网络钓鱼系列|网络钓鱼的变种

网络攻击形式多样,不胜枚举。而网络钓鱼位列最常见、最狡诈的攻击之列。下面详细介绍集中网络钓鱼的常用攻击方式。在生活中提升防钓鱼意识。

Pharming(域欺骗)因与 phishing(网络钓鱼攻击)非常类似而得其名(也有人将域欺骗视为一类网络钓鱼攻击)。在网络钓鱼过程中,受害人会收到一封看似来自某个权威人物的邮件。比如,针对 CEO 的网络钓鱼攻击就非常流行。然而,该邮件的发送者实则是一个网络犯罪分子,旨在诱骗收件人提供敏感信息从而窃取其钱财、财务记录和其他信息。

域欺骗

相对于网络钓鱼攻击,域欺骗的计划更为复杂,但采用的社会工程大同小异。诈骗者会让受害人觉得自己访问了一个熟悉的和 / 或权威的网站,从而轻易地交出自己的个人信息。
然而,域欺骗与网络钓鱼攻击也存在很大差别,值得我们深入探讨。域欺骗演进迅速,非常有可能成为一种常见网络犯罪,但很多人虽对网络钓鱼攻击保持警惕,却从未听说过域欺骗。

域欺骗的工作机制

若攻击者只是精心制作一个酷似合法公司的网站,并不会实现很高攻击成功率。为此,攻击者不仅需要一个域,还要设法将 URL 很自然地展示在受害人面前,而不被引起怀疑。
域欺骗实则会引入大量精湛的技术,这一点不同于大多数网络钓鱼攻击形式。最终,域欺骗会依赖一套技能,这点与传统黑客更为相似。
域欺骗攻击旨在拦截某个网站的流量,然后将其发往其他网站。当然,诈骗者的网站需看上去与合法网站处理类似业务,但受害人会毫无戒心地输入可疑域名,这一点诈骗者丝毫不用担心。
域欺骗攻击的巧妙之处在于攻击者不费吹灰之力就可让受害人乖乖就范。此类攻击从开始到结束是一个非常平稳的过程,受害人难以察觉实际发生了什么。与网络钓鱼攻击和语音钓鱼攻击不同,域欺骗攻击基本不会让攻击目标捕捉到半点儿风声。

域欺骗如何重定向流量?

本节提供此类攻击所采取的技术以及整个入侵过程。攻击者一般可通过两种方法将您的流量重定向至所控制的站点。
第一种方法是修改您计算机上存储的主机文件。比如,您会收到包含代码的邮件,当您打开邮件时,这些代码会自动运行,对您计算机上存储的本地主机文件进行修改。这些主机文件非常重要,因为他们会将您输入的 URL 转换成用于定位您要访问的目标网站的数字。
一旦攻击发动,即使您输入了正确的 URL 也无济于事。因为这些主机文件已经被更改,他们会将您的流量重定向至恶意站点。即便是您单击了该站点的书签,也会成功中招。
尽管有些受害人部署的间谍软件清除软件可移除此类修改,但很多受害人不得不调整其浏览习惯。
另一类域欺骗成为 DNS 投毒。在此类攻击过程中,服务器上保存的 DNS 表格会被修改,导致您的流量被重定向,这一结果与前一种域欺骗攻击相同。
DNS 投毒是一种更为可怕的攻击,因为它不会修改您的计算机上的任何文件。您的主机文件安然无恙。并且,此类攻击也不会篡改 DNS 服务器上的文件,而是影响通过发送正常请求而浏览网页的成千上万或数百万用户。
这意味着间谍软件清除软件对这种攻击无计可施,因为受害人的计算机上没有留下任何蛛丝马迹。实际上,即使优质的网络安全软件对系统进行扫描后,也会报告称系统运行正常,没有异常迹象。

域欺骗的最后阶段

您或许能猜到,假冒网站设计用于提取访客的信息。例如,此类网站可假装为您的银行网站,当您访问您的银行账户时,您会输入用户名和密码。为确保安全起见,或许您会回答一个或多个安全问题。
令人遗憾的是,您正在将您的账户信息透露给网络犯罪分子,他们会据此为所欲为。有时,黑客只需您登陆其提供的假冒网站,因为这对于他们向您的计算机注入木马或其他病毒就已足够了,之后他们就会为您制造各种麻烦。
在 2007 年的一个知名攻击中,攻击者入侵了 50 多个跨国银行。访问这些银行的用户被重定向至攻击者所控制的一个假冒网站。就在此时这些用户的计算机上已经下载了一个木马程序,该病毒程序还会下载五个其他的恶意文件,而受害者还蒙在鼓里,对此一无所知。
假冒网站会对受害者提示一个错误消息,建议受害者关闭防火墙和其他所有杀毒软件。您现在就可以猜到这些受害者最终的遭遇了吧。
一旦计算机被感染,每次用户尝试登陆其银行网站,系统均会显示假冒的网页,要求他们输入登陆凭证。一旦他们输入了个人信息,网站就会将其带到要访问的合法网站,确保整个攻击过程不被受害人察觉。
除了银行网站,攻击者青睐的网站还包括信用卡公司、医疗保健提供商、电话公司、邮件服务的相关网站,甚至是您提供个人信息的所有网站。
2004 年,德国一位青少年可将 eBay 用户重定向至假冒网站。利用新的域欺骗技术攻击路由器,巴西出现了新版本的域欺骗,攻击者仍瞄准 DNS,但通过邮件和追踪用户的路由器实现攻击。可见,网络犯罪分子持续推动攻击演进。
在该攻击中,网络犯罪分子利用家用路由器中存在的安全缺陷访问管理控制台,入侵成功后修改了路由器的 DNS 设置。尽管 ISP 和各公司的 DNS 服务器处于严格保护下,现在您或许明白了入侵成功的原因了吧,没错,家用路由器一般缺乏防护措施。若 DNS 遭遇了入侵,一般为网络攻击所为。巴西去年发生的攻击通过邮件完成,结合使用了钓鱼攻击和域欺骗。

联邦储备银行中招域欺骗

您或许认为联邦储备银行会从全球领先的网络安全措施中受益。实际上,该银行对美国经济影响最大,或者我们可以说该银行对其他国家的经济也会产生重大影响。
然而,这也反应了域欺骗攻击的强大威力。
仅仅去年(2015),域欺骗攻击迫使联邦储备银行圣路易斯分部要求其所有用户重置密码。尽管遭入侵的 DNS 提供商从未被透露,显然,此次域欺骗攻击是通过入侵 DNS 获得成功的。
圣路易斯分部在 4 月 24 日公布了此次攻击。在此次攻击中,用户的流量被重定向至假冒页面,他们的登陆凭证可能已被窃取,因此需更改密码,也有可能恶意软件已下载至他们的电脑,还有可能这两种情况同时存在。
联邦储备银行针对其网站被复制的部分进行调查,但尚未披露网络犯罪分子到底基于哪些登陆凭证获得了网站访问权限,若联邦储备银行无法防御此类攻击,这一点着实让人担忧。

域欺骗防御措施

尽管域欺骗攻击看似非常可怕,但我们可采取措施防御此类骗局。ISP 会一直过滤此类攻击网站,这点您尽可放心,但更为重要的是您也需采取进一步防御措施。
首先,选择可靠的 ISP。您选择的 ISP 应了解域欺骗的严重程度并经常查找假冒站点,对其进行阻断。
其次,在提交任何重要信息之前,认真检查您访问的站点 URL,确保这些信息不会用于窃取您的身份。尽管我们在前面提到了可疑的 URL,有些网络犯罪分子会利用故意拼错的合法 URL,利用 URL 相似性蒙混过关。试想一下,登陆目标站点后,您会经常确认网站 URL 吗?
第三,一旦您被要求提供个人信息,请确认 URL 是以 https 而不是 http 开头。HTTPS 比较安全,可确保您的个人信息安全地在线传输至另一方。


第四,您还可查看网站证书,确保网站的合法性。证书查看过程大体类似,具体细节因浏览器而异。例如,若您在使用 Internet Explorer,选择文件 > 属性,然后在页面上点击右键,选择证书查看菜单项。
“属性”对话框弹出后,点击“证书”。若站点确为合法,会显示所有人发布的合法证书证实网站的合法性。
您应已正在使用杀毒程序,保护您的计算机不受病毒、黑客、蠕虫和木马病毒的入侵。个人防火墙也能很好地防护这些病毒程序。正如我们前面所述,这些都不足以阻止 DNS投毒攻击,但您需选择一项部署,防止您计算机上的主机文件遭到破坏。
此外,下载浏览器和操作系统的最新安全更新和补丁,确保您一直拥有最新防线,尤其是公司正尽力应对非常严重的安全问题时。
域欺骗不会在短期内消失。此类攻击非常难以应对,因为攻击者针对您所使用的DNS 发动攻击,您丝毫没有办法。此外,遵循以上建议将安全的 Web 浏览作为优先考虑事宜,这样你就不会成为攻击的受害人。
值得庆幸的是,SecurityIQ 也为您提供了培训。注册账户后点击“AwareEd”,在“课程”一栏,您会看到一篇标题为“安全浏览”的文章,该文章会显示一个“红旗”警告标识。请认真阅读该文档,避免域欺骗。

短信诈骗

短信诈骗使用短信“钓取”个人信息,诱骗用户下载木马、病毒或其他恶意软件至手机等移动设备。作为邮件钓鱼的变种,它如何实施?有何企图?我们又应该如何避免?

短信诈骗技术

有四种主要的短信诈骗技术:
1. 使用假链接将用户骗到设计好的钓鱼网站以窃取凭证。
下例中的短信有几个线索透露出它可能是诈骗短信:

• 沃尔玛的拼写有误,收信人以“客户”相称。在给客户发短信时,沃尔玛应该会根据用户信息记录直呼其名。
• 语法错误一度是判断诈骗短信的可靠依据,但是现在的钓鱼者越发聪明,钓鱼网络一般有语言专家,他们会设计看起来非常专业的消息。不过,尽管如此,他们还是会犯错。
• 切记在电话簿中查找公司的号码,用这个号码而不是可疑短信中的号码联系公司(见下面第 2 点)。
• 有时,重定向链接看着明显不像是有名气的大公司,如 ngtov11.net,但专业的犯罪分子会很容易地隐藏这样的链接。在手机上不好确认链接真伪,在浏览器中输入地址,不要直接点击链接。
2. 提供电话号码,一旦用户拨打,会接通到钓鱼者,这人口齿特别伶俐,会想法设法套取用户的个人信息。现今,多数公司都有呼叫中心提供客户支持,人们一般不会质疑客服的真实性。
3. 下图场景中,使用的是较为隐蔽、更具杀伤力的技术。


这里,短信诈骗者:
• 首先希望通过 Facebook 与用户建立联系,以便更深入了解用户、用户的联系人
以及个人资料中的其他信息。
• 然后,发动攻击,通过另一条短信或 Facebook 消息将用户骗到假冒网站,以
便获取用户的 Facebook 凭证或将恶意软件下载到用户手机中。一旦用户在
Facebook 上的个人资料被黑,用户的联系人也会面临着钓鱼风险。短信诈骗者
不仅假冒银行、IRS 或企业一把手发送短信,还会假冒同事、其他部门甚或共同
的朋友。
4. 第四种技术同样会诱骗用户点击恶意链接,但在用户进入假冒网站后,会提示用
户下载实为木马的程序(见下例)。

短信诈骗者还会将木马、击键记录器或僵尸网络代码安装到用户在家里和单位使用的BYOD(携带自己的设备办公)手机中。短信诈骗者在从内部控制用户的手机后会获取到大量的信息(所以称为“木马”)。因为能在员工手机中安装恶意软件,短信诈骗对业务安全的潜在威胁更大,毕竟服务器有各种软硬件防火墙保护。
注意:还有一种较为隐蔽的短信诈骗技术,合法服务提供商常常也会使用这种销售伎俩,所以一般不易识别:让用户注册使用某种服务(如天气预报、每日箴言、占星等),直接通过手机扣费。这些服务的费用看起来不高,但诈骗者若成功骗到多人,就会获得不错的被动收入。还有的技术让用户注册获得“优质”短信服务,这些短信费用高昂,很难取消订阅。当短信诈骗者贪婪地使用这些服务恶意攻击用户、诱使用户点击链接将恶意软件下载到手机、用户访问“优质”短信服务时输入个人详细信息时,情况就糟糕了。

策略

短信诈骗者有时看起来很愚蠢,但实际上他们很有手段,了解销售心理学,充满了市井智慧。他们有自己的工作网络,每个成员都有特定角色,包括设计可信文本模板的设计师、软件开发人员和销售人员。你还以为只有二手车销售员才诡计多端吗!?
任何信息,不管看起来多安全,对钓鱼者来说都有用

账号侵权(ATO)策略

ATO 是二级策略。很不幸,它很难避免。要对付这种攻击,首先要提高自己的反钓鱼意识,避免自己的详细信息被劫持。我在 http://securityiq.infosecinstitute.com/ 注册了一个免费账号,尴尬的是,在同一周内两次钓鱼意识考试都没过。上当的绝不只是非专业人士。一边看着屏幕,一边看着会议记录,这时若点击了链接可能会造成灾难性后果。

直销

无意冒犯诚实的直销者,但短信诈骗确确实实使用了类似直销的技术诱捕受害者:
• 与直销者一样,他们指望有一小部分人回应。他们发送数以万计的短信,期望有几个能上钩。在收到显然不是针对自己的短信后,你很想回复几句粗口。但记住,回复的话,骗子就知道号码确实存在,会将你添加到数据库中。此外,他们还知道了一些其他信息,比如,你没有沃尔玛账号。进行回复说明号码有效。
• 与直销者一样,他们知道如何利用人们的脆弱之处、虚荣心以及贪婪和恐惧心理。
• 与直销者一样,他们发动大规模活动,精心构建响应数据库,认真分析活动的响应率(若不高,则会改变风格、格式、内容或发送者的姓名 / 公司)。

智能手机缘何成为明显目标?

• 每天,全世界发出的短信有上万亿条,存在着大量的潜在受害者。
• 在收到短信后,人们一般很快就会查看信息内容(统计结果是 15 分钟以内)。这意味着短信诈骗者能很快获得回应,因为短信让用户有紧迫感,他们会急于回复。
• 无论是正常的还是诈骗性的短信活动都很容易组织,且成本效益高。再者,诈骗信息会很简短。显然,内容是越少越好。
• 多数人知道邮件诈骗,但对手机诈骗的危险却认识不足。最常用的 Web 浏览器有内置钓鱼防护措施,会提醒用户注意可疑网站,用户一般会将鼠标悬停在链接上显示真实 URL,但是手机一般没有类似防护。

千万不要上当

看似发自知名公司的短信
骗子常冒充知名公司欺骗受害者。小心以下骗局:
• 冒充 Apple 发送短信,通知用户登录验证并更新其 Apple ID,否则将无法继续购买 APP。触发响应的原因:受害人担心失去特权。
• 常见的虚假 PayPal 消息如下:“您在 The Home Shop 消费了 1993.27 美元。若您没有进行该笔交易,请立即致电 1-408-123-4567 联系我们。谢谢!”触发响应的原因:受害者担心自己已经成为受害者,认为没有比这更糟的情况了。
• 假冒 Barclays 警告用户账号有“可疑活动”,要求用户点击看似安全的 Barclays链接,更新安全软件,以提高其账户安全性。触发响应的原因:谢天谢地,有人为我着想。
上述这些情况中,输入公司的已知真实 URL 进行登录。始终使用 HTTPS(安全)连接,这种连接会在地址栏显示锁的图标。若需要打电话,从电话簿里查找号码。
几个特别狡猾的骗局:
• 受害者收到短信,要求他们履行陪审员职责,若拒绝,则要求通过短信提供社保号进行验证。许多受害人急于推脱,因而毫不犹豫地提供了社保号。千万别这么做!
• “我们确认,您已注册我们的 BDSM 约会服务。每天,您须为此缴纳 2 美元。若取消,请点击 SMiShinglink.com。”想点击这个链接是完全可以理解的,但千万别这么做!

关键教训

• 及时更新手机软件;
• 不要被所谓的账号安全威胁吓倒并按提示采取防护措施;
• 别想当然地认为“知名公司”发给你的信息一定合法;
• 不要下载任何软件,除非可以确认来源可靠(官方 APP 下载商店),且主动请求过。
• 若短信催促你立即行动或响应,记住,这是网络犯罪分子常用的一个关键策略,目的是不让你有思考的时间。
• 直接上官网,不要点击链接。
• 从电话簿里查询电话号码,联系公司,确认短信真假。

总结

好消息是,若点击链接时小心谨慎,并且及时更新软件,可以避免多数骗局。Infosec 研究院之类的安全专家有很多资源,可帮助你了解短信诈骗以及其他的网络犯罪活动,防止受骗。
登录 http://securityiq.infosecinstitute.com/,注册免费账号,可观看其相关视频、博客和新闻。或者像我一样,测试一下自己是否足够精明,能够识别钓鱼骗局。

垃圾邮件

如何打击垃圾邮件

或许预防各类可疑垃圾邮件的最重要的就是别点击收件箱中的链接。最常见的垃圾邮件是关于廉价药物的,占 81%。如需买药,请选择信誉好的药店。
其次,标记垃圾邮件(单击邮件进行标记)。大多过滤器会学习 / 适应阻断收件人的任何进一步尝试。您若收到此类邮件,务必及时通知您的 IT 人员 / 部门。
小贴士:请勿单击任意明显的垃圾邮件中的“取消订阅”按钮,因为这是垃圾邮件发送者使用了另一入侵伎俩—没错,他们就是这么狡猾!

若您想采取进一步措施,复制邮件标题,上报至 SpamCop 等网站,这些网站会将他们加入黑名单。另外一个方法是尽量不要透露您的邮件地址。若您需要在网站上提供邮件地址,输入时请不要带超级链接(垃圾邮件发送者可轻易获取),直接输入文本。通用格式为: 邮箱名 [@]ISP 名称 [dot] com.
若您打开邮箱发现有数百封邮件被退回,然而您从未发送过这些邮件,这表明您可能遭遇了邮件欺骗或者您的账户遭遇了入侵。一旦出现这种情况,立即修改密码,联系 IT部门(IT 部门会创建 SPF 记录,对以您的名义发送邮件的域名进行限制,防止此类事情再次发生)。您可能想要或需要创建临时过滤器,从而减少此类邮件。
若您因意外点击了链接或可疑信息而遭遇入侵,立即让您的计算机下线,再次联系 IT部门。

 

间谍网络钓鱼

间谍钓鱼的工作机制

间谍攻击可分为以下三个步骤或阶段:
• 创建者打开链接并手动或通过已知漏洞将木马下载到系统中。
• 发送钓鱼邮件,诱骗用户。邮件中包含木马,或者包含下载木马或间谍软件的链接。
• 木马程序 / 间谍软件监控并报告用户活动,一旦发现用户访问目标页面,就会向
恶意用户发送登录或其他保密数据。
例如,钓鱼者以银行的身份向大量用户发送垃圾邮件,希望收件人中包括真实银行客户并对邮件做出响应,即诱骗客户访问钓鱼网站。钓鱼网站中已包含木马。一旦用户访问该钓鱼网站,他们就会将利用浏览器、HTML 和其他漏洞安装到系统上。另一种方法是直接将木马以图片、帐户详细信息或用户感兴趣的任何其他内容的形式附加到原始邮件中。这种方法的好处是,可绕过钓鱼网站要求,避免相关缺点。
一旦访问钓鱼网站或伪造网站,用户就会直接输入凭证,立刻就会被盗走。然而,若用户未输入凭证,已下载并安装的木马程序就会继续监控用户系统,一旦用户访问合法银行网站,木马就会向攻击者发送凭证。
那么,我们学到了什么? 永远不要低估恶意用户的欺骗能力,千万不要认为钓鱼网站容易识别。由于网络罪犯在攻击中变得越来越老练,他们现在采用一切手段和技术成功地欺骗用户。钓鱼网站和真实网站看上去是一样的,有真正的标志、相同的网络内容,甚至相同的界面,只是为了看起来尽可能地真实。

 

语音钓鱼(Vishing)

你若是关注网络犯罪,应该或者说已经听说过网络钓鱼这个词。这种犯罪方法是指攻击者在邮件等沟通方式中假冒机构人员,诱骗目标透露敏感数据。很有可能,你也曾收到过这样的邮件。
然而,还有一种作恶方式与此类似,但要简单一些,也同样有必要了解。这就是语音钓鱼,是指通过电话实施骗局。有时,犯罪分子会同时使用两种方法。无论哪种方式,都要了解语音钓鱼的工作机制,以避免上当。
点击附件查看详细分析。

 

水坑式攻击

目前,网络钓鱼攻击已成为全球广为人知的普遍现象,更多用户在回复邮件时已变得更为机灵。除了采用更高级的网络钓鱼机制,如鱼叉式钓鱼,网络犯罪分子还寻求嵌入目标系统的新方法。在一封钓鱼邮件中,网络犯罪分子试图诱骗邮件接收者提供敏感信息或点击恶意链接。在一个网络钓鱼攻击变体—水坑式攻击中,网络犯罪分子不会主动攻击目标,而是搭建好陷阱,等待受害人自投罗网。
“水坑式攻击”指攻击者实际上潜伏在“水坑”旁边,期望俘获附近的“猎物”。在网络中,这些攻击者潜伏在受害人经常访问的网站附近,伺机让这些网站感染恶意软件。将“水坑式攻击”和鱼叉式钓鱼攻击进行比较并无不妥,因为这两种攻击一般针对大公司或政府部门的员工小组,目的是收集他们的敏感信息。尽管“水坑式攻击”不像鱼叉式钓鱼攻击那样普遍,但也带来了很大风险,因为此类攻击不易被发现,一般面向联网厂商、业务合作伙伴或安全防护措施不充分的员工。

实用小贴士

• 识别并阻断所有对您的用户活动进行监控的分析跟踪程序,如 KISSmetrics、AddThis 和 Chartbeat。
• 阻断基于浏览器插件的 HTTP 重定向。
• 开启 Web 浏览器的自动更新选项。
• 确保所有追踪服务的透明化运行,从而识别并阻断任何新服务。
• 利用可靠厂商的 Web 应用防火墙,这些防火墙在拒绝模式下提供跨站脚本执行、SQL 注入和命令注入规则。
• 仅允许特定地理区域访问内容管理系统。
• 制定禁用第三方内容(如广告)的计划,防止提供商被入侵。
• 保护域名服务器和 DNS 注册,防止攻击者将您的域名重定向至任意位置。

附件下载

网络钓鱼专题系列9-网络钓鱼的变种

发表评论