筆者前言：上次被騙，只能怪自己才學疏淺，學藝不精，連這等論文都沒有看到。：)?

Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks 這篇文章是印度一所大學實驗室的工作，被投在了AsiaCCS 2016上。AsiaCCs 2016是計算機網絡安全方面的c類會議，感覺這篇文章并不是很厲害，但是由于筆者自身原因，覺得他還是很有意思的，因此決定做個小筆記。

讀者慎入！！！從科研的角度來說，這篇文章確實沒有很大的意思，反倒有一種紙上談兵的感覺。想想現實世界那些“詐騙高手”，人家的技術比這篇文章爐火純青多了！！！但是對于那些毫無防范意思或者物質變態的人來說，里面涉及的一些東西可以當新聞讀讀擴充一下見識。：)

文章背景：隨著網絡與移動技術的交叉發展，許多Over-The-Top Apps（OTT應用實際就是那些利用網絡實現低成本交流的應用，比如說VoIP，Facebook，WeChat等 ）應運而生，這些應用往往與手機號碼相互綁定并且包含了手機用戶大量信息（比如說朋友，郵箱等），因此也帶來了新的安全挑戰。

文章研究領域：如何利用這些應用搜集來的信息有針對性的設計不同的攻擊模式。

研究方法：文章通過隨機生成一組手機號碼，然后通過手機號碼利用不同的應用向量收集用戶信息，根據用戶信息情況決定對用戶采用什么樣的攻擊模式。

實驗結果：實驗過程比較有意思的是，它們生成了116萬手機號碼，其中對一半的人成功進行了電話詐騙。當然對其他模式的詐騙也進行了分析。

進行詐騙的4個關鍵步驟：

#step 1： 隨機生成一組電話號碼文章利用現在電話號碼的命名規律，比如說區號、連續性隨機生成了一組電話號碼，這些號碼有的是其他用戶正在使用的號碼，有的因為還未分配出去是空號。（還有其他一些找到受害者電話號碼的方法：共享云上或者軟件中去尋找）

#step 2：從OTT Apps收集用戶信息，比如很滑稽的一個方法是，現在為了防止詐騙，有一些電話號碼認證服務（Truecaller等），這些app會收集許多用戶信息：

? ? ? ? ? ? ? ? ? ? ? ? ? （姓名，地址，電話號碼，國家，郵箱，微信等）

? ? ? ? 比如另一種方法是微信或者Facebook往往會包含許多好友信息。

? ? ? ? 可以寫一寫程序自動從這些應用上扒取#step1中手機號碼用戶的相關信息。

#step 3：根據#step ?2中獲取的信息量選擇詐騙途徑

? （電話，郵件等）

? ? ? ? #step 4：選擇攻擊模式

? （社交釣魚，Whaling attack-攻擊那些大款，VIP等，無目的攻擊）

Scalability：文章還介紹了一下他們這個攻擊方式就算不知道用戶信息也可以發起攻擊。

反正我覺得這篇文章對我來說還是具有“諷刺”意味的！！！

不過它里面提供了一些相關的參考文獻對我近期的研究似乎有很大的幫助。而且個人覺得里面實驗用到的數據，實驗過程和結果都是比較有意思和驚人的。直接上部分圖片說話吧：

圖片解釋：比如Public sources是通過Truecaller找到的朋友列表，Public friendlist是通過facebook找到的朋友列表，發現兩部分朋友匹配率到到95%上的victim有68%。

總結

以上是生活随笔為你收集整理的Abusing Phone Numbers and Cross-application Features for Crafting Targeted Attacks的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。