婚戀網(wǎng)站背后,可能藏著精心設(shè)計(jì)的釣魚攻擊
原創(chuàng)【51CTO.com原創(chuàng)稿件】近幾周,iOS 應(yīng)用 WePhone 的創(chuàng)始人、開發(fā)者蘇享茂自殺的消息引爆了輿論。作為跟程序員行業(yè)密切相關(guān)的熱點(diǎn)事件,本文在表達(dá)對(duì)逝者的惋惜與尊重的同時(shí),也想從信息安全的角度聊一聊釣魚這件事。
婚戀網(wǎng)站背后,可能藏著精心設(shè)計(jì)的釣魚攻擊
01事件回顧
詳見上周報(bào)道:37歲天才程序員之死:為何他被迫簽下總價(jià)1300萬(wàn)的離婚協(xié)議
不論是媒體還是觀眾,對(duì)此事都非常關(guān)注,并猜測(cè)最終導(dǎo)致蘇享茂走上自殺道路的原因。經(jīng)過記者的調(diào)查,蘇享茂與前妻翟某相識(shí)的平臺(tái)——世紀(jì)佳緣也許有著不可推卸的責(zé)任。
02婚戀交友平臺(tái)的漏洞
世紀(jì)佳緣注冊(cè)頁(yè)面 — 只有手機(jī)號(hào)是必填項(xiàng)
小編在世紀(jì)佳緣注冊(cè)了賬號(hào),體驗(yàn)平臺(tái)的具體功能,結(jié)果發(fā)現(xiàn),注冊(cè)和提交資料過程未經(jīng)過任何實(shí)名制審核。
此外,雖然世紀(jì)佳緣官網(wǎng)有“用戶靠譜度”的評(píng)價(jià)指標(biāo),但即使是未經(jīng)過審核、沒有實(shí)名認(rèn)證的賬號(hào)也能獲得將近 70 分的評(píng)分(及格)。而百合網(wǎng)、珍愛網(wǎng)等知名婚戀交友網(wǎng)站都沒有實(shí)名認(rèn)證環(huán)節(jié)。
最值得注意的是,即使用戶主動(dòng)實(shí)名認(rèn)證,但在填寫資料時(shí),學(xué)歷、收入、住房、婚姻資料等信息也都可以隨意填寫。而這些,正中詐騙者的下懷。
03基于婚戀交友網(wǎng)站的釣魚攻擊和網(wǎng)絡(luò)詐騙
早在 2010 年,就有人將網(wǎng)絡(luò)交友詐騙劃分了類別,還將這種行為命名為 Catfishing。
Catfishing 是一種特殊的網(wǎng)絡(luò)釣魚攻擊方式,主要針對(duì)的是利用社交網(wǎng)站交友、婚戀的人群。攻擊者在社交網(wǎng)站上創(chuàng)建虛假個(gè)人資料,欺騙交友者,進(jìn)而騙財(cái)騙色騙感情,甚至竊取個(gè)人信息進(jìn)行更多惡意活動(dòng)。
伊朗黑客組織偽造的美女社交資料
發(fā)展至今,詐騙團(tuán)伙也有了新的花樣。他們從單純的欺騙轉(zhuǎn)向?yàn)榕c受害人建立感情基礎(chǔ)(如此一來,最后就算涉及詐騙,也難以立案),隨后再實(shí)施詐騙計(jì)劃。此外,與以往的集中式詐騙團(tuán)伙不同,現(xiàn)在這類詐騙呈現(xiàn)出分散化、自愿化的特點(diǎn)。
一個(gè)簡(jiǎn)單完整的產(chǎn)業(yè)鏈如下:
- 上游黑客利用技術(shù)爬取世紀(jì)佳緣、百合網(wǎng)等網(wǎng)站中的嘉賓信息,具體到姓名、聯(lián)系方式、學(xué)歷、資產(chǎn)信息、婚姻狀況、消費(fèi)情況等。
- 中游有人專門盜取社交網(wǎng)站中的美女圖片,注冊(cè)新微信賬號(hào)發(fā)朋友圈(養(yǎng)號(hào)、偽造成真實(shí)賬號(hào))。
- 下游根據(jù)爬取到的信息特征,與養(yǎng)的微信號(hào)進(jìn)行匹配,隨后偽裝身份并套用現(xiàn)有的話術(shù)模板,正式實(shí)施詐騙。
據(jù)知情者表示,利用這種模式,一個(gè)話務(wù)可以同時(shí)與 30 個(gè)左右的男士交流,交流到一定程度,甚至可以對(duì)其進(jìn)行思想控制,讓對(duì)方心甘情愿為自己花錢。
整個(gè)過程中涉及的信息泄露可謂驚人,不論是婚戀網(wǎng)站的嘉賓信息,還是社交網(wǎng)站中發(fā)布的個(gè)人照片,都有可能被不法分子利用,實(shí)施犯罪。
回到 WePhone 創(chuàng)始人自殺事件本身:女方隱瞞婚戀信息;女方稱自己舅舅有背景可以封殺男方產(chǎn)品進(jìn)行威脅。
在婚姻存續(xù)期間,男方從未見過女方任何閨蜜、同事、朋友等,且在離婚過程中還有其他男性幫助女方實(shí)施威脅恐嚇、以及雙方微信聊天截圖中透露出的男方態(tài)度等,都很符合 catfishing 的特征。
04逝者已矣生者如斯
事情的真相還在進(jìn)一步調(diào)查。逝者已逝,我們?cè)诎У俊⑼锵У耐瑫r(shí),要正視并反思現(xiàn)如今網(wǎng)絡(luò)時(shí)代中的個(gè)人信息安全問題。希望大家都能好好愛惜自己,無論遇到什么,都努力堅(jiān)持下去,活著,才能談明天。
GitHub “對(duì)自殺說不”開源協(xié)議
面對(duì)越來越多的網(wǎng)絡(luò)釣魚,我們?nèi)绾螒?yīng)對(duì)?下面我們?cè)敿?xì)了解一下網(wǎng)絡(luò)釣魚的演進(jìn)過程。
網(wǎng)絡(luò)釣魚攻擊定義
01何為網(wǎng)絡(luò)釣魚攻擊
網(wǎng)絡(luò)釣魚攻擊(phishing與fishing發(fā)音相近)是最初通過發(fā)送消息或郵件,意圖引誘計(jì)算機(jī)用戶提供個(gè)人敏感信息如密碼、生日、信用卡卡號(hào)以及社保賬號(hào)的一種攻擊方式。
為實(shí)施此類網(wǎng)絡(luò)詐騙,攻擊者將自己偽裝成某個(gè)網(wǎng)站的官方代表或與用戶可能有業(yè)務(wù)往來的機(jī)構(gòu)(如 PayPal、亞馬遜、聯(lián)合包裹服務(wù)公司(UPS)和美國(guó)銀行等)的代表。
攻擊者發(fā)送的通信內(nèi)容的標(biāo)題可能包含“iPad 贈(zèng)品”、“欺詐告警”或其他誘惑性內(nèi)容。郵件可能包含公司的標(biāo)志、電話號(hào)碼及其他看似完全合法的內(nèi)容。
攻擊者的另一個(gè)慣用伎倆是使郵件看起來像是來自您的親朋好友,讓您以為他們要與你分享一些東西。
然而,當(dāng)您點(diǎn)擊了郵件中的鏈接,會(huì)被帶到虛擬網(wǎng)站而非真實(shí)網(wǎng)站,讓您在毫無戒備的情況下按照提示輸入個(gè)人信息。
攻擊者會(huì)獲取這些輸入信息,然后立即使用或在黑市上買賣用于惡意目的,或既自用又出售。
很多時(shí)候,用戶計(jì)算機(jī)也會(huì)受到感染,然后將釣魚郵件發(fā)送給通訊錄上的聯(lián)系人,助其肆意傳播(惡意代碼會(huì)控制受感染計(jì)算機(jī)的 Web 瀏覽器,該攻擊手段稱為域欺騙。)
在傳統(tǒng)釣魚攻擊中,這些詐騙者會(huì)發(fā)送數(shù)百萬(wàn)“魚鉤”,只需較少用戶點(diǎn)擊鏈接“上鉤”。根據(jù)加拿大政府的統(tǒng)計(jì),每日全球發(fā)送 1.56 億封釣魚郵件,而最終有 8 萬(wàn)用戶點(diǎn)擊郵件中的鏈接, 導(dǎo)致重大損失。
據(jù) Ponemon 機(jī)構(gòu)估計(jì),通常擁有 10000 名員工的公司每年應(yīng)對(duì)網(wǎng)絡(luò)釣魚攻擊的花費(fèi)就高達(dá) 370 萬(wàn)美元,而這種趨勢(shì)沒有減弱跡象,而是愈演愈烈。
02網(wǎng)絡(luò)釣魚實(shí)例
網(wǎng)絡(luò)釣魚攻擊形形色色,花招繁多,但萬(wàn)變不離其宗,即他們想騙取你的個(gè)人信息。
當(dāng)然,此類攻擊所利用一個(gè)主要工具仍是易用的傳統(tǒng)郵件,通常這些郵件會(huì)發(fā)送給大公司工作繁忙或壓力大的員工,因?yàn)樗麄儠?huì)不假思索地點(diǎn)擊郵件中的鏈接。
盡管很多大公司已部署了防御措施(如惡意軟件檢測(cè)器或垃圾郵件過濾器),但黑客已發(fā)現(xiàn)新的入侵方法,在一次攻擊事件中居然利用了空調(diào)。
確切地說,攻擊者 2014 年入侵了零售巨頭 Target 的網(wǎng)絡(luò),造成 1.1 億條信用卡信息泄露。
此次攻擊的原因是攻擊者對(duì)為 Target 在賓夕法尼亞州的零售店提供空調(diào)服務(wù)的法齊奧機(jī)械服務(wù)公司進(jìn)行了釣魚詐騙,因?yàn)樵摴揪邆?Target 供應(yīng)商數(shù)據(jù)庫(kù)的訪問權(quán)限。
法齊奧員工點(diǎn)擊了一個(gè)惡意鏈接,在毫不知情的情況下導(dǎo)致計(jì)算機(jī)被入侵,憑證被竊取,使攻擊者獲取了 Target 的訪問權(quán)限。數(shù)月之后,攻擊者入侵了 Target 網(wǎng)絡(luò)。
最終,Target 還是盡其所能挽回了損失,而其他受害者就不一定這么走運(yùn)了。根據(jù) NBC 新聞 2012 年的報(bào)道,一位未透露姓名的英國(guó)女士稱,她收到了一個(gè)看似來自銀行的釣魚郵件,點(diǎn)擊了鏈接,按照提示輸入了個(gè)人信息。
三天后,她賬戶上的 160 萬(wàn)美元不翼而飛,這可是她一生的積蓄。
03網(wǎng)絡(luò)釣魚攻擊的其他類型
另一種非常流行的網(wǎng)絡(luò)釣魚攻擊方法稱為搜索引擎釣魚,即詐騙者創(chuàng)建包含某些關(guān)鍵詞的網(wǎng)頁(yè)。
這樣,用戶搜索這些關(guān)鍵詞時(shí)會(huì)檢索出這些惡意頁(yè)面,然后會(huì)在 Google 中毫無戒心地單擊這些惡意鏈接,不會(huì)將其視為網(wǎng)絡(luò)釣魚詐騙,等意識(shí)到自己中招時(shí)為時(shí)已晚。
04語(yǔ)音釣魚和短信釣魚
“語(yǔ)音釣魚”和“短信釣魚”是兩種重要的移動(dòng)釣魚攻擊方法。
語(yǔ)音釣魚指通過語(yǔ)音進(jìn)行網(wǎng)絡(luò)釣魚攻擊,具體指攻擊者通過呼叫受害人進(jìn)行釣魚攻擊。
同時(shí),在社交媒體風(fēng)行的當(dāng)下,人們公開發(fā)布了大量信息。這樣,攻擊者就趁機(jī)獲取很多用戶信息,使自己的偽裝更加可信。
這些語(yǔ)音攻擊者可篡改來電號(hào)碼,使其看起來像是從另外一個(gè)號(hào)碼發(fā)起的呼叫,這樣就又為欺騙蒙上了一層面紗。
現(xiàn)在,快速發(fā)展的人工智能軟件完全可模仿人類呼叫者,可想而知,以后的詐騙伎倆無疑讓人心生恐懼。
短信釣魚(SMS 釣魚)攻擊,即通過向智能手機(jī)發(fā)送短信來發(fā)動(dòng)攻擊。McAfee 表示,在早期的短信攻擊中,攻擊者向受害者發(fā)送確認(rèn)消息,讓用戶打開鏈接“取消”未訂購(gòu)的電話業(yè)務(wù)或其他服務(wù)。
在毫無戒心的用戶單擊鏈接后,其手機(jī)就變成大型釣魚詐騙網(wǎng)絡(luò)的成員。
網(wǎng)絡(luò)釣魚攻擊、魚叉式釣魚攻擊、域欺騙、語(yǔ)音釣魚、短信釣魚和社交工程欺詐僅僅是黑客用于獲取用戶信息所使用的幾個(gè)最新手段。為防止中招,點(diǎn)擊鏈接前請(qǐng)三思而后行。
網(wǎng)絡(luò)釣魚攻擊向量介紹
在搭建了合適的釣魚網(wǎng)絡(luò)、收集了信息以及放置誘餌之后,攻擊者可入侵任何公司、組織甚至政府機(jī)構(gòu),造成極大破壞。
網(wǎng)絡(luò)釣魚攻擊的目的包括:竊取數(shù)據(jù)及金融詐騙、高級(jí)持續(xù)性威脅(APT)和惡意軟件傳播。
01數(shù)據(jù)竊取與金融詐騙
根據(jù) PhishLabs 于 2016 年所作研究,2015 年 22% 的魚叉式釣魚攻擊的動(dòng)機(jī)均為金融詐騙或其他相關(guān)犯罪。
通過這種攻擊方式,攻擊者獲利頗豐,所以該類事件不勝枚舉。例如,2016年初針對(duì)木蘭健康公司(Magnolia Health)的攻擊中,某釣魚網(wǎng)絡(luò)假冒該公司 CEO 發(fā)送郵件。
這就是所謂的偽造郵件釣魚攻擊,直接造成公司員工數(shù)據(jù)泄露,包括員工的社保號(hào)、工資標(biāo)準(zhǔn)、出生日期、通信地址、姓名全稱以及工號(hào)。
02網(wǎng)絡(luò)釣魚 APT
APT 也是一種網(wǎng)絡(luò)攻擊者喜歡的攻擊方式。總的來說,這是一種長(zhǎng)期感染或安全漏洞,可能持續(xù)數(shù)周、數(shù)月甚至長(zhǎng)達(dá)一年而不為人知。
這些攻擊中沒有“最常見”的目標(biāo),基本上,任何人都可能被攻擊。各種規(guī)模的企業(yè)、非盈利組織甚至政府機(jī)構(gòu)都可能遭遇APT攻擊。
還有一點(diǎn)很重要,APT 多與外國(guó)政府和軍方有關(guān),而非常規(guī)的釣魚網(wǎng)絡(luò)。
APT 有如下特點(diǎn):
- 持續(xù)進(jìn)行活動(dòng)。
- 目的明確。
- 一般針對(duì)行事高調(diào)的目標(biāo)。
- 屬于“誘捕式”攻擊。
誘捕式攻擊指目標(biāo)一旦上鉤,攻擊者便會(huì)長(zhǎng)期潛伏,持續(xù)攻擊受害人。多數(shù)釣魚攻擊類似于肇事逃逸,持續(xù)時(shí)間相對(duì)較短,但 APT 會(huì)持續(xù)很長(zhǎng)時(shí)間。
之所以這樣,部分原因是受害者一般很難發(fā)現(xiàn)攻擊,因而也就無法進(jìn)行響應(yīng)。
如上所述,APT 針對(duì)特定目標(biāo),以實(shí)現(xiàn)特定目的。APT 的任務(wù)從竊取資金到收集敵對(duì)政府的情報(bào)甚至是實(shí)現(xiàn)政治目標(biāo)不一而足。它們還經(jīng)常針對(duì)數(shù)字資產(chǎn),如核電廠設(shè)計(jì)或高科技原理圖。
典型的 APT 攻擊包括如下六個(gè)主要步驟或階段:
- 攻擊者收集目標(biāo)的信息,常用方法是社會(huì)工程,其他方法還包括網(wǎng)頁(yè)抓取、通過聊天室和社交網(wǎng)絡(luò)進(jìn)行人際互動(dòng)等。
- 攻擊者構(gòu)造并發(fā)送釣魚郵件和/或消息,內(nèi)容針對(duì)目標(biāo)量身定制,真?zhèn)坞y辨,包括真實(shí)姓名、電話號(hào)碼、地址以及用以騙取信任的其他細(xì)節(jié)信息。
- 目標(biāo)打開郵件,進(jìn)行操作:點(diǎn)擊鏈接打開受感染或偽造的網(wǎng)站,或下載受感染的文檔。不管哪種情況,目標(biāo)都已受騙上鉤。
- 用戶所使用的系統(tǒng)被入侵。
- 入侵系統(tǒng)接下來會(huì)感染目標(biāo)組織、公司或機(jī)構(gòu)的整個(gè)網(wǎng)絡(luò)。
- 攻擊者伺機(jī)攻擊目標(biāo)獲取數(shù)據(jù)。
- 最后,APT 組織會(huì)提取數(shù)據(jù)并進(jìn)行解析和整理。
一旦感染并控制了目標(biāo),APT 實(shí)施者便能夠進(jìn)一步植入惡意軟件、病毒和其他威脅。
例如,可部署遠(yuǎn)程訪問木馬(RAT),讓 APT 組織長(zhǎng)驅(qū)直入,訪問網(wǎng)絡(luò)中的任何數(shù)據(jù)。取得控制權(quán)后,APT 組織會(huì)潛伏下來,監(jiān)聽并竊取信息,直到受害人發(fā)覺網(wǎng)絡(luò)被入侵,而在這之前,攻擊者一般有充足的時(shí)間不慌不忙地收集數(shù)據(jù)。
03惡意軟件傳播
有些釣魚攻擊誘騙用戶在假冒網(wǎng)站或 Web 表單中輸入信息以竊取憑證,而有些則有進(jìn)一步企圖。惡意軟件由來已久,不過現(xiàn)在的它們比過去要高級(jí)得多。
在受害者系統(tǒng)中安裝惡意軟件是釣魚網(wǎng)絡(luò)在滲透并感染目標(biāo)公司或組織時(shí)最喜歡的一個(gè)方法。釣魚組織主要通過兩個(gè)手段實(shí)現(xiàn)這個(gè)目的。
一種是通過惡意附件感染目標(biāo)系統(tǒng)。這種情況下,要精心構(gòu)造郵件并發(fā)給個(gè)人。郵件中包含附件,或?yàn)?Word/PDF 文件,或?yàn)槠渌袷降奈募o論哪種情況,郵件發(fā)送人看似都很可信,比如,可能是同事、老板、金融機(jī)構(gòu)等。
最好的情況是殺毒軟件在此類附件打開前進(jìn)行掃描并檢測(cè)到惡意軟件。然而,即使是最新的殺毒軟件有時(shí)也無法對(duì)壓縮文件進(jìn)行徹底掃描,風(fēng)險(xiǎn)依然存在。
勒索軟件在釣魚網(wǎng)絡(luò)中的地位日益凸顯,是最可怕的惡意附件之一。不過,勒索軟件還可以通過受感染網(wǎng)站下載,這意味著郵件附件并不是攻擊者的唯一選擇。
勒索軟件恰如其名,這種惡意軟件先感染目標(biāo)系統(tǒng),然后進(jìn)行加密,這樣就如同控制人質(zhì)一樣控制了硬盤中的所有數(shù)據(jù)。
在個(gè)人、公司或組織支付贖金后,攻擊者釋放文件。消費(fèi)者、CEO 甚至于警察局都曾被如此勒索過。
通過附件傳播惡意軟件時(shí)還能使用宏病毒,這種病毒常用于感染微軟 Office 文件,啟動(dòng)程序或進(jìn)行特定操作都會(huì)觸發(fā)病毒。
釣魚網(wǎng)絡(luò)感染受害者時(shí)使用的另一個(gè)手段是惡意鏈接。這種情況下,郵件中包含的不是惡意附件,而是 URL。
郵件或社交媒體消息的目的是誘騙目標(biāo)點(diǎn)擊鏈接,一旦點(diǎn)擊,計(jì)算機(jī)中就開始下載代碼,或者用戶被定向至病毒/偽造網(wǎng)站,惡意軟件乘機(jī)植入到計(jì)算機(jī)中。
惡意鏈接比惡意附件更有效,因?yàn)獒烎~網(wǎng)絡(luò)竭力使消息看起來真實(shí)可信。前述木蘭公司攻擊中所使用的郵件就是這樣一個(gè)典型例子。
郵件內(nèi)容各不相同,但如下幾種最常見:
- 通知用戶其賬戶被黑或遭遇某種惡意行為。
- 通知用戶進(jìn)行操作以避免賬戶被凍結(jié)或驗(yàn)證身份。
- 通知用戶檢測(cè)到金融賬戶存有欺詐行為。
其他類似方法還包括搶注域名和誤植域名,這兩種方法依賴的都是正確拼寫的 URL 的變體。
搶注域名是指注冊(cè)和實(shí)際公司域名非常類似的域名,然后再模仿真實(shí)公司網(wǎng)站偽造另一個(gè)網(wǎng)站。誤植域名的過程大同小異,但利用的是輸入公司域名時(shí)常見的打字錯(cuò)誤。
此外,隨著時(shí)間的推移,釣魚攻擊有增無減,公司和組織對(duì)于此類風(fēng)險(xiǎn)總是后知后覺,而在實(shí)施安全規(guī)程、進(jìn)行必要培訓(xùn)以抗擊日益增多的威脅方面行動(dòng)更為遲緩。
網(wǎng)絡(luò)釣魚攻擊戰(zhàn)術(shù)
要防護(hù)網(wǎng)絡(luò)釣魚攻擊并制定相應(yīng)計(jì)劃,深入了解攻擊者很關(guān)鍵,需要更多地了解此類攻擊過程,包括從初始計(jì)劃及準(zhǔn)備階段到釣魚網(wǎng)絡(luò)如何協(xié)助攻擊發(fā)生,再到提交誘餌并收集數(shù)據(jù)。
這些信息不僅可以幫助企業(yè)和組織對(duì)不可避免的攻擊做到有備無患,在他們制定對(duì)抗攻擊的關(guān)鍵步驟時(shí)還能提供重要的參考,有時(shí)甚至可以預(yù)防攻擊。盡管無法保證攻擊者不攻擊您或您的企業(yè),但請(qǐng)記住“凡事預(yù)則立”。
01計(jì)劃與準(zhǔn)備
像任何軍事活動(dòng)一樣,網(wǎng)絡(luò)釣魚攻擊都是從很多瑣碎的工作開始的。發(fā)起攻擊前,需要進(jìn)行大量的研究和細(xì)致的計(jì)劃與準(zhǔn)備。
很多情況下,這些都不是一蹴而就的。它們是精心策劃的攻擊,能夠讓任何戰(zhàn)術(shù)家引以為傲。
02收集信息—第一步
策劃網(wǎng)絡(luò)釣魚攻擊的第一步是搜集信息。釣魚組織(多數(shù)情況下,為團(tuán)伙或網(wǎng)絡(luò),并非牟取一己私利的獨(dú)立黑客)必須確定攻擊目標(biāo),然后搜集可讓攻擊滲透任何安全協(xié)議的重要信息。
大多數(shù)黑客組織利用互聯(lián)網(wǎng)中繼聊天(IRC)進(jìn)行策劃和戰(zhàn)略溝通,并討論攻擊目標(biāo)、攻擊方法等,因?yàn)?IRC 是匿名的,并且安全。
03釣魚網(wǎng)絡(luò)
網(wǎng)絡(luò)釣魚攻擊通常不是一個(gè)獨(dú)立的攻擊者,而是團(tuán)隊(duì)完成的,這些團(tuán)隊(duì)被稱之為釣魚網(wǎng)絡(luò)。
你可以把他們想象成任何其他的商業(yè)網(wǎng)絡(luò),團(tuán)隊(duì)成員技能互補(bǔ),一起為實(shí)現(xiàn)共同的事業(yè)或目標(biāo)而努力。
攻擊者表示,實(shí)現(xiàn)這一切只需輕輕一點(diǎn),剩下的就交由歷史了。通過訪問被攻擊主機(jī),攻擊者幾乎可以做任何事情,包括植入惡意代碼、下載病毒和獲取數(shù)據(jù)。在某些情況下,攻擊組織可訪問重要的公司數(shù)據(jù)長(zhǎng)達(dá)數(shù)月、甚至數(shù)年之久。
04下餌與信息搜集
網(wǎng)絡(luò)釣魚攻擊都要使用誘餌。釣魚網(wǎng)絡(luò)竭盡全力獲取員工或主管信息,但若不能創(chuàng)造出誘人的餌,所有的努力都是徒勞。
因此,誘餌非常重要。若誘餌不引人注目,目標(biāo)就不會(huì)采取預(yù)期操作(例如單擊鏈接)。這意味著攻擊者失去了攻擊目標(biāo),無論是入侵 PC、財(cái)務(wù)信息還是個(gè)人數(shù)據(jù),或其他完全不同的內(nèi)容,釣魚網(wǎng)路使用的誘餌的形式多種多樣。
05上鉤
任何網(wǎng)絡(luò)釣魚攻擊的終極目標(biāo)都是讓目標(biāo)“上鉤”,一旦下餌,目標(biāo)上鉤后,好戲就開始了。至此,攻擊者可訪問其需要的信息,若獲取了管理員憑證,攻擊者可以做很多事情,包括誘騙其他用戶。
在最壞的情況下,攻擊者利用 DNS 緩存污染接管整個(gè)服務(wù)器,并將所有流量重定向至釣魚網(wǎng)站。攻擊者還能夠截獲數(shù)據(jù),甚至掃描硬盤、收件箱及其他文件夾。
一旦加入,網(wǎng)絡(luò)釣魚攻擊者將開始數(shù)據(jù)提取流程。他們會(huì)抓取數(shù)據(jù)庫(kù)數(shù)據(jù)以獲取個(gè)人和財(cái)務(wù)數(shù)據(jù),并將這些數(shù)據(jù)添加到電子表格中。
他們對(duì)某些類型的數(shù)據(jù)特別感興趣,包括:
- 社保號(hào)
- 姓名全稱
- 通信地址
- 郵箱地址
- 信用卡號(hào)
- 密碼
一旦信息被抓取和保存,釣魚組織將執(zhí)行計(jì)劃的最后一步。他們?cè)诤谑猩铣鍪圻@些信息,其他人會(huì)利用這些信息竊取身份,開立新的信用卡賬戶,或利用他人資料偽造全新的身份。
出價(jià)高者將得到這些數(shù)據(jù),然后釣魚組織瓜分利潤(rùn)。在某些地方,某些人可能愿意以 1200 美元的高價(jià)購(gòu)買個(gè)人手機(jī)號(hào)碼和郵件地址。
網(wǎng)絡(luò)釣魚的可怕性不僅在于數(shù)據(jù)失竊,還在于攻擊易于發(fā)動(dòng)。而且,任何企業(yè)、組織或政府機(jī)構(gòu)都可能成為受害者,唯一的防護(hù)方法是要提高警惕并做好準(zhǔn)備。
網(wǎng)絡(luò)釣魚對(duì)策(反釣魚)
對(duì)抗網(wǎng)絡(luò)釣魚的方法有技術(shù)性的,也有非技術(shù)性的。
這里著重介紹四種反釣魚技術(shù):
- 反釣魚技術(shù)手段。
- 非技術(shù)對(duì)策。
- 模擬釣魚攻擊。
- 反釣魚小貼士。
01反釣魚技術(shù)手段
最有效、最常用的技術(shù)手段包括:
- 使用 HTTPS。
- 正確配置 Web 瀏覽器。
- 監(jiān)控釣魚網(wǎng)站。
- 正確配置郵件客戶端。
- 使用垃圾郵件過濾器。
使用 HTTPS
一般的 HTTP 網(wǎng)站使用 80 端口,而安全版本的 HTTP 即 HTTPS 使用 443 端口,使用 HTTPS 意味著瀏覽器與目標(biāo)服務(wù)器之間的所有信息均加密傳輸。
所以,HTTPS 的“S”表示“安全”(Secure),但使用 HTTPS 訪問網(wǎng)站并不能 100% 保證安全。
網(wǎng)絡(luò)釣魚者會(huì)使用 HTTPS 搭建釣魚網(wǎng)站,判斷網(wǎng)站合法性的最有效方法是驗(yàn)證證書詳細(xì)信息,合法的網(wǎng)站應(yīng)有由知名、可信的證書機(jī)構(gòu)(CA)頒發(fā)的證書。
正確配置 Web 瀏覽器
多數(shù)瀏覽器自帶工具防止用戶被定向至釣魚網(wǎng)站。Mozilla 火狐瀏覽器的“安全”配置頁(yè)面中的“常規(guī)”設(shè)置有如下幾個(gè)選項(xiàng):
- 當(dāng)站點(diǎn)嘗試安裝附加組件時(shí)警告。
- 阻止已報(bào)告的攻擊站點(diǎn)。
- 阻止已報(bào)告的釣魚網(wǎng)站。
最好全部選中這三個(gè)選項(xiàng)以更好地保護(hù)自己,IE 瀏覽器的工具下拉菜單中有個(gè)SmartScreen篩選器。使用這個(gè)選項(xiàng),你所訪問的每個(gè)網(wǎng)站都會(huì)發(fā)送給微軟,微軟將根據(jù)舉報(bào)網(wǎng)站清單驗(yàn)證其真實(shí)性。
監(jiān)控釣魚網(wǎng)站
微軟等組織存有動(dòng)態(tài)更新的舉報(bào)網(wǎng)站清單,網(wǎng)上還有現(xiàn)成工具可在訪問網(wǎng)站前進(jìn)行網(wǎng)站檢查,例如谷歌安全瀏覽工具。
正確配置郵件客戶端
最終用戶不能走進(jìn)機(jī)房配置郵件服務(wù)器,但能夠配置郵件客戶端處理郵件的方法。郵件客戶端的種類很多,現(xiàn)在尤其如此,因?yàn)槿藗冊(cè)絹碓絻A向于在移動(dòng)設(shè)備上查看郵件。
重要的是要了解所選擇客戶端的特性,OutLook 仍然是最受歡迎的桌面郵件客戶端,提供網(wǎng)絡(luò)釣魚保護(hù)。
進(jìn)入垃圾郵件設(shè)置,禁用鏈接,接收關(guān)于可疑域和郵件地址的警告。若使用谷歌安全瀏覽工具,可在目標(biāo)網(wǎng)站前輸入如下 URL:
http://www.google.com/safebrowsing/diagnostic?site=
例如,在訪問 apple.com 前,將目的地址添加到上述 URL 中的“=”后,然后按回車鍵。
垃圾郵件過濾器
除了正確設(shè)置郵件客戶端,還可以在郵件中使用垃圾郵件過濾器。
02非技術(shù)對(duì)策
最有效的非技術(shù)對(duì)策是培訓(xùn)用戶,保證本組織內(nèi)部人員甚至家庭成員了解時(shí)下的網(wǎng)絡(luò)釣魚技術(shù),防止他們成為網(wǎng)絡(luò)釣魚攻擊的受害者。
有些組織甚至構(gòu)造釣魚郵件以識(shí)別容易上當(dāng)?shù)膯T工。點(diǎn)擊郵件中鏈接或未上報(bào)可疑情況的員工會(huì)被定向至培訓(xùn)網(wǎng)站,接受強(qiáng)制培訓(xùn),有時(shí)甚至還要就培訓(xùn)內(nèi)容參加考試。
另一種非技術(shù)對(duì)策是法律政策。公司出臺(tái)政策保護(hù)員工及其資產(chǎn)不被攻擊。這種政策本身是非技術(shù)性的,但用于指導(dǎo)技術(shù)控制措施的制定。
目前,已有相關(guān)法律試圖保護(hù)消費(fèi)者免受垃圾郵件和釣魚攻擊的侵?jǐn)_,但這些案件很難追查,犯罪分子也很難定位。
03模擬釣魚攻擊
模擬釣魚攻擊指組織為自保而發(fā)起的釣魚攻擊,為了更有效地培養(yǎng)員工的反釣魚意識(shí),組織會(huì)編寫釣魚郵件發(fā)送給員工,試探誰(shuí)會(huì)上鉤。
許多模擬釣魚公司軟件允許公司自定義攻擊行動(dòng),監(jiān)控結(jié)果。使用這種方法,可以對(duì)計(jì)劃的有效性進(jìn)行統(tǒng)計(jì),目的是持續(xù)教育而非斥責(zé)、貶損用戶。
這種做法有爭(zhēng)議,但調(diào)查表明效果不錯(cuò),在發(fā)動(dòng)這種模擬攻擊后,用戶加深了對(duì)網(wǎng)絡(luò)釣魚的認(rèn)識(shí)。這種模擬可與時(shí)俱進(jìn),而不拘泥于已有的攻擊方法。
04反釣魚小貼士
首先要注意的是檢查可疑郵件地址行的“收件人”和“發(fā)件人”信息,確認(rèn)自己認(rèn)識(shí)郵件發(fā)送人,即使郵件來自于可信發(fā)送方,也要查看“收件人”這一行確認(rèn)自己是否為唯一收件人。
很多時(shí)候,攻擊者先入侵賬戶,再構(gòu)造釣魚郵件,最后可能為了節(jié)約時(shí)間通過入侵賬戶將郵件發(fā)送給盡量多的人,若發(fā)現(xiàn)有很多自己不認(rèn)識(shí)的收件人,你就要小心了。
在打開郵件前,將鼠標(biāo)懸停在郵件上查看發(fā)件人那行中的發(fā)件人是否確為發(fā)件人,懸停鼠標(biāo)時(shí),會(huì)出現(xiàn)一個(gè)小框,提示郵件相關(guān)的元數(shù)據(jù)信息,檢查信息,確認(rèn)是否與收件箱中內(nèi)容匹配。
若進(jìn)行這些操作后未發(fā)現(xiàn)反常情況,打開郵件。郵件中若包含圖片、附件或 URL,對(duì)這些也要進(jìn)行檢查。許多釣魚郵件會(huì)包含 URL 鏈接,這些 URL 實(shí)際上是搶注域名和誤植域名網(wǎng)站。
結(jié)論
誰(shuí)都無法完全避免或阻止釣魚攻擊,但是可以盡自己所能保護(hù)資產(chǎn),對(duì)用戶進(jìn)行網(wǎng)絡(luò)釣魚趨勢(shì)方面的持續(xù)培訓(xùn)。
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】
