关于Linkedin-Intro的钓鱼研究

安全 应用安全
2013年10月28日,我联系了Linkedin的安全团队,并会在近期发布修复补丁来解决下面的问题。这个修复程序适用于随机生成ID的styling规则,同下面介绍的基于class的styling有所区别。

2013年10月28日,我联系了Linkedin的安全团队,并会在近期发布修复补丁来解决下面的问题。这个修复程序适用于随机生成ID的styling规则,同下面介绍的基于class的styling有所区别。

我并不是CSS专家,所以或许有其他技巧可以绕过这个限制和删除内容(甚至只是隐藏或覆盖它)————如果你知道,请email通知我!我将继续与Linkedin的安全团队合作来修复任何我们能找到的BUG。而用户需要注意的是世上没有完美的解决方案,即便在邮件中你所看到的这些数据也不能明确证明发送人的合法性。

我还要感谢Linkedin的安全团队,他们快速且有效地处理了这些问题。

有关“Intro”

10月23日,Linkedin推出一个名为"Intro"的应用程序。程序的运行条件很简单:允许iPhone用户看到本机Mail App里发件人的详细信息。这跟iPhone Mail App的Rapportive差不多,这两个app在本质上一样(且由相同的人所开发)。

然而,在看Intro最初的介绍中,有一个地方引起了我的注意:

“David说Crosswise很想和你合作。这是垃圾邮件,还是真实邮件?

通过Intro,您可以立即看到David长什么样子,他在哪儿,他是干什么的。你可以看到,他是Crosswise的首席执行官。这是真正的交易。”

这就像Linkedin说“我们放了一个锁住的照片在你的email里,所以你知道它肯定是安全的”这种情况一样。Linkedin简单地给用户一种虚假的安全感。在这篇文章中,我们将一起来看一看Linkedin在用户的邮件中到底是怎样做的,以及我们如何伪造这一信息,完全控制Intro所展现给用户的信息。

Linkedin会对你的Email做些什么

为了更好地观察Intro的行为,目前我正对其进行更深入的分析研究,并很快就会发布。而现在我们只是看看Intro工作的基础知识,看看它具体是如何对用户email进行操作的。

Intro首先获取一个OAuth访问令牌来管理你的电子邮件。因为Google应用的OAuth协议支持Gmail的IMAP和SMTP,所以它们无需验证你的邮箱密码就可获得授权。然后Linkedin就可以访问你的email并在你的iPhone上安装一个安全配置文件,该安全配置文件的最显著特点就是,它会安装一个新的email账户指向Linkedin的IMAP和SMTP服务器。我不晓得如何从iPhone自身恢复email账户密码,但通过代理拦截发送到iPhone的配置文件,我们可以看到这个email账户看起来像这样:

  1. <dict> 
  2.     <key>PayloadDisplayName</key><string>Email Settings</string> 
  3.     <key>PayloadType</key><string>com.apple.mail.managed</string> 
  4.     <key>PayloadVersion</key><integer>1</integer> 
  5.     <key>PayloadUUID</key><string>[redacted]</string> 
  6.     <key>PayloadIdentifier</key><string>com.rapportive.iphone.settings.email.[redacted]</string> 
  7.     <key>EmailAccountName</key><string>Test Account</string> 
  8.     <key>EmailAccountType</key><string>EmailTypeIMAP</string> 
  9.     <key>EmailAddress</key><string>Linkedin.intro.test@gmail.com</string> 
  10.     <key>EmailAccountDescription</key><string>Gmail +Intro</string> 
  11.     <key>IncomingMailServerAuthentication</key><string>EmailAuthPassword</string> 
  12.     <key>IncomingMailServerHostName</key><string>imap.intro.Linkedin.com</string> 
  13.     <key>IncomingMailServerPortNumber</key><integer>143</integer> 
  14.     <key>IncomingMailServerUseSSL</key><true/> 
  15.     <key>IncomingMailServerUsername</key><string>[username_redacted]</string> 
  16.     <key>IncomingPassword</key><string>[password_redacted]</string> 
  17.     <key>OutgoingPasswordSameAsIncomingPassword</key><true/> 
  18.     <key>OutgoingMailServerAuthentication</key><string>EmailAuthPassword</string> 
  19.     <key>OutgoingMailServerHostName</key><string>smtp.intro.Linkedin.com</string> 
  20.     <key>OutgoingMailServerPortNumber</key><integer>587</integer> 
  21.     <key>OutgoingMailServerUseSSL</key><true/> 
  22.     <key>OutgoingMailServerUsername</key><string>Gmail+Intro ?[username_redacted]</string> 
  23.     <key>OutgoingPassword</key><string>[password_redacted]</string> 
  24. </dict> 

通过拦截该配置文件,我们可以得到用于登录到Linkedin的IMAP(imap.intro.Linkedin.com)和SMTP(smtp.intro.Linkedin.com)服务的用户名和密码。用户名是base64编码的字符串,密码是一个32个字符的hash。

这里有一个图展示这是如何工作的:

 

1

 

现在,我们已经有了这邮件账户使用的用户名和密码,让我们抓取第一个电子邮件,看看Linkedin的IMAP代理注入了什么内容。我们可以使用OpenSSL来做到这一点哦。

  1. # openssl s_client -connect imap.intro.Linkedin.com:143 -starttls imap -crlf -quiet 
  2. depth=2 C = US, O = "thawte, Inc.", OU = Certification Services Division, OU = "(c) 2006 thawte, Inc. - For authorized use only", CN = thawte Primary Root CA 
  3. verify error:num=19:self signed certificate in certificate chain 
  4. verify return:0 
  5. . OK More capabilities after LOGIN 
  6. a LOGIN username_redacted password_redacted 
  7. * CAPABILITY IMAP4rev1 IDLE NAMESPACE ID CHILDREN UIDPLUS COMPRESS=DEFLATE 
  8. A OK Linkedin.intro.test@gmail.com Test Account authenticated (Success) 
  9. b SELECT INBOX 
  10. * FLAGS (\Answered \Flagged \Draft \Deleted \Seen) 
  11. * OK [PERMANENTFLAGS (\Answered \Flagged \Draft \Deleted \Seen \*)] Flags permitted. 
  12. * OK [UIDVALIDITY 1] UIDs valid. 
  13. * 4 EXISTS 
  14. * 0 RECENT 
  15. * OK [UIDNEXT 5] Predicted next UID. 
  16. * OK [HIGHESTMODSEQ 1049] 
  17. b OK [READ-WRITE] INBOX selected. (Success) 
  18. c FETCH 4 BODY[] 
  19. * 4 FETCH (FLAGS (\Seen) BODY[] {36510} 
  20. email_content_here 

事实证明,Linkedin注入了相当多的内容到你的电子邮件中去。基本的结构看起来像这样:

  1. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd"> 
  2. <html> 
  3.   <head> 
  4.       <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
  5.       User specified CSS (if any) 
  6.       <style type="text/css"> 
  7.           /*BEGIN RAPPORTIVE*/ 
  8.           Injected Linkedin Intro CSS 
  9.           /*END RAPPORTIVE*/ 
  10.       </style> 
  11.   </head> 
  12.   <body> 
  13.       <!--BEGIN RAPPORTIVE--> 
  14.       Injected Linkedin Intro HTML Content 
  15.       <!--END RAPPORTIVE--> 
  16.       Original Message 
  17.   </body> 
  18. </html> 

你可以在这里找到完整的电子邮件(一些链接和一些未被删掉的东西)。现在我们知道Linkedin对该email做了些什么了吧,让我们再看看如何使用它来让我们的钓鱼邮件看起来是合法的。

设置诱饵

就像设置一个欺骗性的网站一样,我们可以简单地复制Linkedin所提供的现有CSS和HTML结构,并根据我们的需要来使用它。首先我们想要做的是找到除去Intro现有数据的方法。我们可以把现有Intro块的CSS设置为display:none;。很不幸的是, Linkedin显然也想到了这一点,由于CSS通常是插入到head标签后面,他们相当细心地为display,height等设置了!important关键词,以提高指定样式规则的应用优先权。

但仍然不够细致,如果我们看CSS,可以发现到其规则适用于#rapportive.iphone元素。如果我们仔细观察,就会发现,其实我们想要隐藏的HTML有一个完整的规范#rapportive.rapportive.topbar.iphone。因此,我们可以简单地设置以下样式的隐藏:

  1. <style type="text/css"> 
  2.     #rapportive.rapportive.topbar.iphone { 
  3.         display:none !important; 
  4.     } 
  5. </style> 

就是这么简单。

现在,我们已经删除了现有的Intro数据,我们可以自由注入我们自己的数据了。要做到这一点,我们可以复制Linkedin提供的现有HTML。若要确保我们的数据不会被我们之前的CSS隐藏,我们可以简单地从root中删除topbar类,因为它不会影响样式。最后我们想要做的是清除Linkedin在原来信息上设置的边距,以及把实际数据本身改成任何我们想要的数据。此外,我复制了一些CSS和HTML,修改了自动生成的Id。这将确保我们的模板始终一致。

“钓鱼”去啦

为达教学目的,我已经建立了一个基本的PoC模板。若要使用它,你只需访问你要欺骗的那个人的Linkedin配置文件,填写所需的CSS信息。理想情况下,将来可改进成自动擦除此信息并检查确保Intro数据只在移动设备上显示等。现在,它是基本可用的,让我们看看如果我对Linkedin原来显示的信息实行欺骗会是怎样。(谅解一下,这不是IOS7————我没有见过IOS7系统会有这么多问题):

 

2

 

这就是当我打开Intro选项时所看到的详细信息(它们是可以自定义的,我让它们展示了一下我确实控制了其内容):

 

3

 

显然,这是一个不具恶意的例子。当然,要添加恶意文件、请求敏感信息,也同样很简单。

最后的想法

虽然Linkedin Intro表面上看起来很有用————只是使用它的话,风险太高了。作为一个社会工程师,我希望我的目标是使用Intro。Linkedin Intro的使用,为用户营造了一种虚假的安全感,这使得我和广大社工人员的工作便捷许多。

本文来自Jordan的博文《Phishing With Linkedin's Intro》

原文地址:http://jordan-wright.github.io/blog/2013/10/26/phishing-with-linkedins-intro/

责任编辑:蓝雨泪 来源: IDF实验室
相关推荐

2020-08-06 08:23:24

Nginx反向代理Web安全

2022-03-05 12:00:11

网络钓鱼网络攻击

2011-07-07 18:43:31

SEO

2013-05-03 13:27:59

2021-04-27 11:11:11

网络钓鱼PDF网络犯罪

2024-07-25 08:00:00

2013-01-30 16:54:21

2012-02-23 14:45:45

Linkedin运作原理

2011-08-24 15:52:59

intro中文man

2011-08-12 14:16:52

intro中文man

2017-12-07 09:49:25

2022-05-11 15:28:29

网络钓鱼Frappo网络钓鱼即服务

2013-03-26 10:40:21

2010-09-27 13:21:02

DHCP作用域

2010-09-02 13:37:13

2010-09-03 13:55:25

2015-09-23 14:14:47

LinkedIn架构解析

2013-06-21 09:56:26

2022-07-27 07:39:29

网络钓鱼网络犯罪

2017-12-07 22:58:14

点赞
收藏

51CTO技术栈公众号