帳號的垃圾郵件與詐騙數量變多有關,包括網路交友、炒股、旅遊、身分冒用等詐騙,而這些詐騙訊息的來源應該都是使用SMS PVA服務註冊的帳號。
防範SMS PVA服務帶來的危害
過去,大家早已習慣了網際網路所帶來的匿名性,但隨著擁有越來越多網路帳號與真實世界的身分連結,帳號的認證也變得更加重要,這樣才能確保身分的真實性,避免在真實世界受到危害。
手機簡訊認證是目前唯一普遍採用的帳號真實性驗證機制,用來確保帳號是由真人(而非透過殭屍電腦、假身分或網軍)所建立。然而,SMS PVA服務卻突顯出使用一次性手機簡訊認證作為帳號真實性認證的不足。
以下針對線上平台及服務商、智慧型手機供應商、一般消費者,從三種不同的身分來提供一些建議,協助防範像smspva.net這樣的服務所帶來的威脅:
針對線上平台及服務的建議
請記住,光靠一次性手機簡訊認證是不夠的,SMS PVA服務就是利用手機簡訊認證只有帳號註冊時才會用到的這項漏洞。有些服務會在其應用程式上線時發送應用程式內的認證碼來確認身分,像這樣認證機制就能防止使用者利用SMS PVA服務來取得帳號。
在推出具有現金價值的帳號註冊獎勵或遊戲內獎勵方案時請務必小心謹慎。一些駭客集團會建立大量帳號來取得這些註冊獎勵或遊戲內獎勵以便販售。在推出這類方案時,應採取更嚴格的認證措施,除了手機簡訊認證外,還要增加其他的身分認證來防止遭到濫用。
請比對手機號碼所在國家與該號碼所註冊的帳號,這麼做對於偵測這類假帳號多少有所幫助。因為,如果手機號碼所在國家與帳號的國籍、語言、性別、個人頭貼以及帳號的登入IP位址兜不起來,或者用戶的活動與該地區一般使用者的行為不符,很可能就是該帳號使用SMS PVA服務來註冊的警訊,需要再進一步檢驗。
尋找是否有個人頭貼或檔案資料重複一再出現的情形,這也是一種警訊。尤其是一些專門用於網路交友、垃圾郵件、股票投資等詐騙的帳號。這些帳號都是大量註冊,因此會重複使用帥哥美女的照片作為頭貼,然後再隨機產生帳號名稱。
指示調查人員從訊息內容下手,大部分的假帳號都會不斷張貼或發送相同的訊息內容,這一點可以當成調查帳號真實性的著手點。
針對智慧型手機供應商的建議
請確認手中品牌所販售的手機產地來源。之前曾發生過,有裝置出廠時就預載惡意程式的案例。
對於韌體映像檔與韌體更新保持警戒,確保裝置預設韌體映像檔當中包含的所有應用程式、韌體映像檔本身,以及負責執行韌體更新(FOTA/OTA)的元件都值得信賴,並且皆來自值得信賴的來源。
針對一般消費者的建議
在購買智慧型手機時應將安全性列入考量因素,購買前先研究一下想要選購的手機製造商,看看他們在安全方面的信譽如何。
保護自己的手機,確定智慧型手機上沒有SMS PVA服務的惡意程式正在執行,以免手機號碼遭到利用。
請定期分析裝置上的內容,趨勢科技提供了Mobile Security Solutions來偵測並防範惡意應用程式。
只選用值得信任的應用程式,切勿在裝置上安裝一些非受信任的應用程式,或來自非信任來源的應用程式。
此外,對於韌體映像檔要非常小心,請勿在手機上安裝未經過檢驗的韌體映像檔。
(原文出處:https://documents.trendmicro.com/assets/white_papers/wp-sms-pva-underground-service-enabling-threat-actors-to-register-bulk-fake-accounts.pdf)
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>