首页  部门简介  工作动态  E-党建  规章制度  服务指南  技术交流  政策法规  网络安全 
文章内容页
当前位置: 首页>>网络安全>>正文
网络钓鱼的变种
2017-11-06 15:34  

网络攻击形式多样,不胜枚举。而网络钓鱼位列最常见、最狡诈的攻击之列。下面详细介绍集中网络钓鱼的常用攻击方式。在生活中提升防钓鱼意识。

Pharming(域欺骗)因与 phishing(网络钓鱼攻击)非常类似而得其名(也有人将域欺骗视为一类网络钓鱼攻击)。在网络钓鱼过程中,受害人会收到一封看似来自某个权威人物的邮件。比如,针对 CEO 的网络钓鱼攻击就非常流行。然而,该邮件的发送者实则是一个网络犯罪分子,旨在诱骗收件人提供敏感信息从而窃取其钱财、财务记录和其他信息。

网络钓鱼

一、域欺骗

相对于网络钓鱼攻击,域欺骗的计划更为复杂,但采用的社会工程大同小异。诈骗者会让受害人觉得自己访问了一个熟悉的 或权威的网站,从而轻易地交出自己的个人信息。

然而,域欺骗与网络钓鱼攻击也存在很大差别,值得我们深入探讨。域欺骗演进迅速,非常有可能成为一种常见网络犯罪,但很多人虽对网络钓鱼攻击保持警惕,却从未听说过域欺骗。

1. 域欺骗的工作机制

若攻击者只是精心制作一个酷似合法公司的网站,并不会实现很高攻击成功率。为此,攻击者不仅需要一个域,还要设法将 URL 很自然地展示在受害人面前,而不被引起怀疑。

域欺骗实则会引入大量精湛的技术,这一点不同于大多数网络钓鱼攻击形式。最终,域欺骗会依赖一套技能,这点与传统黑客更为相似。

域欺骗攻击旨在拦截某个网站的流量,然后将其发往其他网站。当然,诈骗者的网站需看上去与合法网站处理类似业务,但受害人会毫无戒心地输入可疑域名,这一点诈骗者丝毫不用担心。

域欺骗攻击的巧妙之处在于攻击者不费吹灰之力就可让受害人乖乖就范。此类攻击从开始到结束是一个非常平稳的过程,受害人难以察觉实际发生了什么。与网络钓鱼攻击和语音钓鱼攻击不同,域欺骗攻击基本不会让攻击目标捕捉到半点儿风声。

2. 域欺骗如何重定向流量?

本节提供此类攻击所采取的技术以及整个入侵过程。攻击者一般可通过两种方法将您的流量重定向至所控制的站点。

第一种方法是修改您计算机上存储的主机文件。比如,您会收到包含代码的邮件,当您打开邮件时,这些代码会自动运行,对您计算机上存储的本地主机文件进行修改。这些主机文件非常重要,因为他们会将您输入的 URL 转换成用于定位您要访问的目标网站的数字。

一旦攻击发动,即使您输入了正确的 URL 也无济于事。因为这些主机文件已经被更改,他们会将您的流量重定向至恶意站点。即便是您单击了该站点的书签,也会成功中招。

尽管有些受害人部署的间谍软件清除软件可移除此类修改,但很多受害人不得不调整其浏览习惯。

另一类域欺骗成为 DNS 投毒。在此类攻击过程中,服务器上保存的 DNS 表格会被修改,导致您的流量被重定向,这一结果与前一种域欺骗攻击相同。

DNS 投毒是一种更为可怕的攻击,因为它不会修改您的计算机上的任何文件。您的主机文件安然无恙。并且,此类攻击也不会篡改 DNS 服务器上的文件,而是影响通过发送正常请求而浏览网页的成千上万或数百万用户。

这意味着间谍软件清除软件对这种攻击无计可施,因为受害人的计算机上没有留下任何蛛丝马迹。实际上,即使优质的网络安全软件对系统进行扫描后,也会报告称系统运行正常,没有异常迹象。

3. 域欺骗的最后阶段

您或许能猜到,假冒网站设计用于提取访客的信息。例如,此类网站可假装为您的银行网站,当您访问您的银行账户时,您会输入用户名和密码。为确保安全起见,或许您会回答一个或多个安全问题。

令人遗憾的是,您正在将您的账户信息透露给网络犯罪分子,他们会据此为所欲为。有时,黑客只需您登陆其提供的假冒网站,因为这对于他们向您的计算机注入木马或其他病毒就已足够了,之后他们就会为您制造各种麻烦。

在 2007 年的一个知名攻击中,攻击者入侵了 50 多个跨国银行。访问这些银行的用户被重定向至攻击者所控制的一个假冒网站。就在此时这些用户的计算机上已经下载了一个木马程序,该病毒程序还会下载五个其他的恶意文件,而受害者还蒙在鼓里,对此一无所知。

假冒网站会对受害者提示一个错误消息,建议受害者关闭防火墙和其他所有杀毒软件。您现在就可以猜到这些受害者最终的遭遇了吧。

一旦计算机被感染,每次用户尝试登陆其银行网站,系统均会显示假冒的网页,要求他们输入登陆凭证。一旦他们输入了个人信息,网站就会将其带到要访问的合法网站,确保整个攻击过程不被受害人察觉。

除了银行网站,攻击者青睐的网站还包括信用卡公司、医疗保健提供商、电话公司、邮件服务的相关网站,甚至是您提供个人信息的所有网站。

2004 年,德国一位青少年可将 eBay 用户重定向至假冒网站。利用新的域欺骗技术攻击路由器,巴西出现了新版本的域欺骗,攻击者仍瞄准 DNS,但通过邮件和追踪用户的路由器实现攻击。可见,网络犯罪分子持续推动攻击演进。

在该攻击中,网络犯罪分子利用家用路由器中存在的安全缺陷访问管理控制台,入侵成功后修改了路由器的 DNS 设置。尽管 ISP 和各公司的 DNS 服务器处于严格保护下,现在您或许明白了入侵成功的原因了吧,没错,家用路由器一般缺乏防护措施。若 DNS 遭遇了入侵,一般为网络攻击所为。巴西去年发生的攻击通过邮件完成,结合使用了钓鱼攻击和域欺骗。

4. 联邦储备银行中招域欺骗

您或许认为联邦储备银行会从全球领先的网络安全措施中受益。实际上,该银行对美国经济影响最大,或者我们可以说该银行对其他国家的经济也会产生重大影响。

然而,这也反应了域欺骗攻击的强大威力。

仅仅去年(2015),域欺骗攻击迫使联邦储备银行圣路易斯分部要求其所有用户重置密码。尽管遭入侵的 DNS 提供商从未被透露,显然,此次域欺骗攻击是通过入侵 DNS 获得成功的。

圣路易斯分部在 4 月 24 日公布了此次攻击。在此次攻击中,用户的流量被重定向至假冒页面,他们的登陆凭证可能已被窃取,因此需更改密码,也有可能恶意软件已下载至他们的电脑,还有可能这两种情况同时存在。

联邦储备银行针对其网站被复制的部分进行调查,但尚未披露网络犯罪分子到底基于哪些登陆凭证获得了网站访问权限,若联邦储备银行无法防御此类攻击,这一点着实让人担忧。

5. 域欺骗防御措施

尽管域欺骗攻击看似非常可怕,但我们可采取措施防御此类骗局。ISP 会一直过滤此类攻击网站,这点您尽可放心,但更为重要的是您也需采取进一步防御措施。

首先,选择可靠的 ISP。您选择的 ISP 应了解域欺骗的严重程度并经常查找假冒站点,对其进行阻断。

其次,在提交任何重要信息之前,认真检查您访问的站点 URL,确保这些信息不会用于窃取您的身份。尽管我们在前面提到了可疑的 URL,有些网络犯罪分子会利用故意拼错的合法 URL,利用 URL 相似性蒙混过关。试想一下,登陆目标站点后,您会经常确认网站 URL 吗?

第三,一旦您被要求提供个人信息,请确认 URL 是以 https 而不是 http 开头。HTTPS 比较安全,可确保您的个人信息安全地在线传输至另一方。

第四,您还可查看网站证书,确保网站的合法性。证书查看过程大体类似,具体细节因浏览器而异。例如,若您在使用 Internet Explorer,选择文件 > 属性,然后在页面上点击右键,选择证书查看菜单项。

“属性”对话框弹出后,点击“证书”。若站点确为合法,会显示所有人发布的合法证书证实网站的合法性。

您应已正在使用杀毒程序,保护您的计算机不受病毒、黑客、蠕虫和木马病毒的入侵。个人防火墙也能很好地防护这些病毒程序。正如我们前面所述,这些都不足以阻止 DNS投毒攻击,但您需选择一项部署,防止您计算机上的主机文件遭到破坏。

此外,下载浏览器和操作系统的最新安全更新和补丁,确保您一直拥有最新防线,尤其是公司正尽力应对非常严重的安全问题时。

域欺骗不会在短期内消失。此类攻击非常难以应对,因为攻击者针对您所使用的DNS 发动攻击,您丝毫没有办法。此外,遵循以上建议将安全的 Web 浏览作为优先考虑事宜,这样你就不会成为攻击的受害人。

值得庆幸的是,SecurityIQ 也为您提供了培训。注册账户后点击“AwareEd”,在“课程”一栏,您会看到一篇标题为“安全浏览”的文章,该文章会显示一个“红旗”警告标识。请认真阅读该文档,避免域欺骗。

二、短信诈骗

短信诈骗使用短信“钓取”个人信息,诱骗用户下载木马、病毒或其他恶意软件至手机等移动设备。作为邮件钓鱼的变种,它如何实施?有何企图?我们又应该如何避免?

1. 短信诈骗技术

有四种主要的短信诈骗技术:

(1) 使用假链接将用户骗到设计好的钓鱼网站以窃取凭证。

下例中的短信有几个线索透露出它可能是诈骗短信:

  • 沃尔玛的拼写有误,收信人以“客户”相称。在给客户发短信时,沃尔玛应该会根据用户信息记录直呼其名。

  • 语法错误一度是判断诈骗短信的可靠依据,但是现在的钓鱼者越发聪明,钓鱼网络一般有语言专家,他们会设计看起来非常专业的消息。不过,尽管如此,他们还是会犯错。

  • 切记在电话簿中查找公司的号码,用这个号码而不是可疑短信中的号码联系公司(见下面第 2 点)。

  • 有时,重定向链接看着明显不像是有名气的大公司,如 ngtov11.net,但专业的犯罪分子会很容易地隐藏这样的链接。在手机上不好确认链接真伪,在浏览器中输入地址,不要直接点击链接。

(2) 提供电话号码,一旦用户拨打,会接通到钓鱼者,这人口齿特别伶俐,会想法设法套取用户的个人信息。现今,多数公司都有呼叫中心提供客户支持,人们一般不会质疑客服的真实性。

(3) 下图场景中,使用的是较为隐蔽、更具杀伤力的技术。

这里,短信诈骗者:首先希望通过 Facebook 与用户建立联系,以便更深入了解用户、用户的联系人以及个人资料中的其他信息。然后,发动攻击,通过另一条短信或 Facebook 消息将用户骗到假冒网站,以便获取用户的 Facebook 凭证或将恶意软件下载到用户手机中。一旦用户在Facebook 上的个人资料被黑,用户的联系人也会面临着钓鱼风险。短信诈骗者不仅假冒银行、IRS 或企业一把手发送短信,还会假冒同事、其他部门甚或共同的朋友。

(4) 第四种技术同样会诱骗用户点击恶意链接,但在用户进入假冒网站后,会提示用户下载实为木马的程序(见下例)。

短信诈骗者还会将木马、击键记录器或僵尸网络代码安装到用户在家里和单位使用的BYOD(携带自己的设备办公)手机中。短信诈骗者在从内部控制用户的手机后会获取到大量的信息(所以称为“木马”)。因为能在员工手机中安装恶意软件,短信诈骗对业务安全的潜在威胁更大,毕竟服务器有各种软硬件防火墙保护。

注意:还有一种较为隐蔽的短信诈骗技术,合法服务提供商常常也会使用这种销售伎俩,所以一般不易识别:让用户注册使用某种服务(如天气预报、每日箴言、占星等),直接通过手机扣费。这些服务的费用看起来不高,但诈骗者若成功骗到多人,就会获得不错的被动收入。还有的技术让用户注册获得“优质”短信服务,这些短信费用高昂,很难取消订阅。当短信诈骗者贪婪地使用这些服务恶意攻击用户、诱使用户点击链接将恶意软件下载到手机、用户访问“优质”短信服务时输入个人详细信息时,情况就糟糕了。

2. 策略

短信诈骗者有时看起来很愚蠢,但实际上他们很有手段,了解销售心理学,充满了市井智慧。他们有自己的工作网络,每个成员都有特定角色,包括设计可信文本模板的设计师、软件开发人员和销售人员。你还以为只有二手车销售员才诡计多端吗!?

任何信息,不管看起来多安全,对钓鱼者来说都有用账号侵权(ATO)策略ATO 是二级策略。很不幸,它很难避免。要对付这种攻击,首先要提高自己的反钓鱼意识,避免自己的详细信息被劫持。我在

http://securityiq.infosecinstitute.com/ 注册了一个免费账号,尴尬的是,在同一周内两次钓鱼意识考试都没过。上当的绝不只是非专业人士。一边看着屏幕,一边看着会议记录,这时若点击了链接可能会造成灾难性后果。

3. 直销

无意冒犯诚实的直销者,但短信诈骗确确实实使用了类似直销的技术诱捕受害者:

  • 与直销者一样,他们指望有一小部分人回应。他们发送数以万计的短信,期望有几个能上钩。在收到显然不是针对自己的短信后,你很想回复几句粗口。但记住,回复的话,骗子就知道号码确实存在,会将你添加到数据库中。此外,他们还知道了一些其他信息,比如,你没有沃尔玛账号。进行回复说明号码有效。

  • 与直销者一样,他们知道如何利用人们的脆弱之处、虚荣心以及贪婪和恐惧心理。

  • 与直销者一样,他们发动大规模活动,精心构建响应数据库,认真分析活动的响应率(若不高,则会改变风格、格式、内容或发送者的姓名 / 公司)。

智能手机缘何成为明显目标?

  • 每天,全世界发出的短信有上万亿条,存在着大量的潜在受害者。

  • 在收到短信后,人们一般很快就会查看信息内容(统计结果是 15 分钟以内)。这意味着短信诈骗者能很快获得回应,因为短信让用户有紧迫感,他们会急于回复。

  • 无论是正常的还是诈骗性的短信活动都很容易组织,且成本效益高。再者,诈骗信息会很简短。显然,内容是越少越好。

  • 多数人知道邮件诈骗,但对手机诈骗的危险却认识不足。最常用的 Web 浏览器有内置钓鱼防护措施,会提醒用户注意可疑网站,用户一般会将鼠标悬停在链接上显示真实 URL,但是手机一般没有类似防护。

4. 千万不要上当

骗子常冒充知名公司欺骗受害者。小心以下骗局:

  • 冒充 Apple 发送短信,通知用户登录验证并更新其 Apple ID,否则将无法继续购买 APP。触发响应的原因:受害人担心失去特权。

  • 常见的虚假 PayPal 消息如下:“您在 The Home Shop 消费了 1993.27 美元。若您没有进行该笔交易,请立即致电 1-408-123-4567 联系我们。谢谢!”触发响应的原因:受害者担心自己已经成为受害者,认为没有比这更糟的情况了。

  • 假冒 Barclays 警告用户账号有“可疑活动”,要求用户点击看似安全的 Barclays链接,更新安全软件,以提高其账户安全性。触发响应的原因:谢天谢地,有人为我着想。

上述这些情况中,输入公司的已知真实 URL 进行登录。始终使用 HTTPS(安全)连接,这种连接会在地址栏显示锁的图标。若需要打电话,从电话簿里查找号码。

几个特别狡猾的骗局:

  • 受害者收到短信,要求他们履行陪审员职责,若拒绝,则要求通过短信提供社保号进行验证。许多受害人急于推脱,因而毫不犹豫地提供了社保号。千万别这么做!

  • “我们确认,您已注册我们的 BDSM 约会服务。每天,您须为此缴纳 2 美元。若取消,请点击 SMiShinglink.com。”想点击这个链接是完全可以理解的,但千万别这么做!

5. 关键教训

  • 及时更新手机软件;

  • 不要被所谓的账号安全威胁吓倒并按提示采取防护措施;

  • 别想当然地认为“知名公司”发给你的信息一定合法;

  • 不要下载任何软件,除非可以确认来源可靠(官方 APP 下载商店),且主动请求过。

  • 若短信催促你立即行动或响应,记住,这是网络犯罪分子常用的一个关键策略,目的是不让你有思考的时间。

  • 直接上官网,不要点击链接。

  • 从电话簿里查询电话号码,联系公司,确认短信真假。

6. 总结

好消息是,若点击链接时小心谨慎,并且及时更新软件,可以避免多数骗局。Infosec 研究院之类的安全专家有很多资源,可帮助你了解短信诈骗以及其他的网络犯罪活动,防止受骗。

关闭窗口

福建开放大学信息化中心  版权所有