挡不住的秘密就在你不知不觉中被暴露:社交工程学攻击实践继续

iYouPort
iYouPort
Sep 3, 2018 · 7 min read

你有没想过一张小小的登机牌会说出什么?我指的不是诸如“嘿看着我,我在阿联酋航空商务舱飞行”……它能说出的东西远比你想象中要多得多。今天我们会展示利用一个小小的观察,就有可能造成严重后果的攻击实践。那些晒晒晒和马大哈的朋友们,小心咯

最近的假期我计划去哥本哈根旅行。玩的很不错,但可悲的是,我的回程,由于赶上了长时间暴风雨,不得不经历了一次神话般的 26 小时体验。我的航班严重延误,然后花了将近 3 个小时等待飞机的停稳在一个地方。简直糟透了,我已经读完了所有带字儿的东西,我的 iPad 也没电了,我得给自己找点乐子打发时间。

在试着把我的登机牌搞成一架纸飞机时,我注意到它上面有条形码。所以我用手机的条形码阅读器扫描了它。我感到震惊的是,弹出的数据包括我的全名、出生日期、航班号、来自哪里和目的地是哪里、座位号,以及被称为 PNR 记录定位器代码的内容。

什么是 PNR?

PNR 代表“乘客姓名记录”。这是每次预订航班时生成的数据丰富的记录。它存储在航空公司计算机预订系统的数据库中,并由记录定位器代码访问。此记录定位器代码是一个 6 个字符的字母数字代码,例如:RMT33W(这是我的登机牌条形码中包含的内容)。在您在线办理登机手续或通过航空公司网站管理您的预订之前就是使用此代码。它也可以称为预订参考号。

那么这个 PNR 包含什么?

通常,它将包含您和您的旅行相关的任何其他信息,如下:

  • 全名和出生日期;
  • 护照号码和细节;
  • 通过航空公司进行的任何汽车租赁或酒店预订的详细信息;
  • 电子邮件地址和电话号码;
  • 所用支付卡的最后 4 位数字以及支付机票人的详细信息;
  • SSR(特殊服务请求)这可能是特殊膳食要求和原因(宗教,乳糖不耐症等)。SSR 还将详细说明您声明过的任何慢性病、残疾问题或医疗历史;
  • OSI(可选服务指令)升级选项,语言,行李等……

是的,很多信息!

大部分信息可通过航空公司网站上的“管理我的预订“访问,并且可能位于“乘客信息”部分。

你觉得这东西一定会被人们非常小心地保护吧?完全错了!不信的话让我们来搜索一下。

仅仅 Instagram:找到 100,000 张登机牌!

在航空公司的网站上登录并管理您的预订,您需要一个姓氏和这个 6 位数的代码。我意识到我可以在“办理登机手续”或“管理我的预订”标签下登录任何航空公司的网站,我只需要你的姓氏和这个 6 位数。记录定位器代码。

那么,我在哪里可以找到这个?Instagram 看起来是一个很好的起点。我搜索了#boardingpass,发现了超过 100,000 个结果!

可笑的是,大多数人都试图让自己看起来很“聪明”,用手或护照盖上登机牌上的名字。这是一个毫无意义的方法啊,因为他们让条形码清晰可见了。快速扫描条形码,它立即显示了最重要的姓氏和 6 位数代码。

一些航空公司确实试图通过从您上次航班降落后使登录详细信息变得多余来减轻这种风险,虽然从长远来看可以降低风险,但是,如果您预订了 2 周的假期 — — 并在 Instagram 上晒了自己的登机牌,那么,社交工程师们就有足足两周的时间可以登录并获取所有信息。

鱼叉式网络钓鱼攻击变得非常简单

现在,我真正“做”的只是将一个毫无戒心的旅行者的座位移到厕所旁边,或者就在舱壁前面。我不会支付任何费用甚至取消预订。

这对我来说无关紧要,因为 FAR 更有趣的是乘客信息部分中包含了所有个人信息和可能的敏感信息。我可以得到你的全名、出生日期、电子邮件地址和电话号码。我还可以看到是你的雇主帮你预订了机票,你和你的助手一起旅行,你的 SSR 说你携带了一支 epi 笔,你因为宗教信仰原因不能吃含有某些肉的机上餐。因此,所有这些信息都可以被恶意使用。

想象一下,你是一个攻击者。你知道我刚从伦敦希思罗机场乘坐英国航空公司飞往曼谷。你知道我的回程航班是 2 周,我用的是经济舱,在出境航班上我要求吃素食。这就够了。现在你可以开始伪装成英国航空公司,给我发送恶意钓鱼邮件,这样写:

“如果您的返程航班也需要素食餐,请点击此链接立即订购,除非您返回伦敦希思罗机场的航班相应服务已被订满。作为我们的重要客户,我们希望将您升级为商务舱,请点击以下链接接受优惠“。

随着你现在拥有的准确信息量,我很可能会相信实际上是英国航空公司在与我联系。老实说,如果换做是你,会不会点击那个链接?

托运行李

我还在飞机上等着,开始反思自己的旅行经历。这十年来我飞了太多次。我有时会把我的登机牌扔到家里,或酒店的垃圾箱里,有时我只是随便把它放在飞机上。到目前为止,我承认,我从未彻底切碎过它。这太危险了。

最后他们让我们下飞机。当我走过行李区时,我注意到,所有航空公司的行李标签上都有条形码。我之前没有注意到这点。我再次回到 Instagram 上寻找 #luggagetags 及其变体或者缩写。这些条形码也具有与其中包含的登机牌条形码相同的信息。我忽然意识到自己从来没有安全地丢弃掉这些行李牌!

“猜测”代码

当我终于回到家时,我认为作为乘客,显然需要像对待自己的护照那样谨慎对待我们的登机牌和行李牌,但还有一个问题。代码本身不是很安全。

我必需要在 Instagram 上才能找到你的 6 位数代码吗?我能不能猜到它呢?

尝试“猜测”密码或代码的一个大问题就是,网站上的锁定。毫无疑问,你会看到这样的东西,由于你输错密码太多次,你被迫等待15分钟才能重新尝试。一个 6 位数的字母数字代码(这些字母都不区分大小写)这意味着是一个非常弱的密码,并且通过使用体面的计算机消除过程来“猜测”也不是非常花时间的。所以我去了 12 个航空公司网站,发现了以下结果:

  • 没有明显的停工。我的电脑可以一次次接连不断地“猜测”代码,而没有哪个航空公司的网站告诉我在15分钟后再回来;
  • 有些航空公司实际上更离谱,在您输入代码的字段旁边有一个链接,点击它,航空公司给攻击者提供了有用的建议,例如“所有字母都是大写”;或“我们不使用 6 位数代码中的数字 1 和 0”、或在一个案例中,“代码是字母、数字、数字、然后 3 个字母“……简直太完美了 😂

这一切意味着“猜测”6位数代码非常容易。所有人都需要的是您的姓氏以及您乘坐的航空公司的名称。你曾经在社交媒体上发布过这些信息吗?检讨一下。

公平地说,一些航空公司比其他航空公司做得更好些。有的甚至鼓励乘客设置双重身份验证,因此您必须输入短信发送给智能手机的代码,这会让攻击变得有点难度

我们可以做些什么来降低这种风险?

  • 不要在线发布登机牌或行李牌的照片;
  • 尽量避免在任何社交媒体帖子中发布您搭乘哪家航空公司的班机,如果我不知道您使用的是哪家航空公司,则需要花费更长的时间和更多的努力尝试在每个航空公司的网站上查找该航线;
  • 安全地彻底地销毁您的登机牌和行李牌!理想情况下使用十字切碎机。或者把它们带在身上,直到你回到家,你可以安全地处理它们,当然不要把它们留在飞机的座位上!
  • 在预订航班时,只向航空公司提供其标记为*必不可少*的信息。如果未标记为必填字段,则将其留空。从根本上减少他们持有的个人信息量

本文强调了对如何存储和存档所有 PNR 信息的担忧。欧盟要求存档的 PNR 记录是匿名的,但很多研究人员对此的执行有效性深表怀疑。

我联系了看过的所有 12 家航空公司,向他们通报了系统中的缺陷,并强调可能会向乘客发出的攻击,告知他们在线发布登机牌信息存在潜在的安全风险。结果只有3家回复,只有1家说他们希望修复这个漏洞。另外两家甚至说这不是一个安全问题,因为“你还需要找到乘客的姓氏……”。也许他们完全忘了从社交媒体上获取这些信息是多么容易!◾️

感谢帮助 iYouPort!

PayPal 捐赠渠道已开通 https://paypal.me/iyouport

iYouPort

Written by

iYouPort

#AntiCensorship #AntiSurveillance #PressFreedom #Crypto #OSINT #Technology 官方网站:https://www.iyouport.org/

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade