鱼叉式网络钓鱼
-
鱼叉式网络钓鱼
攻击目标
由于鱼叉式网络钓鱼锁定之对象并非一般个人,而是特定公司、组织之成员,故受窃之资讯已非一般网络钓鱼所窃取之个人资料,而是其他高度敏感性资料,如知识产权及商业机密。
网络钓鱼是指诱导人们连接那些黑客已经锁定的目标。这种攻击方法的成功率很高,也非常常见。点击链接、打开表格或者连接其他一些文件都会感染病毒。一次简单的点击相当于为攻击者开启了一扇电子门,这样他就可以接触到你的内部弱点了。因为你已经同意他进入,他能够接触弱点,然后挖掘信息和授权连接。 [1]
网钓技术
链接操控
大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于一封邮箱中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或使用子网域是网钓所使用的常见伎俩。在下面的网址例子里,http://www. 您的银行.范例.com/,网址似乎将带您到“您的银行”网站的“示例”子网域;实际上这个网址指向了“示例”网站的“您的银行”(即网钓)子网域。另一种常见的伎俩是使锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。下面的链接示例:诚实,似乎将您导引到条目“诚实”,点进后实际上它将带你到条目“谎言”。
另一种老方法是使用含有'@'符号的欺骗链接。原本这是用来作为一种包括用户名和密码(与标准对比)的自动登录方式。例如,链接http://www.google.com@members.tripod.com/可能欺骗偶然访问的网民,让他认为这将打开www.google.com上的一个网页,而它实际上导引浏览器指向members.tripod.com上的某页,以用户名www.google.com。该页面会正常打开,不管给定的用户名为何。这种网址在Internet Explorer中被禁用,而Mozilla Firefox与Opera会显示警告消息,并让用户选择继续到该站浏览或取消。
还有一个已发现的问题在网页浏览器如何处理国际化域名(InternationalDomainNames,下称IDN),这可能使外观相同的网址,连到不同的、可能是恶意的网站上。尽管人尽皆知该称之为的IDN欺骗或者同形异义字攻击的漏洞,网钓者冒着类似的风险利用信誉良好网站上的URL重定向服务来掩饰其恶意网址。 [1]
过滤器规避
网站伪造
一旦受害者访问网钓网站,欺骗并没有到此结束。一些网钓诈骗使用JavaScript命令以改变地址栏。这由放一个合法网址的地址栏图片以盖住地址栏,或者关闭原来的地址栏并重开一个新的合法的URL达成。
攻击者甚至可以利用在信誉卓著网站自己的脚本漏洞对付受害者。这一类型攻击(也称为跨网站脚本)的问题尤其特别严重,因为它们导引用户直接在他们自己的银行或服务的网页登录,在这里从网络地址到安全证书的一切似乎是正确的。而实际上,链接到该网站是经过摆弄来进行攻击,但它没有专业知识要发现是非常困难的。这样的漏洞于2006年曾被用来对付PayPal。
还有一种由RSA信息安全公司发现的万用中间人网钓包,它提供了一个简单易用的界面让网钓者以令人信服地重制网站,并捕捉用户进入假网站的登录细节。
为了避免被反网钓技术扫描到网钓有关的文字,网钓者已经开始利用Flash构建网站。这些看起来很像真正的网站,但把文字隐藏在多媒体对象中。
电话网钓
并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。一旦电话号码(网钓者拥有这支电话,并由IP电话服务提供)被拨通,该系统便提示用户键入他们的账号和密码。话钓(Vishing,得名自英文Voice Phishing,亦即语音网钓)有时使用假冒来电ID显示,使外观类似于来自一个值得信赖的组织。
WIFI免费热点网钓
网络黑客在公共场所设置一个假Wi-Fi热点,引人来连在线网,一旦用户用个人计算机或手机,登录了黑客设置的假Wi-Fi热点,那么个人数据和所有隐私,都会因此落入黑客手中。你在网络上的一举一动,完全逃不出黑客的眼睛,更恶劣的黑客,还会在别人的计算机里安装间谍软件,如影随形。 [1]
隐蔽重定向漏洞
2014年5月,新加坡南洋理工大学壹位名叫王晶(Wang Jing)的物理和数学科学学院博士生,发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"(英语:Covert Redirect)]。
攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。
黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,壹旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。 [2]
如何防范
黑客们是如何做到这些的?我们又应该如何保护自己呢?
美国工业控制系统网络应急响应小组(ICS-CERT)注意到面向各种人群和工业控制系统部门的网络钓鱼行为。攻击者希望能够在目标设施中找到立足点,通常距离目标越近越好,当然任何立足点都可以发挥作用。对于有针对性的鱼叉式网络钓鱼,没有人能够保证不受其引诱,比如:
■ 一名流程工程师收到一份来自自动化合作伙伴或者供应商的电子邮件通知;
美国工业控制系统网络应急响应小组(ICS-CERT)注意到面向各种人群和工业控制系统部门的网络钓鱼行为。攻击者希望能够在目标设施中找到立足点,通常距离目标越近越好,当然任何立足点都可以发挥作用。对于有针对性的鱼叉式网络钓鱼,没有人能够保证不受其引诱,比如:
■ 一名流程工程师收到一份来自自动化合作伙伴或者供应商的电子邮件通知;
■ 一名财务分析师收到带有当前项目数据的电子邮件表格;
■ 一名经理收到一个关于竞争对手收购活动的网站链接。
攻击者的目的是引诱受害人进入一个不能信任的网络位置,典型的方法是让他打开一份被感染的PDF文件、文档文件、表格、Java应用或者网站。从内部受保护网络向互联网非置信区域的数据请求使得入侵者可以顺利进入。
■ 一名经理收到一个关于竞争对手收购活动的网站链接。
攻击者的目的是引诱受害人进入一个不能信任的网络位置,典型的方法是让他打开一份被感染的PDF文件、文档文件、表格、Java应用或者网站。从内部受保护网络向互联网非置信区域的数据请求使得入侵者可以顺利进入。
攻击者通过使用像LinkedIn和Facebook这样的资源选择受害者,了解他们的社会关系;工作和BBS网站则可以了解供应商关系、角色和职责;甚至他们还可以借助技术工具读取位于公共网站上的授权文件,了解目标机构正在使用的微软Office,Adobe Acrobat以及Java的版本和安全补丁等级。
其他可能会公开的信息资源和主题包括:
■公关和媒体发布;
■股票、收购和财务声明;
■政府和工业会议;
■ 政府数据库;
■国际或者政治事件;
■ 供应商的成功案例或者合同奖项;
■ 社交媒体网站;
■ 工作和BBS网站。
其他可能会公开的信息资源和主题包括:
■公关和媒体发布;
■股票、收购和财务声明;
■政府和工业会议;
■ 政府数据库;
■国际或者政治事件;
■ 供应商的成功案例或者合同奖项;
■ 社交媒体网站;
■ 工作和BBS网站。
如果你发现自己已经被锁定,保留住那封邮件,并同时密切关注自己的电子邮件和网络活动。不要想当然地认为自己被锁定是一个孤立事件——这很可能是一次范围更大的活动的一部分。