身邊的網(wǎng)絡(luò)釣魚(yú)

提到釣魚(yú)網(wǎng)站，大家再熟悉不過(guò)了。如果您是網(wǎng)站運(yùn)維人員，尤其是金融、電子商務(wù)、教育行業(yè)的，很有可能就經(jīng)歷過(guò)自己的網(wǎng)站被仿冒的事件。如果作為個(gè)人，我敢說(shuō)您百分百經(jīng)歷過(guò)釣魚(yú)事件。比如您一定收到過(guò)以下類似信息：

??

[[171220]]

1、運(yùn)營(yíng)商良心發(fā)現(xiàn)：

釣魚(yú)短信

2、郵箱都知道我業(yè)務(wù)多：

釣魚(yú)郵件

3、又或者好久不見(jiàn)的同學(xué)的突然問(wèn)候：

釣魚(yú)微信

這一切可能都是發(fā)生在您身邊的釣魚(yú)事件。網(wǎng)絡(luò)釣魚(yú)已形成龐大的黑色產(chǎn)業(yè)，在網(wǎng)上簡(jiǎn)單搜索，你就會(huì)發(fā)現(xiàn)一系列網(wǎng)絡(luò)釣魚(yú)工具，其仿造的網(wǎng)站也是多種多樣，甚至可以進(jìn)行定制。下面就是兩個(gè)仿冒QQ相關(guān)網(wǎng)頁(yè)的釣魚(yú)軟件，被欺騙者在這里被稱為“小魚(yú)兒”……

一次網(wǎng)絡(luò)釣魚(yú)的分析

網(wǎng)絡(luò)釣魚(yú)的攻擊過(guò)程一般為黑客先構(gòu)建網(wǎng)站(一般為國(guó)外地址)，再通過(guò)郵件、短信等方式大量發(fā)送釣魚(yú)鏈接，在這一過(guò)程多數(shù)會(huì)使用社會(huì)工程學(xué)攻擊，將點(diǎn)擊率提高;最后誘導(dǎo)收信人輸入信息。上面這種方式則是人們常提到的網(wǎng)絡(luò)釣魚(yú)，隨著攻防的不斷演進(jìn)，網(wǎng)絡(luò)釣魚(yú)又衍生出多種方式，比如通過(guò)重定向方式直接指向仿冒頁(yè)面，或利用中間人的方式獲取帳號(hào)密碼、個(gè)人信息以及交易口令等。

但除此之外，也有一些攻擊者，通過(guò)仿冒目標(biāo)網(wǎng)站，而進(jìn)行網(wǎng)頁(yè)內(nèi)容的篡改，或抹黑目標(biāo)網(wǎng)站、或借用目標(biāo)網(wǎng)站的知名度為其修改的內(nèi)容做宣傳。站在網(wǎng)站運(yùn)營(yíng)者角度，這些行為都大大損害了網(wǎng)站的公信力，都是不能容忍的。本次我們監(jiān)控到的釣魚(yú)攻擊則是第二種情況。

首先我們通過(guò)烽火臺(tái)-網(wǎng)站監(jiān)控預(yù)警平臺(tái)發(fā)現(xiàn)了互聯(lián)網(wǎng)上存在與某一客戶網(wǎng)站相似度較高的網(wǎng)站(如下圖所示)，其卻在一政府網(wǎng)站的域名之下，通過(guò)查看，該頁(yè)面所顯示的內(nèi)容是一條新聞，但其標(biāo)題卻為槍支相關(guān)，明顯是惡意行為，我們立即通知客戶進(jìn)行了處理。通過(guò)分析，我們基本還原了本次攻擊過(guò)程。黑客首先是利用漏洞入侵了一政府網(wǎng)站，并獲取管理員權(quán)限，并在該域名下構(gòu)建了一孤島頁(yè)面，并將仿冒的目標(biāo)網(wǎng)站的內(nèi)容進(jìn)行了復(fù)制，并在仿冒的頁(yè)面上修改了內(nèi)容。并且該仿冒頁(yè)面的所有欄目支持調(diào)轉(zhuǎn)回原網(wǎng)站。并且網(wǎng)站通過(guò)程序調(diào)用，在點(diǎn)擊鏈接后會(huì)自動(dòng)彈出QQ好友認(rèn)證(如圖二)

這種攻擊行為對(duì)于該政府網(wǎng)站來(lái)說(shuō)是典型的非法篡改行為，而對(duì)于該仿冒的目標(biāo)網(wǎng)站來(lái)說(shuō)則是釣魚(yú)行為，對(duì)其名譽(yù)造成很大影響。了解了該攻擊手段后，我們擴(kuò)大了調(diào)查范圍，又發(fā)現(xiàn)了多個(gè)使用相同手段的攻擊行為，均與網(wǎng)安及客戶進(jìn)行了通報(bào)。

烽火臺(tái)網(wǎng)絡(luò)釣魚(yú)監(jiān)控

雖然釣魚(yú)網(wǎng)站多數(shù)是由黑客進(jìn)行仿冒產(chǎn)生的，與網(wǎng)站運(yùn)維人員毫無(wú)關(guān)系，更多的應(yīng)該在用戶日常的網(wǎng)絡(luò)訪問(wèn)中加強(qiáng)安全意識(shí)，但網(wǎng)站運(yùn)維人員并不能放任不管，而是應(yīng)該聯(lián)手抵制釣魚(yú)網(wǎng)站的產(chǎn)生，對(duì)于政府以及監(jiān)管部門更是應(yīng)該加強(qiáng)監(jiān)測(cè)能力，避免不法分子借助政府網(wǎng)站的公信力進(jìn)行欺騙或者宣傳非法內(nèi)容。

WebRAY烽火臺(tái)-網(wǎng)站監(jiān)控預(yù)警系統(tǒng)在產(chǎn)品中增加了網(wǎng)絡(luò)釣魚(yú)檢測(cè)能力，不僅可以對(duì)少量網(wǎng)站提供檢測(cè)服務(wù)，還可用于大范圍網(wǎng)站的網(wǎng)絡(luò)釣魚(yú)監(jiān)測(cè)。釣魚(yú)攻擊有多種形式，目前烽火臺(tái)-網(wǎng)站監(jiān)控預(yù)警系統(tǒng)支持以下幾種釣魚(yú)檢測(cè)方式：

1、 DNS釣魚(yú)

原理：DNS釣魚(yú)黑客通常是修改某一地區(qū)某個(gè)運(yùn)營(yíng)商的DNS，而WebRAY通過(guò)全國(guó)20多個(gè)站點(diǎn)進(jìn)行云檢測(cè)可以發(fā)現(xiàn)是否有異常解析(本地部署無(wú)此能力)。或者通過(guò)對(duì)上一次檢測(cè)的DNS進(jìn)行對(duì)比，來(lái)識(shí)別DNS是否發(fā)生了變化。

2、 搜索引擎釣魚(yú)

原理：通常黑客會(huì)在網(wǎng)站代碼中插入js語(yǔ)句，從而將搜索引擎來(lái)的訪問(wèn)指向某IP。監(jiān)控平臺(tái)通過(guò)爬蟲(chóng)抓取代碼進(jìn)行代碼檢查，看其是否存在此類語(yǔ)句。

3、 反彈式釣魚(yú)

原理：中間人劫持會(huì)導(dǎo)致外界的訪問(wèn)IP出現(xiàn)異常，通過(guò)部署在本地的監(jiān)控平臺(tái)，進(jìn)行流量分析可識(shí)別。

4、 仿冒頁(yè)面釣魚(yú)

原理：通過(guò)相關(guān)算法，利用搜索引擎在互聯(lián)網(wǎng)上發(fā)現(xiàn)疑似釣魚(yú)網(wǎng)站，并通過(guò)頁(yè)面相似度對(duì)比，來(lái)識(shí)別是否為釣魚(yú)網(wǎng)站，并進(jìn)行告警。