834
網絡釣魚大講堂 Part1 | 網絡釣魚攻擊定義及曆史
何為網絡釣魚攻擊?
首先,我們看一下網絡釣魚攻擊的定義:網絡釣魚攻擊(phishing與fishing發音相近)是最初通過發送消息或郵件,意圖引誘計算機用戶提供個人敏感信息如密碼、生日、信用卡卡號以及社保賬號的一種攻擊方式。為實施此類網絡詐騙,攻擊者將自己偽裝成某個網站的官方代表或與用戶可能有業務往來的機構(如PayPal、亞馬遜、聯合包裹服務公司(UPS)和美國銀行等)的代表。
攻擊者發送的通信內容的標題可能包含“iPad贈品”、“欺詐告警”或其他誘惑性內容。郵件可能包含公司的標誌、電話號碼及其他看似完全合法的內容。攻擊者的另一慣用伎倆是使郵件看起來像是來自您的親朋好友,讓您以為他們要與你分享一些東西。
然而,當您點擊了郵件中的鏈接,會被帶到虛擬網站而非真實網站,讓您在毫無戒備的情況下按照提示輸入個人信息。攻擊者會獲取這些輸入信息,然後立即使用或在黑市上買賣用於惡意目的,或既自用又出售。很多時候,用戶計算機也會受到感染,然後將釣魚郵件發送給通訊錄上的聯係人,助其肆意傳播(惡意代碼會控製受感染計算機的web瀏覽器,該攻擊手段稱為域欺騙。)
在傳統釣魚攻擊中,這些詐騙者會發送數百萬“魚鉤”,隻需較少用戶點擊鏈接“上鉤”。根據加拿大政府的統計,每日全球發送1.56億封釣魚郵件,而最終有8萬用戶點擊郵件中的鏈接, 導致重大損失。Ponemon機構估計,通常擁有10000名員工的公司每年應對網絡釣魚攻擊的花費就高達370萬美元,而這種趨勢沒有減弱跡象,而是愈演愈烈。
網絡釣魚攻擊曆史
網絡釣魚攻擊術語和概念最早由美國在線(AOL)於20世紀90年代初提出。一些黑客和盜版人員聯合起來,自稱warez社區。他們被視為首批“網釣者”。早期詐騙中,他們利用所開發的算法隨機生成信用卡號,從而試圖創建虛假的AOL賬戶。若他們所創建的隨機信用卡號與用戶的真實卡號匹配,他們就會創建賬戶,向AOL社區中的其他用戶發網絡釣魚送垃圾郵件,僅需數個用戶上鉤。
1995年,AOL成功阻止了隨機信用卡號生成器,但warez社區轉而使用其他方法,喬裝成AOL的員工,通過AOL Messenger通訊軟件向其他員工發送消息,以獲取他們的信息。這樣,網絡釣魚攻擊很快就成了一大問題。1996年1月2日“網絡釣魚”第一次在AOL的新聞組的群中被提及(AOL最後在其所有郵件和通訊軟件中發布警告,提醒用戶提防潛在的網絡釣魚)。
利用郵件
隨著人們逐漸熟悉通訊軟件欺騙,“網釣者”開始使用郵件通信,因為郵件容易創建、發送成本低且幾乎不易被識破。
最初大多數釣魚消息組織得很差,滿篇都是語法錯誤,但釣魚者很快進行了改進,編寫了更複雜的消息。2003年9月,釣魚者開始注冊與知名公司類似的域名,例如yahoo-billing.com和ebay-fulfillment.com。他們發送看似更合法的新郵件,誘惑收件人打開使用這些域名的網站,讓其信以為真。
2003年10月,Paypal用戶感染了Mimail病毒。這些用戶單擊了釣魚郵件中包含的鏈接,然後係統彈出了一個聲稱來自Paypal的窗口,讓用戶輸入用戶名和密碼。輸入後,這些用戶名和密碼立即被發送至黑客。
2004年,支持總統候選人John Kerry的選民收到了一個看似來自官方的郵件,鼓動他們單擊郵件中的鏈接進行捐款。最終,該郵件被證實為是印第安州和德克薩斯州操縱的欺騙郵件,與John Kerry的競選活動無關。
現今,網絡釣魚攻擊方法種類繁多。同時,詐騙者仍在持續推出新花招,贏得信任、規避檢測,並造成嚴重破壞。其中一個令人不安的趨勢是通過利用從社交媒體收集的信息,讓通信內容盡量貼近攻擊目標,此類攻擊一般被稱為“魚叉式網絡釣魚”或“社交工程欺騙”。
有時,這種欺騙手段是一個漫長且緩慢的過程,可能會誘惑受害人在Facebook上聊天,最終向其索要錢財或密碼。有時,他們會利用從公共渠道獲取的受害人信息使詐騙看上去更具說服力。
“我們可將現在我們公開發布的信息與15年前進行對比。過去,如果不是去家門口拜訪,我們很難獲得人們的信息。”,反釣魚工作組(APWG)的Peter Cassady說, “而現在人們在網上發布了太多信息,惡意攻擊者可開發半定製方案,利用這些信息,構建看似非常真實的消息。”
SecurityIQ網絡釣魚模擬器
另一種魚叉式攻擊更加危險:黑客盯上某個行業的一家公司,竊取該公司的數據或損害其係統。然後,他們針對該公司的幾個員工發起攻擊,希望利用更具個性化的通信被證明是奏效的。賽門鐵克是一家技術公司,稱能源部門越來越受攻擊者青睞。盡管目前尚未發生大規模入侵,他們警告說此類魚叉式攻擊的威脅日益上升,可能會帶來災難性影響。
網絡釣魚實例
我們在前麵談到,網絡釣魚攻擊形形色色,花招繁多,但萬變不離其宗, 即他們想騙取你的個人信息。
當然,此類攻擊所利用一個主要工具仍是易用的傳統郵件,通常這些郵件會發送給大公司工作繁忙或壓力大的員工,因為他們會不假思索地點擊郵件中的鏈接。盡管很多大公司已部署了防禦措施(如惡意軟件檢測器或垃圾郵件過濾器),但黑客已發現新的入侵方法,在一次攻擊事件中居然利用了空調。
確切地說,攻擊者2014年入侵了零售巨頭Target的網絡,造成1.1億條信用卡信息泄露。此次攻擊的原因是攻擊者對為Target在賓夕法尼亞州的零售店提供空調服務的法齊奧機械服務公司進行了釣魚詐騙,因為該公司具備Target供應商數據庫的訪問權限。法齊奧員工點擊了一個惡意鏈接,在毫不知情的情況下導致計算機被入侵,憑證被竊取,使攻擊者獲取了Target的訪問權限。數月之後,攻擊者入侵了Target網絡。
最終,Target還是盡其所能挽回了損失,而其他受害者就不一定這麼走運了。根據NBC新聞2012年的報道,一位未透露姓名的英國女士稱,她收到了一個看似來自銀行的釣魚郵件,點擊了鏈接,按照提示輸入了個人信息。三天後,她賬戶上的160萬美元不翼而飛,這可是她一生的積蓄。
網絡釣魚攻擊的其他類型
另一種非常流行的網絡釣魚攻擊方法稱為搜索引擎釣魚,即詐騙者創建包含某些關鍵詞的網頁,這樣,用戶搜索這些關鍵詞時會檢索出這些惡意頁麵, 然後會在Google中毫無戒心地單擊這些惡意鏈接,不會將其視為網絡釣魚詐騙,等意識到自己中招時為時已晚。
《電腦世界》報道了一次搜索引擎釣魚攻擊利用與誘人的信用卡利息和高息儲蓄賬戶相關的關鍵詞。在這些好處的驅使下,搜索者訪問了看上去非常專業的網站,很自信地輸入了登陸信息。在此過程中,攻擊者要求他們關聯自己的銀行賬戶,然後立即順走了賬戶中的錢。
中間人攻擊(MITM)卻更加巧妙複雜,根本無需虛假網站。實際上,黑客通過利用惡意鏈接充當合法網站和用戶之間的“中間人”角色,秘密收集通過其代理的通信數據。這種攻擊最早由《華盛頓郵報》於2006年報道,稱花旗銀行的企業客戶中招此類攻擊。由於中間人攻擊非常隱蔽,幾乎無法被發現,直到現在該類攻擊仍是各企業麵臨的難題。
語音釣魚和短信釣魚
“語音釣魚”和“短信釣魚”是兩種重要的移動釣魚攻擊方法。語音釣魚指通過語音進行網絡釣魚攻擊,具體指攻擊者通過唿叫受害人進行釣魚攻擊。同時,在社交媒體風行的當下,人們公開發布了大量信息。這樣,攻擊者就趁機獲取很多用戶信息,使自己的偽裝更加可信。
BBC曾報道過語音釣魚攻擊,稱一位名為Emma Watson的女士遭遇了語音釣魚攻擊,她接到電話後誤以為是銀行打來的。在此次攻擊中,攻擊者撥通了她家裏的固定電話,準確地說出她的姓名,聲稱來自反欺詐部門,想幫她將銀行存款轉移到更安全的賬戶。
她告訴BBC說,“他們非常專業,說的頭頭是道。”
這些語音攻擊者可篡改來電號碼,使其看起來像是從另外一個號碼發起的唿叫,這樣就又為欺騙蒙上了一層麵紗。現在,快速發展的人工智能軟件完全可模仿人類唿叫者,可想而知,以後的詐騙伎倆無疑讓人心生恐懼。
最後,我們看一下短信釣魚(SMS釣魚)攻擊,即通過向智能手機發送短信發動攻擊。McAfee表示,在早期短信攻擊中,攻擊者向受害者發送確認消息,讓用戶打開鏈接“取消”未訂購的電話業務或其他服務。在毫無戒心的用戶單擊鏈接後,其手機就變成大型釣魚詐騙網絡的成員。
網絡釣魚攻擊、魚叉式釣魚攻擊、域欺騙、語音釣魚、短信釣魚和社交工程欺詐僅僅是黑客用於獲取用戶信息所使用的幾個最新手段。為防止中招,點擊鏈接前請三思而後行。
本文作者:綠盟科技
來源:51CTO
最後更新:2017-11-02 17:04:34