HTTPS 钓鱼攻击:黑客如何使用 SSL 证书假装信任
让我们回到 1994 年。无需翻出寻呼机或穿上法兰绒衬衫。 这是第一个 SSL 协议诞生的一年。 它由 Netscape 推出,以满足对称为 Internet 的新奇发明增加安全性的日益增长的需求。
后来出现了几个版本的 SSL,它最终变成了我们今天所知道的 TLS。 然而,就像一个糟糕的昵称一样,我们仍然将 TLS 称为 SSL。
自 Web 浏览器问世以来,SSL 的安全性问题一直存在。 网络罪犯喜欢使用 SSL 证书实施网络钓鱼诈骗,并将其伪装成受信任的站点。 这种骗局自 2005 年以来一直存在,当时第一个使用 SSL 证书的网络钓鱼帐户被创建。
根据反网络钓鱼工作组 (APWG) 和贡献者 PhishLabs 的一份报告,2021 年第一季度,83% 的网络钓鱼站点启用了 SSL 加密。 令人惊讶的是,这是自 PhishLabs 于 2015 年开始这项研究以来该数字首次趋于平稳。
但组织不能将此消息作为开始放松防范 SSL 网络钓鱼攻击的理由。 尤其是网络钓鱼威胁总体呈上升趋势,2021 年上半年总数增长了 22%。
为什么攻击者喜欢进行 SSL 网络钓鱼
罗纳德·里根 (Ronald Reagan) 创造了谚语“信任,但要验证”,这在涉及 SSL 证书时尤其如此。 浏览器中的那个小挂锁符号带来了一种信任感,即您将受到保护,不会有人偷走您所有的钱。 破坏这种信任的正是网络罪犯。
SSL 证书应该保护所有对网络犯罪分子来说都是黄金的东西,从你庆祝生日到你最后一次银行取款。 对于精通如何轻松提供虚假安全感的黑客来说,欺诈性 HTTPS 站点是获取此信息的最佳途径。 对他们来说,在通常被描述为“低风险、高回报”的攻击中,使用受信任的挂锁建立一个虚假的 HTTPS 站点相对简单。
攻击者的作案手法 通常是为相似或拼写错误的域名获取原始 SSL 证书,或者明目张胆地窃取 SSL 证书。 德勤的研究发现,91% 的网络攻击都是从向意想不到的受害者发送网络钓鱼电子邮件开始的。 他们通常是通过从合法地址(如信誉良好的公司或知名人士)发送的电子邮件中的链接被引诱到这些网站的。
今年第二季度,90.5% 的钓鱼网站使用了域验证 (DV) SSL 证书。 组织验证 (OV) 证书在网络犯罪分子中排名第二,占 SSL 证书的 9.51%。 DV 证书可能最受青睐,因为它们很容易获得,而且通常是免费的。 OV 证书通常要求域所有者采取更多步骤来验证站点。
只有 11 个站点拥有扩展验证 (EV) 证书。 这些网站都是被黑客攻击的合法网站,而不是攻击者以某种方式获得 EV 证书而建立的网站。
各种类型的 HTTPS 网络钓鱼攻击
使用电子邮件和类似网站进行网络钓鱼探险的最著名示例之一可能是 Sony Pictures。 2014 年,最有可能发生的事情是黑客向索尼员工发送了虚假的 Apple ID 电子邮件。 点击电子邮件链接的人员被带到一个看起来很像真实网站的苹果网站。 黑客随后能够渗透到公司并窃取密码、登录名和其他有价值的数据。
尽管 Apple 在攻击者中很受欢迎,但它甚至没有进入 Vade 年度网络钓鱼攻击中最常被冒充品牌的前十名。 连续第三年位居榜首的是微软。 它有 30,621 个独特的网络钓鱼 URL。 Facebook 以 14,876 个 URL 紧随其后,PayPal、Chase 和 eBay 位列前五。
下面详细介绍了一些常见的 HTTPS 网络钓鱼攻击类型。 这些技术在不断发展,许多技术结合使用会产生更大的威胁。
- 中间人 (MITM) 攻击:攻击者窃听双方之间的安全对话,他们认为他们只是在相互通信,并且经常使用过期的 SSL 证书获得访问权限。
- SSL 剥离攻击:这是一种中间人攻击形式,黑客通过剥离加密将 Web 连接从更安全的 HTTPS 降级为不太安全的 HTTP。
- 通配符证书:攻击者使用窃取的私钥来访问通配符证书,或者他们欺骗证书颁发机构为假冒公司颁发证书。
HTTPS 网络钓鱼和 COVID-19 大流行
网络犯罪分子会利用这一流行病进行 HTTPS 网络钓鱼攻击也就不足为奇了。 在困难时期,他们利用社会工程策略诱骗人们进入诈骗网站,宣传从治愈方法到假新闻等各种内容。
SpyCloud 分析了超过 136,000 个具有 COVID-19 或冠状病毒主题的主机名和完全限定域名的列表。 它发现 78.4% 的 COVID-19 主题域使用 HTTP,其余使用 HTTPS。
2021 年 6 月与大流行相关的网络钓鱼尝试增加了 33%,而 2021 年春季和初夏病毒担忧暂时消退时,以 COVID-19 为主题的威胁活动有所停滞。 6 月的峰值恰好发生在谷歌搜索“Delta 变体”达到顶峰的时候。
公司的人力资源部门也越来越多地要求员工通过黑客成熟的不安全表格或上传方式发送疫苗接种证明(带有出生日期!)或个人冠状病毒检测结果。 另一种正在兴起的方法是发送网络钓鱼电子邮件,告诉员工他们因大流行而失业。
由于大流行,许多公司已经转向在家工作。 然而,组织一直缺乏执行其网络安全协议的能力,员工一直在家办公,几乎没有受到监督。 超过一半的 IT 领导者认为,员工在远程工作后发现了不良的网络安全行为。
远程工作导致对云应用程序的依赖增加。 Microsoft Office 365 一直是分布式员工的首选平台,据估计,Office 365 已被全球超过一百万家公司使用。 问题是 Office 365 是黑客的最爱。 多次企业网络钓鱼尝试窃取 Microsoft Office 365 凭据的次数很多。 受害者通常被指示在看似真实但缺乏适当 SSL 证书的冒名顶替网站上输入他们的 Microsoft 登录凭据。
或者,犯罪分子正在攻击 Microsoft 的附属公司,例如其基于云的电子邮件管理服务 Mimecast。 今年早些时候,Mimecast 声称攻击者利用它提供给某些客户的数字证书将其产品安全地连接到 Microsoft 365。被破坏的证书很可能是颁发给 Mimecast 的受信任的 SSL 证书。
保护您的企业免受 HTTPS 网络钓鱼
截至 2021 年 2 月,谷歌浏览器占美国互联网浏览器市场总份额的 46% 左右。 谷歌报告称,与 HTTP 相比,大多数操作系统上 Chrome 中超过 90% 的页面加载是通过 HTTPS 发生的。 从今年开始,谷歌的 Chrome 网络浏览器将推出“仅 HTTPS 模式”的可选默认设置。 新设置将在设置安全页面下显示为一个简单的开关,设置后将使 HTTP 网站无法访问。
此外,谷歌希望停用挂锁图标,并正在考虑尝试使用面朝下的 V 形/插入符号,它可以打开一个菜单来设置站点权限并查看其他站点详细信息。 在谷歌对中等技术水平的受访者进行的调查中,只有 11% 的参与者能够正确识别挂锁图标的含义。 有些人认为这是书签图标或网站的图标。 而这个问题只是人们理解的又一层,仅仅因为一个网站有 HTTPS,并不意味着它保证是值得信赖的。
您的企业很可能在您的网络安全培训中有一个关于网络钓鱼攻击的部分,但请仔细检查它是否专门涵盖与 HTTPS 相关的网络钓鱼。 很长一段时间以来,员工都认为如果他们看到那个挂锁符号,就知道他们正在访问的页面是安全的。 对他们进行有关 HTTPS 网络威胁的教育,以更好地保护您的组织免受使用 SSL 证书的网络钓鱼计划的侵害。
以下是与您的公司分享的一些简单提示:
- 如果员工收到带有链接的可疑电子邮件,请指示他们直接致电或发送电子邮件(而不是回复)给此人,并询问是否是他们发送的。 这适用于组织内部和外部的人员。
- 仔细查看网站的 URL 并检查拼写错误或错误的域,例如使用 .gov 与 .com。 建议他们直接在浏览器中键入 URL,而不是直接单击链接。
- 教员工如何将鼠标悬停在链接上以查看目的地是否正确。 强调该人只是将鼠标悬停,而不是实际点击链接,即使它看起来可能是一个安全站点。
- 避免在生产系统上使用通配符证书,如果服务器或证书遭到破坏,这会增加风险和攻击面。
本文来自keyfactor,WoTrus整理翻译,转载请注明出处。