更新时间:2026-01-28 11:18:24
开发经验
36AppRiver 的安全研究人员发现了针对流行流媒体服务Spotify 的网络钓鱼活动。该活动于11 月初被发现,攻击者使用有说服力的电子邮件来诱骗Spotify 用户提供其帐户凭据。
这些电子邮件试图诱骗用户点击网络钓鱼链接,将他们重定向到欺骗性网站。进入该网站后,系统会提示用户输入用户名和密码,然后直接进入其背后的存储库。如果受害者在其他重要账户中使用相同的用户名和密码,恶意攻击者可能会成功劫持其相关账户。
攻击者设置的登录页面与真实的Spotify登录页面几乎完全相同,但URL非法,并且“From Address”域名不是Spotify的官方域名。
如果受害者点击攻击者专门设置的“确认账户”按钮,该账户将被设置为紧急通讯状态,表明用户可以通过一系列措施解除账户限制。单击该按钮会将用户重定向到网络钓鱼页面。
说实话,这个具体的活动并不复杂,很容易被大多数用户发现。专家发表的这篇文章只有一个目的,那就是分享有关可能欺骗非技术用户的活动的信息。
看似简单的密码组合往往可以泄露用户的个人习惯和重要信息。一旦这些信息落入攻击者手中,用户的账户将面临危险。 AppRiver 网络安全分析师David Pickett 表示:“了解某人如何创建密码可以了解他们的密码创建心态以及攻击成功的总体可能性,这也为社会工程攻击提供了机会。”
例如,使用Fluffy84 这样的术语可能会告诉攻击者受害者喜欢他们的猫并且可能出生于1984 年- 他们可能会使用相同的心态来创建其他密码。生日信息可以通过在线人物数据搜索(Pipl、Wink、PeekYou等)进行验证,并找出他们生活中所有动物的名字和重要日期,社交媒体平台使探索答案变得非常简单和有用。
此外,攻击者可以轻松地将获得的信息输入密码破解程序,以生成用于混合密码攻击的潜在密码。这涉及到与目标相关的许多独特的加密可能性、来自他们生活特定方面的信息,如果我发现他们喜欢特定的艺术家或主题,他们的Spotify 播放列表可能适合这个等式。 John the Ripper 和Cain and Abel 等密码破解软件是此类攻击的常用工具。
这种钓鱼活动本身并不复杂,用户很容易发现漏洞。不过,此类活动非常常见,因此用户仍需保持警惕,注意在各个平台上切换密码组合。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
