網(wǎng)絡(luò)釣魚系列—釣魚工具及技術(shù)
我們都曾收到這樣的郵件,宣布“你中了大獎”或邀請你“參加幸運抽獎免費游迪士尼”。而實際情況與郵件內(nèi)容大相徑庭。
多數(shù)情況下,這些郵件是釣魚騙局,只要點擊了其中的鏈接就會進入到以獲取個人信息為目的的假冒網(wǎng)站。很多人已熟知“網(wǎng)絡(luò)釣魚”這個詞語。這是一種網(wǎng)絡(luò)詐騙,網(wǎng)絡(luò)犯罪分子進行釣魚的目的是誘騙用戶提供自己的敏感信息。通常,網(wǎng)絡(luò)釣魚騙局旨在搜集信用卡號、賬戶密碼和社保號以進行虛假交易。而諸如姓名、出生日期和地址之類的其他信息則是用于冒用身份。
網(wǎng)絡(luò)釣魚形式繁多,可通過多種工具和技術(shù)實現(xiàn)。下面將重點介紹用于實施網(wǎng)絡(luò)釣魚的最常用工具和技術(shù)。
一、鏈接操控
鏈接操控是網(wǎng)絡(luò)釣魚中廣泛使用的技術(shù),具體做法是誘騙用戶點擊鏈接,進入到假冒網(wǎng)站。一般說來,許多用戶都不會輕易點擊一眼看去就很可疑的鏈接。所以,黑客要想方設(shè)法操控用戶點擊鏈接。他們一般使用如下方法進行鏈接操控:
1. 使用子域
對于不熟悉子域概念的非技術(shù)用戶,這個方法百試不爽。假設(shè)你收到知名銀行 xyz 的郵件,要求你提供憑證并點擊 www.xyzbank.user.com。若沒有技術(shù)背景,你會認(rèn)為這個鏈接指向的是 xyz 銀行的“user”版塊。實際上,它指向的是 www.user.com 的“xyzbank”版塊。雖然域名唯一,子域名卻不唯一,所以域名擁有者無法阻止他人將自己的域名用作其他域名的子域。無論懂不懂技術(shù),用戶都應(yīng)該時刻牢記,URL 層級結(jié)構(gòu)總是從右到左排列的。因此,mail.yahoo.com 鏈接指向的是雅虎的郵件子域,而 yahoo.mail.com 指向的卻是 mail.com 的雅虎子域。
2. 隱藏 URL
另一種常用的鏈接操控技術(shù)是將實際的 URL 隱藏于純文本下。也就是說,顯示的并不是實際的 URL,而是諸如“點擊這里”或“訂閱”這樣的字眼,點擊這些文字就會進入釣魚網(wǎng)站。但有些郵件會顯示實際的 URL 鏈接,如 www.americanexpress.com,以便看起來更為可信。點擊這個鏈接進入的實際上是其他網(wǎng)站。還有一種隱藏 URL 的方法就是使用 tinyurl 或 bit.ly 等 URL 簡化工具。
如今,越來越多的用戶使用社交媒體網(wǎng)絡(luò),使釣魚者可以“廣撒網(wǎng),多斂魚”。利用社交媒體,釣魚者能夠輕而易舉地獲取信任,這在以前是要花費大力氣的。人們會關(guān)注自己信任的人和服務(wù)并接收他們的消息。疑心重的用戶可能很容易辨識欺騙性消息,但是多數(shù)情況下,這些消息會蒙混過關(guān),欺騙用戶進行點擊。
僅通過一個惡意鏈接,黑客便能一蹴而就,捕獲一大批用戶。社交媒體中大量使用簡化 URL,很難預(yù)知鏈接指向的實際地址。要避免點擊人為操縱的隱藏 URL,時刻謹(jǐn)記將鼠標(biāo)懸停在鏈接上,查看實際所鏈接到的網(wǎng)站。若鏈接看起來像是在“釣魚”,絕不要點擊。
3. 錯誤拼寫的 URL
第三種鏈接操控技術(shù)是黑客使用常用域名的拼寫變體申請域名,例如 facebok.com、googlle.com、yahooo.com 等,然后搭建類似網(wǎng)站,欺騙用戶訪問并提供個人信息。這種技術(shù)也被稱為URL劫持或誤植域名。它的優(yōu)勢在于惡意用戶無需通過郵件誘騙用戶訪問,只需要小小的一個輸入錯誤就能夠吸引大把的用戶。
二、國際域名(IDN)同形異義字欺騙攻擊
使用該技術(shù),惡意用戶利用相似字符誤導(dǎo)用戶點擊鏈接。例如,經(jīng)常訪問 Citibank.com 網(wǎng)站的用戶可能會進入另一個用西里爾字母 С 代替拉丁字母 C 的同名網(wǎng)站。此外,相似字符也可能被用來欺騙用戶。例如,大寫的 i(I)和小寫的 L(l)看起來差不多,零(0)和大寫字母 o(O)更是一模一樣。
1. 網(wǎng)站偽造
網(wǎng)站偽造這種釣魚技術(shù)模仿真實網(wǎng)站搭建惡意網(wǎng)站,誘騙訪問用戶提供賬戶詳細(xì)信息、密碼、信用卡號碼等敏感信息。這種技術(shù)有兩種實現(xiàn)方式:跨站腳本執(zhí)行與網(wǎng)站欺騙。
2. 跨站腳本執(zhí)行
跨站腳本執(zhí)行(XSS)指黑客在合法 Web 應(yīng)用或網(wǎng)站中執(zhí)行惡意腳本或內(nèi)容。這種技術(shù)很常見,被廣泛使用。攻擊者并不直接針對特定受害者,而是利用用戶所訪問的Web 應(yīng)用或網(wǎng)站中的漏洞,最終將惡意腳本發(fā)送到受害者瀏覽器中。
雖然黑客也可以在 ActiveX 或 VBScript 中利用 XSS,最常使用的還是 JavaScript,因為當(dāng)今幾乎所有的網(wǎng)站都使用 JavaScript。要讓詭計得逞,攻擊者需要在受害者訪問的網(wǎng)頁中注入內(nèi)容。而要讓用戶訪問網(wǎng)頁,攻擊者需要利用社會工程或鏈接操控技術(shù)。下一步,需要用戶在偽造網(wǎng)頁上直接輸入數(shù)據(jù)。
之后,攻擊者可以在網(wǎng)頁中插入字符串,用戶的瀏覽器會將該字符串識別為代碼。瀏覽器一旦加載網(wǎng)頁,惡意腳本就會執(zhí)行,觸發(fā)攻擊,而受害者對此一無所知。
雖然無法完全避免 XSS,但防護也不是沒有可能。有些瀏覽器內(nèi)置 XSS 防護,因此,推薦做法是查看瀏覽器的安全選項并將瀏覽器更新至最新版本。有些擴展如火狐瀏覽器的NoScript 提供了“允許”和“拒絕”權(quán)限選項,還允許用戶拒絕打開非指定網(wǎng)站。
3. 網(wǎng)站欺騙
網(wǎng)站欺騙是另一種網(wǎng)站偽造技術(shù),指建立與合法網(wǎng)站相似的虛假網(wǎng)站,誤導(dǎo)用戶訪問。欺騙性網(wǎng)站與合法網(wǎng)站在用戶界面和設(shè)計方面都很相似,連 URL 都看似相同。匆忙之間,用戶一不小心就會誤將這樣的網(wǎng)站當(dāng)做合法網(wǎng)站訪問。若沒有手動輸入 URL、而是通過點擊某個鏈接打開網(wǎng)頁,須特別謹(jǐn)慎。在“鏈接操控”一節(jié),我們已建議用戶留意隱藏 URL,將鼠標(biāo)懸停在鏈接上檢查鏈接地址是否為實際 URL,以防萬一。
三、彈出窗口
彈出消息是最簡單的技術(shù),但對于網(wǎng)絡(luò)釣魚來說卻頗為有效。使用這種技術(shù),黑客向用戶發(fā)送彈出消息,引導(dǎo)用戶訪問偽造網(wǎng)站,以此竊取登錄信息。有一種被稱為“在線釣魚”(In-Session Phishing)的網(wǎng)絡(luò)釣魚攻擊就是這樣實施的:在在線銀行會話期間,彈出窗口,偽裝成銀行發(fā)送的消息。
典型的在線釣魚場景如下:
- 用戶登錄在線銀行賬戶;
- 不關(guān)閉當(dāng)前頁面,打開另一個窗口查看其它網(wǎng)站;
- 一會兒之后,有看似來自銀行的消息彈出,要求用戶重新輸入用戶名和密碼,因為之前的會話已過期;
- 用戶之前登錄過銀行網(wǎng)站,所以信以為真,直接輸入信息。近來還有一種彈窗釣魚大行其道,叫“彈窗技術(shù)支持”(Popup Tech Support)。用戶在上網(wǎng)時會突然接到彈窗消息,通知系統(tǒng)被感染,要求用戶聯(lián)系廠商獲得技術(shù)支持。
下圖就是這樣一個例子。
為了避免這種釣魚,在沒有點擊任何超鏈接的情況下,盡量不要回復(fù)自動彈出的消息。此外,在瀏覽器設(shè)置中阻止彈出窗口,完成業(yè)務(wù)處理后,立即退出銀行會話以及其他的敏感賬戶。最佳防御工具—SecurityIQ 及 PhishSimSecurity IQ 的 PhishSim 工具提供許多模板。借助這些模板,用戶可深入了解實際的網(wǎng)絡(luò)釣魚技術(shù)如鏈接操控和網(wǎng)站偽造。
如下圖所示,PhishSim 工具展示了利用隱藏 URL 技術(shù)進行的鏈接操控。
下圖所示的 Facebook 邀請模板經(jīng)過精心設(shè)計,與真實的邀請并無二致,專門提供給PhishSim 用戶使用。
四、結(jié)論
事實是,對于大多數(shù)人來說,獲取知識最有效的方式是“做”而不是“學(xué)”。要了解網(wǎng)絡(luò)釣魚方法和技術(shù),最好的方法是在安全可控的環(huán)境中親身體驗。SecurityIQ 的PhishSim 軟件為用戶提供工具創(chuàng)建自己的網(wǎng)絡(luò)釣魚任務(wù),向親友或員工發(fā)動攻擊,追蹤這種攻擊的有效性,并及時調(diào)整攻擊方法。通過為他人提供網(wǎng)絡(luò)釣魚安全教育,用戶可更深入地了解釣魚者誘人上鉤的各種惡意方法。釣魚技術(shù)持續(xù)改進,防御措施須不斷更新以積極應(yīng)對。使用 SecurityIQ,一方面,你可以充當(dāng)教師,測試自己的朋友;另一方面,可以作為學(xué)生,學(xué)習(xí)到最新的網(wǎng)絡(luò)釣魚防護技術(shù)。
【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】
