Linkedin Intro的钓鱼研究

摘要：年月日，我联系了的安全团队，并会在近期发布修复补丁来解决下面的问题。有关月日，推出一个名为的应用程序。会对你的做些什么为了更好地观察的行为，目前我正对其进行更深入的分析研究，并很快就会发布。钓鱼去啦为达教学目的，我已经建立了一个基本的模板。

2013年10月28日，我联系了Linkedin的安全团队，并会在近期发布修复补丁来解决下面的问题。这个修复程序适用于随机生成ID的styling规则，同下面介绍的基于class的styling有所区别。

我并不是CSS专家，所以或许有其他技巧可以绕过这个限制和删除内容（甚至只是隐藏或覆盖它）————如果你知道，请email通知我！我将继续与Linkedin的安全团队合作来修复任何我们能找到的BUG。而用户需要注意的是世上没有完美的解决方案，即便在邮件中你所看到的这些数据也不能明确证明发送人的合法性。

我还要感谢Linkedin的安全团队，他们快速且有效地处理了这些问题。

10月23日，Linkedin推出一个名为"Intro"的应用程序。程序的运行条件很简单：允许iPhone用户看到本机Mail App里发件人的详细信息。这跟iPhone Mail App的Rapportive差不多，这两个app在本质上一样（且由相同的人所开发）。

然而，在看Intro最初的介绍中，有一个地方引起了我的注意:

  
David说Crosswise很想和你合作。这是垃圾邮件，还是真实邮件？

  
通过Intro，您可以立即看到David长什么样子，他在哪儿，他是干什么的。你可以看到，他是Crosswise的首席执行官。这是真正的交易。

这就像Linkedin说“我们放了一个锁住的照片在你的email里，所以你知道它肯定是安全的”这种情况一样。Linkedin简单地给用户一种虚假的安全感。在这篇文章中，我们将一起来看一看Linkedin在用户的邮件中到底是怎样做的，以及我们如何伪造这一信息，完全控制Intro所展现给用户的信息。

为了更好地观察Intro的行为，目前我正对其进行更深入的分析研究，并很快就会发布。而现在我们只是看看Intro工作的基础知识，看看它具体是如何对用户email进行操作的。

Intro首先获取一个OAuth访问令牌来管理你的电子邮件。因为Google应用的OAuth协议支持Gmail的IMAP和SMTP，所以它们无需验证你的邮箱密码就可获得授权。然后Linkedin就可以访问你的email并在你的iPhone上安装一个安全配置文件，该安全配置文件的最显著特点就是，它会安装一个新的email账户指向Linkedin的IMAP和SMTP服务器。我不晓得如何从iPhone自身恢复email账户密码，但通过代理拦截发送到iPhone的配置文件，我们可以看到这个email账户看起来像这样：

    PayloadDisplayNameEmail Settings
    PayloadTypecom.apple.mail.managed
    PayloadVersion1
    PayloadUUID[redacted]
    PayloadIdentifiercom.rapportive.iphone.settings.email.[redacted]
    EmailAccountNameTest Account
    EmailAccountTypeEmailTypeIMAP
    EmailAddressLinkedin.intro.test@gmail.com
    EmailAccountDescriptionGmail +Intro
    IncomingMailServerAuthenticationEmailAuthPassword
    IncomingMailServerHostNameimap.intro.Linkedin.com
    IncomingMailServerPortNumber143
    IncomingMailServerUseSSL
    IncomingMailServerUsername[username_redacted]
    IncomingPassword[password_redacted]
    OutgoingPasswordSameAsIncomingPassword
    OutgoingMailServerAuthenticationEmailAuthPassword
    OutgoingMailServerHostNamesmtp.intro.Linkedin.com
    OutgoingMailServerPortNumber587
    OutgoingMailServerUseSSL
    OutgoingMailServerUsernameGmail+Intro ?[username_redacted]
    OutgoingPassword[password_redacted]

通过拦截该配置文件，我们可以得到用于登录到Linkedin的IMAP(imap.intro.Linkedin.com)和SMTP(smtp.intro.Linkedin.com)服务的用户名和密码。用户名是base64编码的字符串，密码是一个32个字符的hash。

现在，我们已经有了这邮件账户使用的用户名和密码，让我们抓取第一个电子邮件，看看Linkedin的IMAP代理注入了什么内容。我们可以使用OpenSSL来做到这一点哦。

# openssl s_client -connect imap.intro.Linkedin.com:143 -starttls imap -crlf -quiet
depth=2 C = US， O = "thawte， Inc."， OU = Certification Services Division， OU = "(c) 2006 thawte， Inc. - For authorized use only"， CN = thawte Primary Root CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
. OK More capabilities after LOGIN
a LOGIN username_redacted password_redacted
* CAPABILITY IMAP4rev1 IDLE NAMESPACE ID CHILDREN UIDPLUS COMPRESS=DEFLATE
A OK Linkedin.intro.test@gmail.com Test Account authenticated (Success)
b SELECT INBOX
* FLAGS (Answered Flagged Draft Deleted Seen)
* OK [PERMANENTFLAGS (Answered Flagged Draft Deleted Seen *)] Flags permitted.
* OK [UIDVALIDITY 1] UIDs valid.
* 4 EXISTS
* 0 RECENT
* OK [UIDNEXT 5] Predicted next UID.
* OK [HIGHESTMODSEQ 1049]
b OK [READ-WRITE] INBOX selected. (Success)
c FETCH 4 BODY[]
* 4 FETCH (FLAGS (Seen) BODY[] {36510}
email_content_here

事实证明，Linkedin注入了相当多的内容到你的电子邮件中去。基本的结构看起来像这样：

  
      
      User specified CSS (if any)
      
  
  
      
      Injected Linkedin Intro HTML Content
      
      Original Message
  

你可以在这里找到完整的电子邮件(一些链接和一些未被删掉的东西)。现在我们知道Linkedin对该email做了些什么了吧，让我们再看看如何使用它来让我们的钓鱼邮件看起来是合法的。

就像设置一个欺骗性的网站一样，我们可以简单地复制Linkedin所提供的现有CSS和HTML结构，并根据我们的需要来使用它。首先我们想要做的是找到除去Intro现有数据的方法。我们可以把现有Intro块的CSS设置为display:none;。很不幸的是， Linkedin显然也想到了这一点，由于CSS通常是插入到head标签后面，他们相当细心地为display，height等设置了!important关键词，以提高指定样式规则的应用优先权。

但仍然不够细致，如果我们看CSS，可以发现到其规则适用于#rapportive.iphone元素。如果我们仔细观察，就会发现，其实我们想要隐藏的HTML有一个完整的规范#rapportive.rapportive.topbar.iphone。因此，我们可以简单地设置以下样式的隐藏:

就是这么简单。

现在，我们已经删除了现有的Intro数据，我们可以自由注入我们自己的数据了。要做到这一点，我们可以复制Linkedin提供的现有HTML。若要确保我们的数据不会被我们之前的CSS隐藏，我们可以简单地从root中删除topbar类，因为它不会影响样式。最后我们想要做的是清除Linkedin在原来信息上设置的边距，以及把实际数据本身改成任何我们想要的数据。此外，我复制了一些CSS和HTML，修改了自动生成的Id。这将确保我们的模板始终一致。

为达教学目的，我已经建立了一个基本的PoC模板。若要使用它，你只需访问你要欺骗的那个人的Linkedin配置文件，填写所需的CSS信息。理想情况下，将来可改进成自动擦除此信息并检查确保Intro数据只在移动设备上显示等。现在，它是基本可用的，让我们看看如果我对Linkedin原来显示的信息实行欺骗会是怎样。(谅解一下，这不是IOS7————我没有见过IOS7系统会有这么多问题):

这就是当我打开Intro选项时所看到的详细信息(它们是可以自定义的，我让它们展示了一下我确实控制了其内容)：

显然，这是一个不具恶意的例子。当然，要添加恶意文件、请求敏感信息，也同样很简单。

虽然Linkedin Intro表面上看起来很有用————只是使用它的话，风险太高了。作为一个社会工程师，我希望我的目标是使用Intro。Linkedin Intro的使用，为用户营造了一种虚假的安全感，这使得我和广大社工人员的工作便捷许多。

原文 Phishing With Linkedin"s Intro

翻译 IDF实验室陈民慧