【51CTO.com原创稿件】近几周,iOS 应用 WePhone 的创始人、开发者苏享茂自杀的消息引爆了舆论。作为跟程序员行业密切相关的热点事件,本文在表达对逝者的惋惜与尊重的同时,也想从信息安全的角度聊一聊钓鱼这件事。
婚恋网站背后,可能藏着精心设计的钓鱼攻击
01事件回顾
详见上周报道:37岁天才程序员之死:为何他被迫签下总价1300万的离婚协议
不论是媒体还是观众,对此事都非常关注,并猜测最终导致苏享茂走上自杀道路的原因。经过记者的调查,苏享茂与前妻翟某相识的平台——世纪佳缘也许有着不可推卸的责任。
02婚恋交友平台的漏洞
世纪佳缘注册页面 — 只有手机号是必填项
小编在世纪佳缘注册了账号,体验平台的具体功能,结果发现,注册和提交资料过程未经过任何实名制审核。
此外,虽然世纪佳缘官网有“用户靠谱度”的评价指标,但即使是未经过审核、没有实名认证的账号也能获得将近 70 分的评分(及格)。而百合网、珍爱网等知名婚恋交友网站都没有实名认证环节。
最值得注意的是,即使用户主动实名认证,但在填写资料时,学历、收入、住房、婚姻资料等信息也都可以随意填写。而这些,正中诈骗者的下怀。
03基于婚恋交友网站的钓鱼攻击和网络诈骗
早在 2010 年,就有人将网络交友诈骗划分了类别,还将这种行为命名为 Catfishing。
Catfishing 是一种特殊的网络钓鱼攻击方式,主要针对的是利用社交网站交友、婚恋的人群。攻击者在社交网站上创建虚假个人资料,欺骗交友者,进而骗财骗色骗感情,甚至窃取个人信息进行更多恶意活动。
伊朗黑客组织伪造的美女社交资料
发展至今,诈骗团伙也有了新的花样。他们从单纯的欺骗转向为与受害人建立感情基础(如此一来,最后就算涉及诈骗,也难以立案),随后再实施诈骗计划。此外,与以往的集中式诈骗团伙不同,现在这类诈骗呈现出分散化、自愿化的特点。
一个简单完整的产业链如下:
- 上游黑客利用技术爬取世纪佳缘、百合网等网站中的嘉宾信息,具体到姓名、联系方式、学历、资产信息、婚姻状况、消费情况等。
- 中游有人专门盗取社交网站中的美女图片,注册新微信账号发朋友圈(养号、伪造成真实账号)。
- 下游根据爬取到的信息特征,与养的微信号进行匹配,随后伪装身份并套用现有的话术模板,正式实施诈骗。
据知情者表示,利用这种模式,一个话务可以同时与 30 个左右的男士交流,交流到一定程度,甚至可以对其进行思想控制,让对方心甘情愿为自己花钱。
整个过程中涉及的信息泄露可谓惊人,不论是婚恋网站的嘉宾信息,还是社交网站中发布的个人照片,都有可能被不法分子利用,实施犯罪。
回到 WePhone 创始人自杀事件本身:女方隐瞒婚恋信息;女方称自己舅舅有背景可以封杀男方产品进行威胁。
在婚姻存续期间,男方从未见过女方任何闺蜜、同事、朋友等,且在离婚过程中还有其他男性帮助女方实施威胁恐吓、以及双方微信聊天截图中透露出的男方态度等,都很符合 catfishing 的特征。
04逝者已矣生者如斯
事情的真相还在进一步调查。逝者已逝,我们在哀悼、惋惜的同时,要正视并反思现如今网络时代中的个人信息安全问题。希望大家都能好好爱惜自己,无论遇到什么,都努力坚持下去,活着,才能谈明天。
GitHub “对自杀说不”开源协议
面对越来越多的网络钓鱼,我们如何应对?下面我们详细了解一下网络钓鱼的演进过程。
网络钓鱼攻击定义
01何为网络钓鱼攻击
网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码、生日、信用卡卡号以及社保账号的一种攻击方式。
为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如 PayPal、亚马逊、联合包裹服务公司(UPS)和美国银行等)的代表。
攻击者发送的通信内容的标题可能包含“iPad 赠品”、“欺诈告警”或其他诱惑性内容。邮件可能包含公司的标志、电话号码及其他看似完全合法的内容。
攻击者的另一个惯用伎俩是使邮件看起来像是来自您的亲朋好友,让您以为他们要与你分享一些东西。
然而,当您点击了邮件中的链接,会被带到虚拟网站而非真实网站,让您在毫无戒备的情况下按照提示输入个人信息。
攻击者会获取这些输入信息,然后立即使用或在黑市上买卖用于恶意目的,或既自用又出售。
很多时候,用户计算机也会受到感染,然后将钓鱼邮件发送给通讯录上的联系人,助其肆意传播(恶意代码会控制受感染计算机的 Web 浏览器,该攻击手段称为域欺骗。)
在传统钓鱼攻击中,这些诈骗者会发送数百万“鱼钩”,只需较少用户点击链接“上钩”。根据加拿大政府的统计,每日全球发送 1.56 亿封钓鱼邮件,而最终有 8 万用户点击邮件中的链接, 导致重大损失。
据 Ponemon 机构估计,通常拥有 10000 名员工的公司每年应对网络钓鱼攻击的花费就高达 370 万美元,而这种趋势没有减弱迹象,而是愈演愈烈。
02网络钓鱼实例
网络钓鱼攻击形形色色,花招繁多,但万变不离其宗,即他们想骗取你的个人信息。
当然,此类攻击所利用一个主要工具仍是易用的传统邮件,通常这些邮件会发送给大公司工作繁忙或压力大的员工,因为他们会不假思索地点击邮件中的链接。
尽管很多大公司已部署了防御措施(如恶意软件检测器或垃圾邮件过滤器),但黑客已发现新的入侵方法,在一次攻击事件中居然利用了空调。
确切地说,攻击者 2014 年入侵了零售巨头 Target 的网络,造成 1.1 亿条信用卡信息泄露。
此次攻击的原因是攻击者对为 Target 在宾夕法尼亚州的零售店提供空调服务的法齐奥机械服务公司进行了钓鱼诈骗,因为该公司具备 Target 供应商数据库的访问权限。
法齐奥员工点击了一个恶意链接,在毫不知情的情况下导致计算机被入侵,凭证被窃取,使攻击者获取了 Target 的访问权限。数月之后,攻击者入侵了 Target 网络。
最终,Target 还是尽其所能挽回了损失,而其他受害者就不一定这么走运了。根据 NBC 新闻 2012 年的报道,一位未透露姓名的英国女士称,她收到了一个看似来自银行的钓鱼邮件,点击了链接,按照提示输入了个人信息。
三天后,她账户上的 160 万美元不翼而飞,这可是她一生的积蓄。
03网络钓鱼攻击的其他类型
另一种非常流行的网络钓鱼攻击方法称为搜索引擎钓鱼,即诈骗者创建包含某些关键词的网页。
这样,用户搜索这些关键词时会检索出这些恶意页面,然后会在 Google 中毫无戒心地单击这些恶意链接,不会将其视为网络钓鱼诈骗,等意识到自己中招时为时已晚。
04语音钓鱼和短信钓鱼
“语音钓鱼”和“短信钓鱼”是两种重要的移动钓鱼攻击方法。
语音钓鱼指通过语音进行网络钓鱼攻击,具体指攻击者通过呼叫受害人进行钓鱼攻击。
同时,在社交媒体风行的当下,人们公开发布了大量信息。这样,攻击者就趁机获取很多用户信息,使自己的伪装更加可信。
这些语音攻击者可篡改来电号码,使其看起来像是从另外一个号码发起的呼叫,这样就又为欺骗蒙上了一层面纱。
现在,快速发展的人工智能软件完全可模仿人类呼叫者,可想而知,以后的诈骗伎俩无疑让人心生恐惧。
短信钓鱼(SMS 钓鱼)攻击,即通过向智能手机发送短信来发动攻击。McAfee 表示,在早期的短信攻击中,攻击者向受害者发送确认消息,让用户打开链接“取消”未订购的电话业务或其他服务。
在毫无戒心的用户单击链接后,其手机就变成大型钓鱼诈骗网络的成员。
网络钓鱼攻击、鱼叉式钓鱼攻击、域欺骗、语音钓鱼、短信钓鱼和社交工程欺诈仅仅是黑客用于获取用户信息所使用的几个最新手段。为防止中招,点击链接前请三思而后行。
网络钓鱼攻击向量介绍
在搭建了合适的钓鱼网络、收集了信息以及放置诱饵之后,攻击者可入侵任何公司、组织甚至政府机构,造成极大破坏。
网络钓鱼攻击的目的包括:窃取数据及金融诈骗、高级持续性威胁(APT)和恶意软件传播。
01数据窃取与金融诈骗
根据 PhishLabs 于 2016 年所作研究,2015 年 22% 的鱼叉式钓鱼攻击的动机均为金融诈骗或其他相关犯罪。
通过这种攻击方式,攻击者获利颇丰,所以该类事件不胜枚举。例如,2016年初针对木兰健康公司(Magnolia Health)的攻击中,某钓鱼网络假冒该公司 CEO 发送邮件。
这就是所谓的伪造邮件钓鱼攻击,直接造成公司员工数据泄露,包括员工的社保号、工资标准、出生日期、通信地址、姓名全称以及工号。
02网络钓鱼 APT
APT 也是一种网络攻击者喜欢的攻击方式。总的来说,这是一种长期感染或安全漏洞,可能持续数周、数月甚至长达一年而不为人知。
这些攻击中没有“最常见”的目标,基本上,任何人都可能被攻击。各种规模的企业、非盈利组织甚至政府机构都可能遭遇APT攻击。
还有一点很重要,APT 多与外国政府和军方有关,而非常规的钓鱼网络。
APT 有如下特点:
- 持续进行活动。
- 目的明确。
- 一般针对行事高调的目标。
- 属于“诱捕式”攻击。
诱捕式攻击指目标一旦上钩,攻击者便会长期潜伏,持续攻击受害人。多数钓鱼攻击类似于肇事逃逸,持续时间相对较短,但 APT 会持续很长时间。
之所以这样,部分原因是受害者一般很难发现攻击,因而也就无法进行响应。
如上所述,APT 针对特定目标,以实现特定目的。APT 的任务从窃取资金到收集敌对政府的情报甚至是实现政治目标不一而足。它们还经常针对数字资产,如核电厂设计或高科技原理图。
典型的 APT 攻击包括如下六个主要步骤或阶段:
- 攻击者收集目标的信息,常用方法是社会工程,其他方法还包括网页抓取、通过聊天室和社交网络进行人际互动等。
- 攻击者构造并发送钓鱼邮件和/或消息,内容针对目标量身定制,真伪难辨,包括真实姓名、电话号码、地址以及用以骗取信任的其他细节信息。
- 目标打开邮件,进行操作:点击链接打开受感染或伪造的网站,或下载受感染的文档。不管哪种情况,目标都已受骗上钩。
- 用户所使用的系统被入侵。
- 入侵系统接下来会感染目标组织、公司或机构的整个网络。
- 攻击者伺机攻击目标获取数据。
- 最后,APT 组织会提取数据并进行解析和整理。
一旦感染并控制了目标,APT 实施者便能够进一步植入恶意软件、病毒和其他威胁。
例如,可部署远程访问木马(RAT),让 APT 组织长驱直入,访问网络中的任何数据。取得控制权后,APT 组织会潜伏下来,监听并窃取信息,直到受害人发觉网络被入侵,而在这之前,攻击者一般有充足的时间不慌不忙地收集数据。
03恶意软件传播
有些钓鱼攻击诱骗用户在假冒网站或 Web 表单中输入信息以窃取凭证,而有些则有进一步企图。恶意软件由来已久,不过现在的它们比过去要高级得多。
在受害者系统中安装恶意软件是钓鱼网络在渗透并感染目标公司或组织时最喜欢的一个方法。钓鱼组织主要通过两个手段实现这个目的。
一种是通过恶意附件感染目标系统。这种情况下,要精心构造邮件并发给个人。邮件中包含附件,或为 Word/PDF 文件,或为其他格式的文件。无论哪种情况,邮件发送人看似都很可信,比如,可能是同事、老板、金融机构等。
最好的情况是杀毒软件在此类附件打开前进行扫描并检测到恶意软件。然而,即使是最新的杀毒软件有时也无法对压缩文件进行彻底扫描,风险依然存在。
勒索软件在钓鱼网络中的地位日益凸显,是最可怕的恶意附件之一。不过,勒索软件还可以通过受感染网站下载,这意味着邮件附件并不是攻击者的唯一选择。
勒索软件恰如其名,这种恶意软件先感染目标系统,然后进行加密,这样就如同控制人质一样控制了硬盘中的所有数据。
在个人、公司或组织支付赎金后,攻击者释放文件。消费者、CEO 甚至于警察局都曾被如此勒索过。
通过附件传播恶意软件时还能使用宏病毒,这种病毒常用于感染微软 Office 文件,启动程序或进行特定操作都会触发病毒。
钓鱼网络感染受害者时使用的另一个手段是恶意链接。这种情况下,邮件中包含的不是恶意附件,而是 URL。
邮件或社交媒体消息的目的是诱骗目标点击链接,一旦点击,计算机中就开始下载代码,或者用户被定向至病毒/伪造网站,恶意软件乘机植入到计算机中。
恶意链接比恶意附件更有效,因为钓鱼网络竭力使消息看起来真实可信。前述木兰公司攻击中所使用的邮件就是这样一个典型例子。
邮件内容各不相同,但如下几种最常见:
- 通知用户其账户被黑或遭遇某种恶意行为。
- 通知用户进行操作以避免账户被冻结或验证身份。
- 通知用户检测到金融账户存有欺诈行为。
其他类似方法还包括抢注域名和误植域名,这两种方法依赖的都是正确拼写的 URL 的变体。
抢注域名是指注册和实际公司域名非常类似的域名,然后再模仿真实公司网站伪造另一个网站。误植域名的过程大同小异,但利用的是输入公司域名时常见的打字错误。
此外,随着时间的推移,钓鱼攻击有增无减,公司和组织对于此类风险总是后知后觉,而在实施安全规程、进行必要培训以抗击日益增多的威胁方面行动更为迟缓。
网络钓鱼攻击战术
要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据。
这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业,但请记住“凡事预则立”。
01计划与准备
像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的。发起攻击前,需要进行大量的研究和细致的计划与准备。
很多情况下,这些都不是一蹴而就的。它们是精心策划的攻击,能够让任何战术家引以为傲。
02收集信息—第一步
策划网络钓鱼攻击的第一步是搜集信息。钓鱼组织(多数情况下,为团伙或网络,并非牟取一己私利的独立黑客)必须确定攻击目标,然后搜集可让攻击渗透任何安全协议的重要信息。
大多数黑客组织利用互联网中继聊天(IRC)进行策划和战略沟通,并讨论攻击目标、攻击方法等,因为 IRC 是匿名的,并且安全。
03钓鱼网络
网络钓鱼攻击通常不是一个独立的攻击者,而是团队完成的,这些团队被称之为钓鱼网络。
你可以把他们想象成任何其他的商业网络,团队成员技能互补,一起为实现共同的事业或目标而努力。
攻击者表示,实现这一切只需轻轻一点,剩下的就交由历史了。通过访问被攻击主机,攻击者几乎可以做任何事情,包括植入恶意代码、下载病毒和获取数据。在某些情况下,攻击组织可访问重要的公司数据长达数月、甚至数年之久。
04下饵与信息搜集
网络钓鱼攻击都要使用诱饵。钓鱼网络竭尽全力获取员工或主管信息,但若不能创造出诱人的饵,所有的努力都是徒劳。
因此,诱饵非常重要。若诱饵不引人注目,目标就不会采取预期操作(例如单击链接)。这意味着攻击者失去了攻击目标,无论是入侵 PC、财务信息还是个人数据,或其他完全不同的内容,钓鱼网路使用的诱饵的形式多种多样。
05上钩
任何网络钓鱼攻击的终极目标都是让目标“上钩”,一旦下饵,目标上钩后,好戏就开始了。至此,攻击者可访问其需要的信息,若获取了管理员凭证,攻击者可以做很多事情,包括诱骗其他用户。
在最坏的情况下,攻击者利用 DNS 缓存污染接管整个服务器,并将所有流量重定向至钓鱼网站。攻击者还能够截获数据,甚至扫描硬盘、收件箱及其他文件夹。
一旦加入,网络钓鱼攻击者将开始数据提取流程。他们会抓取数据库数据以获取个人和财务数据,并将这些数据添加到电子表格中。
他们对某些类型的数据特别感兴趣,包括:
- 社保号
- 姓名全称
- 通信地址
- 邮箱地址
- 信用卡号
- 密码
一旦信息被抓取和保存,钓鱼组织将执行计划的最后一步。他们在黑市上出售这些信息,其他人会利用这些信息窃取身份,开立新的信用卡账户,或利用他人资料伪造全新的身份。
出价高者将得到这些数据,然后钓鱼组织瓜分利润。在某些地方,某些人可能愿意以 1200 美元的高价购买个人手机号码和邮件地址。
网络钓鱼的可怕性不仅在于数据失窃,还在于攻击易于发动。而且,任何企业、组织或政府机构都可能成为受害者,唯一的防护方法是要提高警惕并做好准备。
网络钓鱼对策(反钓鱼)
对抗网络钓鱼的方法有技术性的,也有非技术性的。
这里着重介绍四种反钓鱼技术:
- 反钓鱼技术手段。
- 非技术对策。
- 模拟钓鱼攻击。
- 反钓鱼小贴士。
01反钓鱼技术手段
最有效、最常用的技术手段包括:
- 使用 HTTPS。
- 正确配置 Web 浏览器。
- 监控钓鱼网站。
- 正确配置邮件客户端。
- 使用垃圾邮件过滤器。
使用 HTTPS
一般的 HTTP 网站使用 80 端口,而安全版本的 HTTP 即 HTTPS 使用 443 端口,使用 HTTPS 意味着浏览器与目标服务器之间的所有信息均加密传输。
所以,HTTPS 的“S”表示“安全”(Secure),但使用 HTTPS 访问网站并不能 100% 保证安全。
网络钓鱼者会使用 HTTPS 搭建钓鱼网站,判断网站合法性的最有效方法是验证证书详细信息,合法的网站应有由知名、可信的证书机构(CA)颁发的证书。
正确配置 Web 浏览器
多数浏览器自带工具防止用户被定向至钓鱼网站。Mozilla 火狐浏览器的“安全”配置页面中的“常规”设置有如下几个选项:
- 当站点尝试安装附加组件时警告。
- 阻止已报告的攻击站点。
- 阻止已报告的钓鱼网站。
最好全部选中这三个选项以更好地保护自己,IE 浏览器的工具下拉菜单中有个SmartScreen筛选器。使用这个选项,你所访问的每个网站都会发送给微软,微软将根据举报网站清单验证其真实性。
监控钓鱼网站
微软等组织存有动态更新的举报网站清单,网上还有现成工具可在访问网站前进行网站检查,例如谷歌安全浏览工具。
正确配置邮件客户端
最终用户不能走进机房配置邮件服务器,但能够配置邮件客户端处理邮件的方法。邮件客户端的种类很多,现在尤其如此,因为人们越来越倾向于在移动设备上查看邮件。
重要的是要了解所选择客户端的特性,OutLook 仍然是最受欢迎的桌面邮件客户端,提供网络钓鱼保护。
进入垃圾邮件设置,禁用链接,接收关于可疑域和邮件地址的警告。若使用谷歌安全浏览工具,可在目标网站前输入如下 URL:
http://www.google.com/safebrowsing/diagnostic?site=
例如,在访问 apple.com 前,将目的地址添加到上述 URL 中的“=”后,然后按回车键。
垃圾邮件过滤器
除了正确设置邮件客户端,还可以在邮件中使用垃圾邮件过滤器。
02非技术对策
最有效的非技术对策是培训用户,保证本组织内部人员甚至家庭成员了解时下的网络钓鱼技术,防止他们成为网络钓鱼攻击的受害者。
有些组织甚至构造钓鱼邮件以识别容易上当的员工。点击邮件中链接或未上报可疑情况的员工会被定向至培训网站,接受强制培训,有时甚至还要就培训内容参加考试。
另一种非技术对策是法律政策。公司出台政策保护员工及其资产不被攻击。这种政策本身是非技术性的,但用于指导技术控制措施的制定。
目前,已有相关法律试图保护消费者免受垃圾邮件和钓鱼攻击的侵扰,但这些案件很难追查,犯罪分子也很难定位。
03模拟钓鱼攻击
模拟钓鱼攻击指组织为自保而发起的钓鱼攻击,为了更有效地培养员工的反钓鱼意识,组织会编写钓鱼邮件发送给员工,试探谁会上钩。
许多模拟钓鱼公司软件允许公司自定义攻击行动,监控结果。使用这种方法,可以对计划的有效性进行统计,目的是持续教育而非斥责、贬损用户。
这种做法有争议,但调查表明效果不错,在发动这种模拟攻击后,用户加深了对网络钓鱼的认识。这种模拟可与时俱进,而不拘泥于已有的攻击方法。
04反钓鱼小贴士
首先要注意的是检查可疑邮件地址行的“收件人”和“发件人”信息,确认自己认识邮件发送人,即使邮件来自于可信发送方,也要查看“收件人”这一行确认自己是否为唯一收件人。
很多时候,攻击者先入侵账户,再构造钓鱼邮件,最后可能为了节约时间通过入侵账户将邮件发送给尽量多的人,若发现有很多自己不认识的收件人,你就要小心了。
在打开邮件前,将鼠标悬停在邮件上查看发件人那行中的发件人是否确为发件人,悬停鼠标时,会出现一个小框,提示邮件相关的元数据信息,检查信息,确认是否与收件箱中内容匹配。
若进行这些操作后未发现反常情况,打开邮件。邮件中若包含图片、附件或 URL,对这些也要进行检查。许多钓鱼邮件会包含 URL 链接,这些 URL 实际上是抢注域名和误植域名网站。
结论
谁都无法完全避免或阻止钓鱼攻击,但是可以尽自己所能保护资产,对用户进行网络钓鱼趋势方面的持续培训。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
