網絡釣魚:誰來拯救迷茫的用戶?
現實情況
網絡釣魚者們仍然在使用欺騙形式的網站,但是他們通過修改官方網站實現了更好的效果。可能你會覺得這不可能,但是實際上這并不困難。網絡釣魚者們使用的方法和利用網站漏洞進行的各種攻擊一樣。由于他們不再需要自己建立一個模擬程度很高的仿冒網站,只需要修改一下官方網站,網站的域名以及頁面內容,不會給用戶帶來任何懷疑,因此這種方式的成功性更高了。
關于網站是如何被修改的,有詳細的介紹。在眾多攻擊方式中,利用PHP服務器的漏洞是其中最典型的一種方法。在National Cyber-Alert CVE-2008-3239 中詳細介紹了這種漏洞是如何被利用的:
“在PHPizabi 0.848b C1 HFP1中的writeLogEntry函數中存在不受限的文件上傳漏洞。 當服務器開啟register_globals 參數時,遠程攻擊者可以通過CONF[CRON_LOGFILE]參數上傳文件名中帶有惡意代碼的文件,或者通過CONF[LOCALE_LONG_DATE_TIME]參數上傳文件內容中帶有惡意代碼的文件。”
這種攻擊的獨特性在于,網站開發人員不會發現自己的代碼中有任何漏洞,因此也不會對網站代碼進行任何修改:
“目前我們還不需要對此給出安全補丁,我們只是希望提醒用戶,關閉PHP服務器中的 “REGISTER_GLOBALS”選項。這個參數不但會帶來這類風險,還會給系統帶來很多意想不到的風險。檢查是否進行了正確的服務器配置(關閉“REGISTER_GLOBALS”),才能確保自己的網站不受攻擊。”
PHP服務器供應商的這種態度是網絡罪犯們最喜歡的。為了證實這一點,我在不久前曾經對多個網站進行了簡單的漏洞測試,發現其中不少都存在這個漏洞。
當前研究
我剛剛讀完 Tyler Moore (CRCS Harvard University)和Richard Clayton (劍橋大學計算機實驗室)合著的名為《惡魔搜索:互聯網主機的網絡釣魚入侵和再入侵 》的報告。報告中針對通過修改官方網站實現竊取用戶敏感數據的方法進行了全方位的介紹。另外,文章還將修改官方網站的網絡釣魚方法和直接搭建仿冒網站的傳統方法進行了對比:
“到目前為止,最常見的網絡釣魚方法是將原網站入侵,并植入欺騙性質的HTML頁面。這種方法占到了當前網絡釣魚總數的75.8%。另一種更簡單,但已經不那么流行的方式,是將網絡釣魚網站頁面上傳到免費服務器上。目前大約17.4% 的網絡釣魚仍然采用這種方式。”
定位風險網站
現在我們知道了網絡釣魚者喜歡直接修改官方網站,也知道了他的修改手段。可能有些人會好奇,這些網絡釣魚者是如何選擇網站并知道網站存在這類安全漏洞的呢?實際上,網絡釣魚份子們也并不是神仙,他們所采用的方法很簡單,就是通過現有的用來檢測PHP漏洞的工具,對各個網站進行掃描。Acunetix 對網絡漏洞掃描器的描述如下:
“檢查你的網站和網絡應用程序是否存在PHP安全漏洞,最好的方法就是使用網絡風險掃描器(Web Vulnerability Scanner)。 網絡風險掃描器可以針對你的整個網站進行全自動的PHP攻擊風險檢測。它會告訴你哪些腳本存在風險,方便你及時修補這些漏洞。”
當然,不得不承認,這類掃描的速度并不快,而且也不見得非常有效率,尤其是面對大量需要檢測的網站時。Moore和Clayton的報告再次對于網絡釣魚者的慣用定位方式進行了講解:
“在定位存在漏洞的網站時,除了采用掃描器外,通過搜索引擎也可以實現類似的效果。這種方法充分利用了搜索引擎的掃描能力,因此也被Long稱作“谷歌黑客”。
Long所感興趣的,不僅是如果定位存在風險的網站,還包括如何通過這種方式獲取個人的隱私信息,只有這樣,才能夠更好的保護自己的信息。Long將這種搜索活動稱為‘googledorks’,因為這些搜索基本上都依賴于Google 搜索語言,比如inurl’或‘intitle’等。”
上面兩段內容引自Johnny Long所著的 “Google 黑客指南”。這篇文章可以告訴我們如何通過Google的搜索功能盡可能的獲取網站中的敏感信息。
下面我們就來實際操作一下,看看到底能不能獲取一些我們感興趣的信息。如果你還記得CVE-2008-3239中所涉及的PHP漏洞,就知道可以將“PHPizabi 0.848b C1 HFP1”作為關鍵詞進行搜索。我將這個關鍵詞輸入Google搜索引擎,搜索結果中很多都涉及到了這一漏洞。其中我也發現了一些對于網絡釣魚者來說很感興趣的內容:
注:這并不是Google的錯
在撰寫本文時,我曾經與幾個朋友談論過這個問題,結果令我有些吃驚。有些朋友認為,谷歌應該受到譴責,并為此承擔責任。而我完全反對這種觀點,并且希望讀者們也有和我相同的看法。
Google提供的服務使我們面對海量數據時可以輕松的檢索出自己所需的信息。雖然Google在存儲信息的安全方面受到質疑,但是不可否認,他的搜索引擎是最好的。在我看來,數據安全問題不在于此。
老話題
通過搜索引擎查找網站的安全漏洞并不是什么新方法。而新鮮的地方Moore 和 Clayton可以統計出搜索結果中被入侵的網站概率。他們之所以能實現這一結果,所依賴的是一個叫做 Webalizer的工具軟件,這個軟件可以根據Web服務器的日志建立報表。讓研究人員感興趣的是定位網站所用的記錄搜索詞匯:
“尤其是,Webalizer創建的一個獨立子報告會顯示一份用于搜索漏洞網站的搜索關鍵詞列表。有了這份關鍵詞列表,人們只要將某個詞輸入搜索引擎,點擊搜索,就可以定位那些有安全風險的網站了。”
在下圖中(感謝Moore 和 Clayton提供)你可以看到多個Webalizer項目于瀏覽器窗口中的搜索結果相對應:
報告中的重點內容
以上,Moore 和 Clayton 通過令人信服的方式向我們解釋了如何將所有重要的數據聚集在一起,并通過這些信息獲取我們更感興趣的結果。一下兩點是我們需要進一步體會的內容:
· 在Webalizer 的報告中通過關鍵詞搜索到的可疑網站,有90%立即被入侵。
· 另一個令人驚訝的統計是有些網站被多次入侵。報告顯示大約20%的網站有可能被再次入侵,而當Webalizer發現針對某個網站的可疑搜索詞匯后,這個網站被再次入侵的概率增加到了48%。
實際上,我不明白為什么很多網站會一次又一次的被入侵。網站管理員本應對漏洞進行處理的。最后,讓我們再看看研究人員是如何建議網站管理員減少網站風險的。
改進的余地
我希望網站托管服務供應商應該好好研究一下相關內容,尤其是下列建議:
· 混淆目標細節:如果服務器不公布當前Web服務軟件的版本以及其他細節,那么可疑關鍵詞的搜索結果就不會那么有效。
· 可疑搜索滲透測試: 管理員主動運行本地Web站點搜索,查看是否有安全漏洞,并通知網站負責任及時處理風險。
· 阻止可疑的搜索請求: 對于搜索引擎來說,另一種辦法就是阻止提交可疑詞匯的搜索請求,或者屏蔽搜索結果。
· 降低曾經被入侵的服務器的可信度:除了將當前活動的網絡釣魚網站URL標記出來之外,還需要將過去曾經被入侵的網站標記出來,以警告用戶其被再次入侵的風險性。
我們能做什么
作為互聯網用戶,為了保護自身安全,我們所能做的事情并不太多。我曾經建議大家采用 McAfee SiteAdvisor,就連Moore和 Clayton也在他們的報告中提到了這款軟件。它通過在瀏覽器中添加插件的方式工作:
“ 安裝SiteAdvisor后,瀏覽器看上去會有些變化。軟件會在搜索結果上添加一個小的投票圖標,另外還會在瀏覽器上添加一個小按鈕和一個搜索欄。通過這幾項功能,可以幫助用戶判斷搜索結果中的網站是否安全。”
另外還有一種方式,就是訪問PhishTank 網站 ,從中你可以知道某個網站是真實的,還是冒充的,或者被入侵過。
“PhishTank是一個通過互聯網用戶協作方式實現的數據和信息共享平臺。同時,PhishTank還為開發人員和研究人員提供了免費的API,方便他們在自己的軟件中集成反網絡釣魚數據信息。”
反網絡釣魚工作組 擁有自己的網站,在其網站上有大量與網絡釣魚相關的信息,比如當前和未來全球網絡釣魚情況的預測:
“反網絡釣魚工作組(APWG)是一個專注于消除通過網絡釣魚,網址欺騙以及電子郵件欺騙帶來的欺詐和身份盜用行為的泛工業和法律組織。”
總 結
我們所有人,不論是商業用戶還是個人用戶,都日益依賴于互聯網了。因此,當諸如網絡釣魚這樣的事情擊碎了人們的信任感,我傾向于親自學習掌握識別網絡釣魚網站的方法。你是怎么看的呢?歡迎給來信與我們的編輯討論網絡安全話題。
【編輯推薦】
