研究者は、排他的なオンラインバイヤーペルソナで、アカウントをハッキングするために27のそのようなサービスプロバイダと連絡を取りました。Googleが主催する被害者アカウントは、被害者との重要なやり取りを記録することに同意して使用され、偽のペルソナはこれらのアカウントに関連付けるために作成されました。
27のハッキングサービスコンテンツのうち、10は応答しませんでした。一方、12人は答えたが、ハッキング攻撃は行わなかった。しかし、攻撃されたハッキングサービスはわずか5件で、Googleアカウントをハッキングしようとしました。
応答したが攻撃しなかった12のハッキングサービスのうち9は、彼らがもはやGmailアカウントをハッキングしないと言いました。残りの3人は詐欺のように見えた。
研究者が述べたように、約100ドルから500ドルがサービスによって請求され、攻撃を開始するための自動化ツールは使用されませんでした。ソーシャルエンジニアリングを通じて、被害者アカウントごとに一定の調整を行ったスピアフィッシングはハッカーによって使用されました。被害者の詳細を問い合わせ、他の人は変換可能な電子メールフィッシングテンプレートを使用しました。
攻撃を開始した5人のハッカーのうちの1人は、マルウェアの感染方法、またはトロイの木馬を使用し、被害者のシステムに入った後、パスワードを盗んでブラウザのクッキーを収集する能力がありました。
別の攻撃者は、2要素認証(2FA)方式を使用し、被害者とフェッチされたパスワードだけでなく、検証コードをリダイレクトすることによって、なりすましGoogleのログインページを使用しました。2FAを使用するハッカーは、残りの部分よりも二重に充電されました。
長年にわたり、研究者はハッカーが手数料/料金を引き上げ、2017年には平均1アカウントあたり125ドルでしたが、現在は400ドル近くを請求していることに気付きました。その主な理由は、Googleによるアカウントのセキュリティの向上です。
調査チームは、アカウントハッキングビジネスは、貧しい顧客サービス、遅延応答、広告の価格の誤った引用から明らかなように、まだ専門的ではないと言いました。
彼らは、ハッカー・フォー・ハイヤーが提供する価格設定の増加と質の低いサービスが、ユーザーに対する脅威を持たない理由であると結論付けました。
写真: ジェフ・ワッサーマン / アラミー