钓鱼攻防对抗战的今日现状–防守方完全落后挨打

  网络钓鱼主要用来骗取个人敏感信息,从而用于一些恶意目的。今天主要谈钓鱼用来做金融欺诈和身份盗窃的行为,包括对网银、购物等欺诈行为。

  随着上网人群的增多,钓鱼潜在目标范围也更大,有三个主要的可利用的地方:

  个人信息泄露:很多用户在网上有意无意泄露了自己的个人信息,虽然用户认为他没有泄露过任何密码,但在今天大数据的形势下,掌握你其他信息,就可以爆破出密码。

  客户敏感信息保护:很多网站安全保护措施薄弱,被黑客攻破拿到账户、订单等信息用来欺诈。

  犯罪分子技术进步:犯罪分子的技术也在不断进步中,比如电子邮件欺诈、养号、DNS欺骗、客服回访等更具有伪装性的手段。对于一般用户来说是很难防范的。

  钓鱼技术

  早些时候,钓鱼主要是使用电子邮件进行,冒充自己是一个正规的银行、购物网站,要求用户更换密码、验证账户等,这种方法到现在还在大规模使用。最近几年,有一些新方法,比如伪装成银行有奖调查,要求提供你的银行卡信息,同时伪造一个非常仿真的假网站钓鱼。再比如专门针对账户信息的恶意软件,尤其在手机端的安卓平台上是重灾区。

  在今天,钓鱼已经成为一个完整的产业链,所有钓鱼需要的工具和技术都有专业人员包装提供好,包括自动采集邮件、发送钓鱼邮件、钓鱼网站托管、专门的恶意软件等都有相应的工具,其管理后台甚至超过一般的中小网站技术水平。总体上包括以下手段:

  1、僵尸/僵尸网络

  所谓僵尸机器是指计算机被远程控制,实际上可能通过IRC、HTTP等各种点对点协议实现控制,由于被远程操纵,因此称之为僵尸机器。当一批这样的僵尸机器存在就称之为僵尸网络。僵尸网络可以用来完成很多工作,包括发送邮件钓鱼、WEB服务器钓鱼、更新安装恶意软件、分布式拒绝服务、代理服务、刷各种活动、漏洞扫描、检测等。僵尸机器的产生,大部分是由于邮件、文件共享、各种即时通讯传播而形成的。

  2、钓鱼服务

  我们曾经打击过一些钓鱼网站,每个钓鱼网站的背后,都有一些某某钓鱼公司、某某软件公司的存在,这些钓鱼公司、软件公司设计完成各类钓鱼页面,从各大银行到各大电商、三方支付公司、各个电视台、微博等,还提供伪造的电子邮件服务器,为方便管理钓鱼,提供代理、短信通知,甚至提供钓鱼网站托管业务。这些公司的存在,最大程度的减少了钓鱼者的技术障碍,让其关于与核心业务:诈骗。

  3、技术欺骗

  很多用户也从电视报纸上受到各种提示和教育,但钓鱼技术也在进步,包括url模糊化、浏览器漏洞利用、伪装成各种视频图片的恶意文件、假基站、伪造电话号码等。技术欺骗手段需要详细的解释一下:

  (1)URL欺骗

  URL欺骗的目的是让用户以为这是一个真网站,并且要在技术上简单高效。最简单的是http重定向,把恶意网站隐藏在合法链接里,这种钓鱼欺骗比较容易检测,当鼠标指向链接的时候在浏览器底部可以看到真实URL。第二种是图片格式,图片指向一个钓鱼网站,和前面一样也很容易检测。第三种是替代编码,把url变成十六进制,比如http://www.weibo.com,转换后变成%68%74%74%70%3A%2F%2F%77%77%77%2E%77%65%69%62%6F%2E%63%6F%6D。,同样也可以把IP地址192.168.1.1转换成0xc0a80101,浏览器能够解释这两种编码,XSS攻击里也常用这种手法。第四种则是类似的域名注册,让人看上去以为是合法网站,比如www.bank.com是真网站,而www-bank.com就是一个钓鱼,类似的变换还有很多种。

  (2)浏览器欺骗漏洞

  一些漏洞可以利用WEB浏览器的问题混淆URL,甚至安装恶意软件。比如早年前IE的弹出窗口对象类型确认漏洞,攻击者伪造一个弹出窗口,正好覆盖住url地址栏,而这个窗口又用了一个合法的图片来遮掩。再比如ActiveX跨域漏洞,用户查看特定页面时可以远程执行命令。

  (3)浏览器跨域

  也就是同源策略,但浏览器存在一些跨域漏洞,可以读取其他网页内容、劫持token甚至跨域传输。

  4、Session劫持

  多数钓鱼方法是想办法让用户点击恶意URL,Session劫持则是劫持会话,即使用户正在访问合法网站,也会被重定向到钓鱼网站上去。结合现在大规模的家用路由漏洞,这种方法效果就更好了。

  (1)域名解析攻击

  典型的例子是DNS缓存中毒,通过污染DNS缓存来达到目的。但这种手段攻击成本高、影响大,黑产讲究的是简单实用,于是我们就看到更简单的办法,直接篡改主机上的host文件,这就容易多了,而且也很容易通过恶意软件传播。

  (2)XSS攻击

  理论上XSS攻击可以用来做很多事,wooyun网上常见的是盗取cookie技术,不过这种手段无疑不符合黑产简单实用的作风,用在黑产里的跨站,多数还是url重定向这一类。

  (3)中间人攻击

  中间人攻击的定义比较广泛,总体意思是攻击者能够拦截、读取、修改通信内容。

  5、木马

  同时也出现了很多定制化的木马,专门针对某一类网银、某一类网站,而且这类木马可以简单修改后复用,这种隐藏比较深的定制木马成功率更高。但不管木马怎么变化,技术上还是这些类:

  (1)窃听类

  早年间有一些键盘记录的工具,现在的窃听工具可以做到,当你输入gongshangyinhang这种拼音的时候自动触发。同时也可监控网络数据包,虽然很多网站使用SSL协议,但在加密之前的信息仍可窃听到。

  (2)密码类

  有一些软件利用google搜索技术搜集密码,有一些则是暴力破解。现在更流行的则是社工撞库。

  (3)其他

  我们之前抓到的一个木马很有意思,当你连接到某银行的url时,木马会直接接管,弹出一个钓鱼网站,让用户输入信息,输入完之后则显示网站维护中。另外一种变形是当你进入银行网站时,弹出来一个对话框,要求你确认账号密码。我们还听说过在国外有一种软件,甚至可以把转账过程也自动化实现。

  钓鱼防范

  对于反钓鱼来说,单从技术上是很难解决的,所以针对钓鱼行为,需要多种方法组合。

  1、用户教育

  到目前为止,用户教育仍然是一种主要方式。但现在钓鱼也开始变得更巧妙,比如你会收到一封邮件,说你在某某购物网站的订单信息如下,由于系统原因造成卡单,需要退款,请联系QQ云云。由于邮件里给出了准确的订单信息,用户就信以为真,实际上这是由于购物信息泄露导致的,这种情况下的用户教育虽然很少看到,但实际案件中很多。而且不管你花多大代价去宣传,总有一部分客户在受到诈骗时大脑一片空白,完全忘记。

  2、托管钓鱼网站

  现在很多国家、机构成立了反钓鱼联盟,旨在最短时间内关闭钓鱼网站。目前最快的一家公司号称在8个小时以内全球关闭恶意网站,国内也有互联网公司和金融机构组成的反钓鱼联盟,同时也有很多机器化的算法在检测。但钓鱼者的适应能力更快,包括使用了动态DNS、端口级重定向,来迅速的让钓鱼网站重生。

  3、浏览器安全

  很多浏览器都提供了针对钓鱼网站的保护,在用户访问时通过和后台数据库比对来发现钓鱼网站,但这还是慢了一步,因为需要在数据库里记录了这个钓鱼网站。有的浏览器使用了启发式的方法,比如url超长,url变形等检测。

  4、身份验证增强

  国内多数金融网站都必须有双因素认证,有的是令牌、有的是短信校验码。互联网公司为了增强客户体验,会分析用户的常用机器、IP来做判断。这样在最大程度上保护用户验证。

  5、病毒、木马、钓鱼邮件

  现在的电脑不装杀毒软件的已经很少了,但有些木马是免杀的,可以绕过杀毒软件。垃圾邮件预防对反钓鱼也有作用,现在常用的邮件服务器技术包括黑名单、贝叶斯过滤等机制,但钓鱼者也在升级技术能力,不断地绕过这些检测机制。

  总体而言,网络钓鱼绝对是一个高利润的违法活动,手段上越来越多样、成熟。在我国某些地方,比如福建某地、海南某地、湖南某地甚至形成了专业村,在国外,俄罗斯是黑客技术高超,东南亚是洗钱,巴西是信用卡诈骗。在新技术的使用上,伪基站,手机木马也是迅速铺开。而防护方则各自为战,整体处于被动局面,比如假基站就很难进行打击,对手机木马的预防到现在也没有完善的解决方案。因此,任重道远。

  最后举一些最近发生的案例,可以看到,多数手段其实技术难度都不大:

  1、搜索引擎假客服

  有个用户在网上搜索X银行客服电话,第一次搜到一个假客服电话,客服诱导用户去一个钓鱼网站输入信息,从而导致资金损失。用户后来发现资金有损失,再次上网搜索客服电话,又搜到一个假客服,假客服远程控制客户电脑协助操作,再次导致资金损失。这些假客服电话是如何进入搜索引擎的呢,分析发现某些知名度较大的网站存在漏洞,被人修改了网页内容,放上了假客服电话,而搜索引擎基于权重的排名机制,把这些假客服电话放在了搜索的前几条。

  2、伪基站

  用户收到某银行短信,生成积分可兑换奖品。用户点击短信链接后,输入了个人信息并下载木马客户端。钓鱼者利用用户输入的信息迅速转款,而手机端的关键验证码,则被木马客户端拦截发送给钓鱼者。

  3、兼职诈骗

  最近是暑假期间,很多学生去找一些所谓网上兼职,帮别人打打字,每天就可以赚百元左右。在入职的时候,对方会要求提供身份证、银行卡、支付宝账号等信息,然后通过密码找回,成功转款。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:东华网智新型防火墙筑牢企业安全