近幾周����,iOS 應(yīng)用 WePhone 的創(chuàng)始人、開(kāi)發(fā)者蘇享茂自殺的消息引爆了輿論�。作為跟程序員行業(yè)密切相關(guān)的熱點(diǎn)事件,本文在表達(dá)對(duì)逝者的惋惜與尊重的同時(shí)����,也想從信息安全的角度聊一聊釣魚(yú)這件事。
婚戀網(wǎng)站背后�����,可能藏著精心設(shè)計(jì)的釣魚(yú)攻擊
01事件回顧
詳見(jiàn)上周報(bào)道:37歲天才程序員之死:為何他被迫簽下總價(jià)1300萬(wàn)的離婚協(xié)議
不論是媒體還是觀眾���,對(duì)此事都非常關(guān)注����,并猜測(cè)最終導(dǎo)致蘇享茂走上自殺道路的原因��。經(jīng)過(guò)記者的調(diào)查,蘇享茂與前妻翟某相識(shí)的平臺(tái)——世紀(jì)佳緣也許有著不可推卸的責(zé)任��。
02婚戀交友平臺(tái)的漏洞
世紀(jì)佳緣注冊(cè)頁(yè)面 — 只有手機(jī)號(hào)是必填項(xiàng)
小編在世紀(jì)佳緣注冊(cè)了賬號(hào)��,體驗(yàn)平臺(tái)的具體功能��,結(jié)果發(fā)現(xiàn)����,注冊(cè)和提交資料過(guò)程未經(jīng)過(guò)任何實(shí)名制審核。
此外�,雖然世紀(jì)佳緣官網(wǎng)有“用戶靠譜度”的評(píng)價(jià)指標(biāo),但即使是未經(jīng)過(guò)審核��、沒(méi)有實(shí)名認(rèn)證的賬號(hào)也能獲得將近 70 分的評(píng)分(及格)����。而百合網(wǎng)、珍愛(ài)網(wǎng)等知名婚戀交友網(wǎng)站都沒(méi)有實(shí)名認(rèn)證環(huán)節(jié)���。
最值得注意的是��,即使用戶主動(dòng)實(shí)名認(rèn)證���,但在填寫資料時(shí),學(xué)歷��、收入����、住房、婚姻資料等信息也都可以隨意填寫���。而這些����,正中詐騙者的下懷�����。
03基于婚戀交友網(wǎng)站的釣魚(yú)攻擊和網(wǎng)絡(luò)詐騙
早在 2010 年�,就有人將網(wǎng)絡(luò)交友詐騙劃分了類別,還將這種行為命名為 Catfishing��。
Catfishing 是一種特殊的網(wǎng)絡(luò)釣魚(yú)攻擊方式����,主要針對(duì)的是利用社交網(wǎng)站交友、婚戀的人群。攻擊者在社交網(wǎng)站上創(chuàng)建虛假個(gè)人資料���,欺騙交友者��,進(jìn)而騙財(cái)騙色騙感情���,甚至竊取個(gè)人信息進(jìn)行更多惡意活動(dòng)。
伊朗黑客組織偽造的美女社交資料
發(fā)展至今��,詐騙團(tuán)伙也有了新的花樣�。他們從單純的欺騙轉(zhuǎn)向?yàn)榕c受害人建立感情基礎(chǔ)(如此一來(lái),最后就算涉及詐騙���,也難以立案)�,隨后再實(shí)施詐騙計(jì)劃�。此外,與以往的集中式詐騙團(tuán)伙不同��,現(xiàn)在這類詐騙呈現(xiàn)出分散化�、自愿化的特點(diǎn)。
一個(gè)簡(jiǎn)單完整的產(chǎn)業(yè)鏈如下:
上游黑客利用技術(shù)爬取世紀(jì)佳緣����、百合網(wǎng)等網(wǎng)站中的嘉賓信息���,具體到姓名、聯(lián)系方式����、學(xué)歷����、資產(chǎn)信息、婚姻狀況���、消費(fèi)情況等�����。
中游有人專門盜取社交網(wǎng)站中的美女圖片����,注冊(cè)新微信賬號(hào)發(fā)朋友圈(養(yǎng)號(hào)�、偽造成真實(shí)賬號(hào))。
下游根據(jù)爬取到的信息特征���,與養(yǎng)的微信號(hào)進(jìn)行匹配��,隨后偽裝身份并套用現(xiàn)有的話術(shù)模板��,正式實(shí)施詐騙����。
據(jù)知情者表示,利用這種模式���,一個(gè)話務(wù)可以同時(shí)與 30 個(gè)左右的男士交流�����,交流到一定程度�����,甚至可以對(duì)其進(jìn)行思想控制���,讓對(duì)方心甘情愿為自己花錢。
整個(gè)過(guò)程中涉及的信息泄露可謂驚人��,不論是婚戀網(wǎng)站的嘉賓信息����,還是社交網(wǎng)站中發(fā)布的個(gè)人照片�,都有可能被不法分子利用����,實(shí)施犯罪。
回到 WePhone 創(chuàng)始人自殺事件本身:女方隱瞞婚戀信息;女方稱自己舅舅有背景可以封殺男方產(chǎn)品進(jìn)行威脅��。
在婚姻存續(xù)期間�����,男方從未見(jiàn)過(guò)女方任何閨蜜�����、同事����、朋友等��,且在離婚過(guò)程中還有其他男性幫助女方實(shí)施威脅恐嚇���、以及雙方微信聊天截圖中透露出的男方態(tài)度等����,都很符合 catfishing 的特征。
04逝者已矣生者如斯
事情的真相還在進(jìn)一步調(diào)查����。逝者已逝,我們?cè)诎У?、惋惜的同時(shí),要正視并反思現(xiàn)如今網(wǎng)絡(luò)時(shí)代中的個(gè)人信息安全問(wèn)題��。希望大家都能好好愛(ài)惜自己���,無(wú)論遇到什么��,都努力堅(jiān)持下去���,活著,才能談明天���。
GitHub “對(duì)自殺說(shuō)不”開(kāi)源協(xié)議
面對(duì)越來(lái)越多的網(wǎng)絡(luò)釣魚(yú)�,我們?nèi)绾螒?yīng)對(duì)?下面我們?cè)敿?xì)了解一下網(wǎng)絡(luò)釣魚(yú)的演進(jìn)過(guò)程���。
網(wǎng)絡(luò)釣魚(yú)攻擊定義
01何為網(wǎng)絡(luò)釣魚(yú)攻擊
網(wǎng)絡(luò)釣魚(yú)攻擊(phishing與fishing發(fā)音相近)是最初通過(guò)發(fā)送消息或郵件�,意圖引誘計(jì)算機(jī)用戶提供個(gè)人敏感信息如密碼�����、生日、信用卡卡號(hào)以及社保賬號(hào)的一種攻擊方式���。
為實(shí)施此類網(wǎng)絡(luò)詐騙��,攻擊者將自己偽裝成某個(gè)網(wǎng)站的官方代表或與用戶可能有業(yè)務(wù)往來(lái)的機(jī)構(gòu)(如 PayPal���、亞馬遜、聯(lián)合包裹服務(wù)公司(UPS)和美國(guó)銀行等)的代表���。
攻擊者發(fā)送的通信內(nèi)容的標(biāo)題可能包含“iPad 贈(zèng)品”、“欺詐告警”或其他誘惑性內(nèi)容��。郵件可能包含公司的標(biāo)志����、電話號(hào)碼及其他看似完全合法的內(nèi)容。
攻擊者的另一個(gè)慣用伎倆是使郵件看起來(lái)像是來(lái)自您的親朋好友����,讓您以為他們要與你分享一些東西。
然而���,當(dāng)您點(diǎn)擊了郵件中的鏈接���,會(huì)被帶到虛擬網(wǎng)站而非真實(shí)網(wǎng)站���,讓您在毫無(wú)戒備的情況下按照提示輸入個(gè)人信息。
攻擊者會(huì)獲取這些輸入信息����,然后立即使用或在黑市上買賣用于惡意目的,或既自用又出售��。
很多時(shí)候���,用戶計(jì)算機(jī)也會(huì)受到感染��,然后將釣魚(yú)郵件發(fā)送給通訊錄上的聯(lián)系人���,助其肆意傳播(惡意代碼會(huì)控制受感染計(jì)算機(jī)的 Web 瀏覽器,該攻擊手段稱為域欺騙���。)
在傳統(tǒng)釣魚(yú)攻擊中�,這些詐騙者會(huì)發(fā)送數(shù)百萬(wàn)“魚(yú)鉤”�,只需較少用戶點(diǎn)擊鏈接“上鉤”�。根據(jù)加拿大政府的統(tǒng)計(jì)��,每日全球發(fā)送 1.56 億封釣魚(yú)郵件����,而最終有 8 萬(wàn)用戶點(diǎn)擊郵件中的鏈接, 導(dǎo)致重大損失��。
據(jù) Ponemon 機(jī)構(gòu)估計(jì)��,通常擁有 10000 名員工的公司每年應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊的花費(fèi)就高達(dá) 370 萬(wàn)美元����,而這種趨勢(shì)沒(méi)有減弱跡象,而是愈演愈烈����。
02網(wǎng)絡(luò)釣魚(yú)實(shí)例
網(wǎng)絡(luò)釣魚(yú)攻擊形形色色�,花招繁多,但萬(wàn)變不離其宗����,即他們想騙取你的個(gè)人信息。
當(dāng)然��,此類攻擊所利用一個(gè)主要工具仍是易用的傳統(tǒng)郵件,通常這些郵件會(huì)發(fā)送給大公司工作繁忙或壓力大的員工��,因?yàn)樗麄儠?huì)不假思索地點(diǎn)擊郵件中的鏈接����。
盡管很多大公司已部署了防御措施(如惡意軟件檢測(cè)器或垃圾郵件過(guò)濾器),但黑客已發(fā)現(xiàn)新的入侵方法�����,在一次攻擊事件中居然利用了空調(diào)����。
確切地說(shuō),攻擊者 2014 年入侵了零售巨頭 Target 的網(wǎng)絡(luò)���,造成 1.1 億條信用卡信息泄露����。
此次攻擊的原因是攻擊者對(duì)為 Target 在賓夕法尼亞州的零售店提供空調(diào)服務(wù)的法齊奧機(jī)械服務(wù)公司進(jìn)行了釣魚(yú)詐騙��,因?yàn)樵摴揪邆?Target 供應(yīng)商數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限�。
法齊奧員工點(diǎn)擊了一個(gè)惡意鏈接,在毫不知情的情況下導(dǎo)致計(jì)算機(jī)被入侵,憑證被竊取����,使攻擊者獲取了 Target 的訪問(wèn)權(quán)限。數(shù)月之后�,攻擊者入侵了 Target 網(wǎng)絡(luò)。
最終�,Target 還是盡其所能挽回了損失,而其他受害者就不一定這么走運(yùn)了�。根據(jù) NBC 新聞 2012 年的報(bào)道,一位未透露姓名的英國(guó)女士稱����,她收到了一個(gè)看似來(lái)自銀行的釣魚(yú)郵件,點(diǎn)擊了鏈接����,按照提示輸入了個(gè)人信息。
三天后���,她賬戶上的 160 萬(wàn)美元不翼而飛�����,這可是她一生的積蓄。
03網(wǎng)絡(luò)釣魚(yú)攻擊的其他類型
另一種非常流行的網(wǎng)絡(luò)釣魚(yú)攻擊方法稱為搜索引擎釣魚(yú),即詐騙者創(chuàng)建包含某些關(guān)鍵詞的網(wǎng)頁(yè)���。
這樣����,用戶搜索這些關(guān)鍵詞時(shí)會(huì)檢索出這些惡意頁(yè)面�����,然后會(huì)在 Google 中毫無(wú)戒心地單擊這些惡意鏈接���,不會(huì)將其視為網(wǎng)絡(luò)釣魚(yú)詐騙��,等意識(shí)到自己中招時(shí)為時(shí)已晚�。
04語(yǔ)音釣魚(yú)和短信釣魚(yú)
“語(yǔ)音釣魚(yú)”和“短信釣魚(yú)”是兩種重要的移動(dòng)釣魚(yú)攻擊方法�。
語(yǔ)音釣魚(yú)指通過(guò)語(yǔ)音進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊,具體指攻擊者通過(guò)呼叫受害人進(jìn)行釣魚(yú)攻擊�。
同時(shí),在社交媒體風(fēng)行的當(dāng)下��,人們公開(kāi)發(fā)布了大量信息�����。這樣,攻擊者就趁機(jī)獲取很多用戶信息��,使自己的偽裝更加可信��。
這些語(yǔ)音攻擊者可篡改來(lái)電號(hào)碼����,使其看起來(lái)像是從另外一個(gè)號(hào)碼發(fā)起的呼叫,這樣就又為欺騙蒙上了一層面紗���。
現(xiàn)在�,快速發(fā)展的人工智能軟件完全可模仿人類呼叫者����,可想而知,以后的詐騙伎倆無(wú)疑讓人心生恐懼�����。
短信釣魚(yú)(SMS 釣魚(yú))攻擊���,即通過(guò)向智能手機(jī)發(fā)送短信來(lái)發(fā)動(dòng)攻擊�����。McAfee 表示����,在早期的短信攻擊中�����,攻擊者向受害者發(fā)送確認(rèn)消息�,讓用戶打開(kāi)鏈接“取消”未訂購(gòu)的電話業(yè)務(wù)或其他服務(wù)。
在毫無(wú)戒心的用戶單擊鏈接后�,其手機(jī)就變成大型釣魚(yú)詐騙網(wǎng)絡(luò)的成員。
網(wǎng)絡(luò)釣魚(yú)攻擊�����、魚(yú)叉式釣魚(yú)攻擊�、域欺騙、語(yǔ)音釣魚(yú)��、短信釣魚(yú)和社交工程欺詐僅僅是黑客用于獲取用戶信息所使用的幾個(gè)最新手段���。為防止中招��,點(diǎn)擊鏈接前請(qǐng)三思而后行����。
網(wǎng)絡(luò)釣魚(yú)攻擊向量介紹
在搭建了合適的釣魚(yú)網(wǎng)絡(luò)、收集了信息以及放置誘餌之后��,攻擊者可入侵任何公司��、組織甚至政府機(jī)構(gòu)�����,造成極大破壞���。
網(wǎng)絡(luò)釣魚(yú)攻擊的目的包括:竊取數(shù)據(jù)及金融詐騙����、高級(jí)持續(xù)性威脅(APT)和惡意軟件傳播�����。
01數(shù)據(jù)竊取與金融詐騙
根據(jù) PhishLabs 于 2016 年所作研究��,2015 年 22% 的魚(yú)叉式釣魚(yú)攻擊的動(dòng)機(jī)均為金融詐騙或其他相關(guān)犯罪����。
通過(guò)這種攻擊方式��,攻擊者獲利頗豐�,所以該類事件不勝枚舉����。例如����,2016年初針對(duì)木蘭健康公司(Magnolia Health)的攻擊中,某釣魚(yú)網(wǎng)絡(luò)假冒該公司 CEO 發(fā)送郵件���。
這就是所謂的偽造郵件釣魚(yú)攻擊�����,直接造成公司員工數(shù)據(jù)泄露����,包括員工的社保號(hào)���、工資標(biāo)準(zhǔn)��、出生日期�、通信地址、姓名全稱以及工號(hào)�。
02網(wǎng)絡(luò)釣魚(yú) APT
APT 也是一種網(wǎng)絡(luò)攻擊者喜歡的攻擊方式?��?偟膩?lái)說(shuō)��,這是一種長(zhǎng)期感染或安全漏洞�����,可能持續(xù)數(shù)周���、數(shù)月甚至長(zhǎng)達(dá)一年而不為人知。
這些攻擊中沒(méi)有“最常見(jiàn)”的目標(biāo)�����,基本上�,任何人都可能被攻擊。各種規(guī)模的企業(yè)����、非盈利組織甚至政府機(jī)構(gòu)都可能遭遇APT攻擊。
還有一點(diǎn)很重要,APT 多與外國(guó)政府和軍方有關(guān)�,而非常規(guī)的釣魚(yú)網(wǎng)絡(luò)。
APT 有如下特點(diǎn):
持續(xù)進(jìn)行活動(dòng)����。
目的明確。
一般針對(duì)行事高調(diào)的目標(biāo)���。
屬于“誘捕式”攻擊���。
誘捕式攻擊指目標(biāo)一旦上鉤���,攻擊者便會(huì)長(zhǎng)期潛伏����,持續(xù)攻擊受害人�����。多數(shù)釣魚(yú)攻擊類似于肇事逃逸�,持續(xù)時(shí)間相對(duì)較短,但 APT 會(huì)持續(xù)很長(zhǎng)時(shí)間��。
之所以這樣����,部分原因是受害者一般很難發(fā)現(xiàn)攻擊�,因而也就無(wú)法進(jìn)行響應(yīng)�����。
如上所述����,APT 針對(duì)特定目標(biāo),以實(shí)現(xiàn)特定目的�����。APT 的任務(wù)從竊取資金到收集敵對(duì)政府的情報(bào)甚至是實(shí)現(xiàn)政治目標(biāo)不一而足���。它們還經(jīng)常針對(duì)數(shù)字資產(chǎn)��,如核電廠設(shè)計(jì)或高科技原理圖�。
典型的 APT 攻擊包括如下六個(gè)主要步驟或階段:
攻擊者收集目標(biāo)的信息����,常用方法是社會(huì)工程,其他方法還包括網(wǎng)頁(yè)抓取、通過(guò)聊天室和社交網(wǎng)絡(luò)進(jìn)行人際互動(dòng)等����。
攻擊者構(gòu)造并發(fā)送釣魚(yú)郵件和/或消息,內(nèi)容針對(duì)目標(biāo)量身定制�,真?zhèn)坞y辨,包括真實(shí)姓名��、電話號(hào)碼�����、地址以及用以騙取信任的其他細(xì)節(jié)信息�。
目標(biāo)打開(kāi)郵件,進(jìn)行操作:點(diǎn)擊鏈接打開(kāi)受感染或偽造的網(wǎng)站�����,或下載受感染的文檔�。不管哪種情況���,目標(biāo)都已受騙上鉤����。
用戶所使用的系統(tǒng)被入侵。
入侵系統(tǒng)接下來(lái)會(huì)感染目標(biāo)組織���、公司或機(jī)構(gòu)的整個(gè)網(wǎng)絡(luò)���。
攻擊者伺機(jī)攻擊目標(biāo)獲取數(shù)據(jù)。
最后��,APT 組織會(huì)提取數(shù)據(jù)并進(jìn)行解析和整理�。
一旦感染并控制了目標(biāo),APT 實(shí)施者便能夠進(jìn)一步植入惡意軟件�����、病毒和其他威脅。
例如����,可部署遠(yuǎn)程訪問(wèn)木馬(RAT)��,讓 APT 組織長(zhǎng)驅(qū)直入����,訪問(wèn)網(wǎng)絡(luò)中的任何數(shù)據(jù)��。取得控制權(quán)后��,APT 組織會(huì)潛伏下來(lái)�,監(jiān)聽(tīng)并竊取信息,直到受害人發(fā)覺(jué)網(wǎng)絡(luò)被入侵�,而在這之前,攻擊者一般有充足的時(shí)間不慌不忙地收集數(shù)據(jù)�����。
03惡意軟件傳播
有些釣魚(yú)攻擊誘騙用戶在假冒網(wǎng)站或 Web 表單中輸入信息以竊取憑證�,而有些則有進(jìn)一步企圖。惡意軟件由來(lái)已久��,不過(guò)現(xiàn)在的它們比過(guò)去要高級(jí)得多����。
在受害者系統(tǒng)中安裝惡意軟件是釣魚(yú)網(wǎng)絡(luò)在滲透并感染目標(biāo)公司或組織時(shí)最喜歡的一個(gè)方法��。釣魚(yú)組織主要通過(guò)兩個(gè)手段實(shí)現(xiàn)這個(gè)目的�����。
一種是通過(guò)惡意附件感染目標(biāo)系統(tǒng)�����。這種情況下���,要精心構(gòu)造郵件并發(fā)給個(gè)人����。郵件中包含附件����,或?yàn)?Word/PDF 文件,或?yàn)槠渌袷降奈募?��。無(wú)論哪種情況���,郵件發(fā)送人看似都很可信��,比如�,可能是同事����、老板、金融機(jī)構(gòu)等���。
最好的情況是殺毒軟件在此類附件打開(kāi)前進(jìn)行掃描并檢測(cè)到惡意軟件��。然而����,即使是最新的殺毒軟件有時(shí)也無(wú)法對(duì)壓縮文件進(jìn)行徹底掃描,風(fēng)險(xiǎn)依然存在���。
勒索軟件在釣魚(yú)網(wǎng)絡(luò)中的地位日益凸顯�,是最可怕的惡意附件之一。不過(guò)��,勒索軟件還可以通過(guò)受感染網(wǎng)站下載����,這意味著郵件附件并不是攻擊者的唯一選擇。
勒索軟件恰如其名����,這種惡意軟件先感染目標(biāo)系統(tǒng)����,然后進(jìn)行加密���,這樣就如同控制人質(zhì)一樣控制了硬盤中的所有數(shù)據(jù)���。
在個(gè)人、公司或組織支付贖金后���,攻擊者釋放文件��。消費(fèi)者�、CEO 甚至于警察局都曾被如此勒索過(guò)。
通過(guò)附件傳播惡意軟件時(shí)還能使用宏病毒����,這種病毒常用于感染微軟 Office 文件,啟動(dòng)程序或進(jìn)行特定操作都會(huì)觸發(fā)病毒����。
釣魚(yú)網(wǎng)絡(luò)感染受害者時(shí)使用的另一個(gè)手段是惡意鏈接�。這種情況下���,郵件中包含的不是惡意附件���,而是 URL。
郵件或社交媒體消息的目的是誘騙目標(biāo)點(diǎn)擊鏈接�����,一旦點(diǎn)擊,計(jì)算機(jī)中就開(kāi)始下載代碼���,或者用戶被定向至病毒/偽造網(wǎng)站,惡意軟件乘機(jī)植入到計(jì)算機(jī)中����。
惡意鏈接比惡意附件更有效,因?yàn)獒烎~(yú)網(wǎng)絡(luò)竭力使消息看起來(lái)真實(shí)可信����。前述木蘭公司攻擊中所使用的郵件就是這樣一個(gè)典型例子�。
郵件內(nèi)容各不相同��,但如下幾種最常見(jiàn):
通知用戶其賬戶被黑或遭遇某種惡意行為。
通知用戶進(jìn)行操作以避免賬戶被凍結(jié)或驗(yàn)證身份��。
通知用戶檢測(cè)到金融賬戶存有欺詐行為�����。
其他類似方法還包括搶注域名和誤植域名��,這兩種方法依賴的都是正確拼寫的 URL 的變體�。
搶注域名是指注冊(cè)和實(shí)際公司域名非常類似的域名���,然后再模仿真實(shí)公司網(wǎng)站偽造另一個(gè)網(wǎng)站���。誤植域名的過(guò)程大同小異,但利用的是輸入公司域名時(shí)常見(jiàn)的打字錯(cuò)誤��。
此外��,隨著時(shí)間的推移�����,釣魚(yú)攻擊有增無(wú)減���,公司和組織對(duì)于此類風(fēng)險(xiǎn)總是后知后覺(jué),而在實(shí)施安全規(guī)程�、進(jìn)行必要培訓(xùn)以抗擊日益增多的威脅方面行動(dòng)更為遲緩。
網(wǎng)絡(luò)釣魚(yú)攻擊戰(zhàn)術(shù)
要防護(hù)網(wǎng)絡(luò)釣魚(yú)攻擊并制定相應(yīng)計(jì)劃�,深入了解攻擊者很關(guān)鍵�,需要更多地了解此類攻擊過(guò)程����,包括從初始計(jì)劃及準(zhǔn)備階段到釣魚(yú)網(wǎng)絡(luò)如何協(xié)助攻擊發(fā)生,再到提交誘餌并收集數(shù)據(jù)�����。
這些信息不僅可以幫助企業(yè)和組織對(duì)不可避免的攻擊做到有備無(wú)患���,在他們制定對(duì)抗攻擊的關(guān)鍵步驟時(shí)還能提供重要的參考,有時(shí)甚至可以預(yù)防攻擊。盡管無(wú)法保證攻擊者不攻擊您或您的企業(yè)��,但請(qǐng)記住“凡事預(yù)則立”��。
01計(jì)劃與準(zhǔn)備
像任何軍事活動(dòng)一樣��,網(wǎng)絡(luò)釣魚(yú)攻擊都是從很多瑣碎的工作開(kāi)始的���。發(fā)起攻擊前,需要進(jìn)行大量的研究和細(xì)致的計(jì)劃與準(zhǔn)備����。
很多情況下��,這些都不是一蹴而就的��。它們是精心策劃的攻擊�����,能夠讓任何戰(zhàn)術(shù)家引以為傲。
02收集信息—第一步
策劃網(wǎng)絡(luò)釣魚(yú)攻擊的第一步是搜集信息����。釣魚(yú)組織(多數(shù)情況下,為團(tuán)伙或網(wǎng)絡(luò)���,并非牟取一己私利的獨(dú)立黑客)必須確定攻擊目標(biāo)��,然后搜集可讓攻擊滲透任何安全協(xié)議的重要信息�。
大多數(shù)黑客組織利用互聯(lián)網(wǎng)中繼聊天(IRC)進(jìn)行策劃和戰(zhàn)略溝通,并討論攻擊目標(biāo)����、攻擊方法等����,因?yàn)?IRC 是匿名的,并且安全����。
03釣魚(yú)網(wǎng)絡(luò)
網(wǎng)絡(luò)釣魚(yú)攻擊通常不是一個(gè)獨(dú)立的攻擊者,而是團(tuán)隊(duì)完成的���,這些團(tuán)隊(duì)被稱之為釣魚(yú)網(wǎng)絡(luò)�。
你可以把他們想象成任何其他的商業(yè)網(wǎng)絡(luò)�,團(tuán)隊(duì)成員技能互補(bǔ),一起為實(shí)現(xiàn)共同的事業(yè)或目標(biāo)而努力����。
攻擊者表示,實(shí)現(xiàn)這一切只需輕輕一點(diǎn)��,剩下的就交由歷史了。通過(guò)訪問(wèn)被攻擊主機(jī)��,攻擊者幾乎可以做任何事情��,包括植入惡意代碼、下載病毒和獲取數(shù)據(jù)���。在某些情況下����,攻擊組織可訪問(wèn)重要的公司數(shù)據(jù)長(zhǎng)達(dá)數(shù)月��、甚至數(shù)年之久��。
04下餌與信息搜集
網(wǎng)絡(luò)釣魚(yú)攻擊都要使用誘餌�����。釣魚(yú)網(wǎng)絡(luò)竭盡全力獲取員工或主管信息��,但若不能創(chuàng)造出誘人的餌�,所有的努力都是徒勞�����。
因此���,誘餌非常重要�。若誘餌不引人注目,目標(biāo)就不會(huì)采取預(yù)期操作(例如單擊鏈接)�。這意味著攻擊者失去了攻擊目標(biāo),無(wú)論是入侵 PC���、財(cái)務(wù)信息還是個(gè)人數(shù)據(jù)�,或其他完全不同的內(nèi)容�,釣魚(yú)網(wǎng)路使用的誘餌的形式多種多樣。
05上鉤
任何網(wǎng)絡(luò)釣魚(yú)攻擊的終極目標(biāo)都是讓目標(biāo)“上鉤”�����,一旦下餌��,目標(biāo)上鉤后,好戲就開(kāi)始了�。至此,攻擊者可訪問(wèn)其需要的信息����,若獲取了管理員憑證,攻擊者可以做很多事情����,包括誘騙其他用戶。
在最壞的情況下����,攻擊者利用 DNS 緩存污染接管整個(gè)服務(wù)器,并將所有流量重定向至釣魚(yú)網(wǎng)站��。攻擊者還能夠截獲數(shù)據(jù)����,甚至掃描硬盤、收件箱及其他文件夾��。
一旦加入���,網(wǎng)絡(luò)釣魚(yú)攻擊者將開(kāi)始數(shù)據(jù)提取流程��。他們會(huì)抓取數(shù)據(jù)庫(kù)數(shù)據(jù)以獲取個(gè)人和財(cái)務(wù)數(shù)據(jù)����,并將這些數(shù)據(jù)添加到電子表格中��。
他們對(duì)某些類型的數(shù)據(jù)特別感興趣�,包括:
社保號(hào)
姓名全稱
通信地址
郵箱地址
信用卡號(hào)
密碼
一旦信息被抓取和保存,釣魚(yú)組織將執(zhí)行計(jì)劃的最后一步�。他們?cè)诤谑猩铣鍪圻@些信息,其他人會(huì)利用這些信息竊取身份�����,開(kāi)立新的信用卡賬戶��,或利用他人資料偽造全新的身份����。
出價(jià)高者將得到這些數(shù)據(jù),然后釣魚(yú)組織瓜分利潤(rùn)����。在某些地方,某些人可能愿意以 1200 美元的高價(jià)購(gòu)買個(gè)人手機(jī)號(hào)碼和郵件地址。
網(wǎng)絡(luò)釣魚(yú)的可怕性不僅在于數(shù)據(jù)失竊�,還在于攻擊易于發(fā)動(dòng)。而且���,任何企業(yè)��、組織或政府機(jī)構(gòu)都可能成為受害者��,唯一的防護(hù)方法是要提高警惕并做好準(zhǔn)備�����。
網(wǎng)絡(luò)釣魚(yú)對(duì)策(反釣魚(yú))
對(duì)抗網(wǎng)絡(luò)釣魚(yú)的方法有技術(shù)性的����,也有非技術(shù)性的�����。
這里著重介紹四種反釣魚(yú)技術(shù):
反釣魚(yú)技術(shù)手段��。
非技術(shù)對(duì)策��。
模擬釣魚(yú)攻擊��。
反釣魚(yú)小貼士。
01反釣魚(yú)技術(shù)手段
最有效�、最常用的技術(shù)手段包括:
使用 HTTPS�。
正確配置 Web 瀏覽器。
監(jiān)控釣魚(yú)網(wǎng)站����。
正確配置郵件客戶端。
使用垃圾郵件過(guò)濾器���。
使用 HTTPS
一般的 HTTP 網(wǎng)站使用 80 端口�����,而安全版本的 HTTP 即 HTTPS 使用 443 端口,使用 HTTPS 意味著瀏覽器與目標(biāo)服務(wù)器之間的所有信息均加密傳輸�。
所以,HTTPS 的“S”表示“安全”(Secure)����,但使用 HTTPS 訪問(wèn)網(wǎng)站并不能 100% 保證安全���。
網(wǎng)絡(luò)釣魚(yú)者會(huì)使用 HTTPS 搭建釣魚(yú)網(wǎng)站,判斷網(wǎng)站合法性的最有效方法是驗(yàn)證證書(shū)詳細(xì)信息����,合法的網(wǎng)站應(yīng)有由知名、可信的證書(shū)機(jī)構(gòu)(CA)頒發(fā)的證書(shū)�。
正確配置 Web 瀏覽器
多數(shù)瀏覽器自帶工具防止用戶被定向至釣魚(yú)網(wǎng)站。Mozilla 火狐瀏覽器的“安全”配置頁(yè)面中的“常規(guī)”設(shè)置有如下幾個(gè)選項(xiàng):
當(dāng)站點(diǎn)嘗試安裝附加組件時(shí)警告�。
阻止已報(bào)告的攻擊站點(diǎn)。
阻止已報(bào)告的釣魚(yú)網(wǎng)站�。
最好全部選中這三個(gè)選項(xiàng)以更好地保護(hù)自己,IE 瀏覽器的工具下拉菜單中有個(gè)SmartScreen篩選器��。使用這個(gè)選項(xiàng)��,你所訪問(wèn)的每個(gè)網(wǎng)站都會(huì)發(fā)送給微軟����,微軟將根據(jù)舉報(bào)網(wǎng)站清單驗(yàn)證其真實(shí)性。
監(jiān)控釣魚(yú)網(wǎng)站
微軟等組織存有動(dòng)態(tài)更新的舉報(bào)網(wǎng)站清單��,網(wǎng)上還有現(xiàn)成工具可在訪問(wèn)網(wǎng)站前進(jìn)行網(wǎng)站檢查�,例如谷歌安全瀏覽工具����。
正確配置郵件客戶端
最終用戶不能走進(jìn)機(jī)房配置郵件服務(wù)器����,但能夠配置郵件客戶端處理郵件的方法�����。郵件客戶端的種類很多�,現(xiàn)在尤其如此,因?yàn)槿藗冊(cè)絹?lái)越傾向于在移動(dòng)設(shè)備上查看郵件��。
重要的是要了解所選擇客戶端的特性��,OutLook 仍然是最受歡迎的桌面郵件客戶端����,提供網(wǎng)絡(luò)釣魚(yú)保護(hù)。
進(jìn)入垃圾郵件設(shè)置�,禁用鏈接,接收關(guān)于可疑域和郵件地址的警告��。若使用谷歌安全瀏覽工具��,可在目標(biāo)網(wǎng)站前輸入如下 URL:
http://google/safebrowsing/diagnostic?site=
例如,在訪問(wèn) apple 前��,將目的地址添加到上述 URL 中的“=”后�����,然后按回車鍵����。
垃圾郵件過(guò)濾器
除了正確設(shè)置郵件客戶端,還可以在郵件中使用垃圾郵件過(guò)濾器����。
02非技術(shù)對(duì)策
最有效的非技術(shù)對(duì)策是培訓(xùn)用戶,保證本組織內(nèi)部人員甚至家庭成員了解時(shí)下的網(wǎng)絡(luò)釣魚(yú)技術(shù)����,防止他們成為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者。
有些組織甚至構(gòu)造釣魚(yú)郵件以識(shí)別容易上當(dāng)?shù)膯T工�����。點(diǎn)擊郵件中鏈接或未上報(bào)可疑情況的員工會(huì)被定向至培訓(xùn)網(wǎng)站���,接受強(qiáng)制培訓(xùn)��,有時(shí)甚至還要就培訓(xùn)內(nèi)容參加考試���。
另一種非技術(shù)對(duì)策是法律政策�����。公司出臺(tái)政策保護(hù)員工及其資產(chǎn)不被攻擊�����。這種政策本身是非技術(shù)性的,但用于指導(dǎo)技術(shù)控制措施的制定���。
目前����,已有相關(guān)法律試圖保護(hù)消費(fèi)者免受垃圾郵件和釣魚(yú)攻擊的侵?jǐn)_��,但這些案件很難追查��,犯罪分子也很難定位���。
03模擬釣魚(yú)攻擊
模擬釣魚(yú)攻擊指組織為自保而發(fā)起的釣魚(yú)攻擊��,為了更有效地培養(yǎng)員工的反釣魚(yú)意識(shí)����,組織會(huì)編寫釣魚(yú)郵件發(fā)送給員工,試探誰(shuí)會(huì)上鉤����。
許多模擬釣魚(yú)公司軟件允許公司自定義攻擊行動(dòng)�����,監(jiān)控結(jié)果��。使用這種方法�����,可以對(duì)計(jì)劃的有效性進(jìn)行統(tǒng)計(jì)�,目的是持續(xù)教育而非斥責(zé)、貶損用戶���。
這種做法有爭(zhēng)議��,但調(diào)查表明效果不錯(cuò)���,在發(fā)動(dòng)這種模擬攻擊后���,用戶加深了對(duì)網(wǎng)絡(luò)釣魚(yú)的認(rèn)識(shí)�。這種模擬可與時(shí)俱進(jìn)���,而不拘泥于已有的攻擊方法�����。
04反釣魚(yú)小貼士
首先要注意的是檢查可疑郵件地址行的“收件人”和“發(fā)件人”信息,確認(rèn)自己認(rèn)識(shí)郵件發(fā)送人�����,即使郵件來(lái)自于可信發(fā)送方����,也要查看“收件人”這一行確認(rèn)自己是否為唯一收件人��。
很多時(shí)候���,攻擊者先入侵賬戶����,再構(gòu)造釣魚(yú)郵件�,最后可能為了節(jié)約時(shí)間通過(guò)入侵賬戶將郵件發(fā)送給盡量多的人�,若發(fā)現(xiàn)有很多自己不認(rèn)識(shí)的收件人����,你就要小心了�。
在打開(kāi)郵件前,將鼠標(biāo)懸停在郵件上查看發(fā)件人那行中的發(fā)件人是否確為發(fā)件人����,懸停鼠標(biāo)時(shí)����,會(huì)出現(xiàn)一個(gè)小框,提示郵件相關(guān)的元數(shù)據(jù)信息��,檢查信息,確認(rèn)是否與收件箱中內(nèi)容匹配���。
結(jié)論
誰(shuí)都無(wú)法完全避免或阻止釣魚(yú)攻擊�����,但是可以盡自己所能保護(hù)資產(chǎn)��,對(duì)用戶進(jìn)行網(wǎng)絡(luò)釣魚(yú)趨勢(shì)方面的持續(xù)培訓(xùn)����。
