2.6 實例分析
2.6.1 網絡釣魚案例
1.典型案例
犯罪嫌疑人通過給受害者發送手機短信,稱受害人的銀行e令即將到期,需盡快登錄某一網址進行升級。受害人上網登錄了短信上提供的所謂銀行網址,輸入用戶名、密碼等,很快頁面顯示升級成功。當受害人再次登錄銀行官網的網銀賬戶時,發現自己賬戶內的大量資金被轉走。這種欺詐方式即為網絡釣魚,短信上提供的網址就是釣魚網站的網址。
另外一個例子,某些手機用戶在網上為手機繳費時,誤入了“釣魚”網站,充值的話費打了水漂。調查發現,一些騙取話費的詐騙網站以一種“推廣鏈接”的廣告發布形式躋身于搜索頁的頭條,引人上當。
以上兩個例子都是典型的網絡“釣魚”攻擊。根據中國反釣魚網站聯盟(APAC)發布的數據,僅2011年4月份聯盟處理“釣魚”的網站就多達2635個。
2.“釣魚”攻擊的主要目標及攻擊過程
銀行與客戶是網絡“釣魚”攻擊中的最大目標。“釣魚”手段也從最初的騙取用戶賬戶和密碼等,發展到有針對性地通過用戶的微博、團購等消費痕跡和消費行為,通過網絡、短信等實施“個性化釣魚”,致使受害者一時間難以辨別其真假。很多社交平臺也成為網絡“釣魚”的新渠道。
國際反釣魚網站工作組(Anti-Phishing Working Group,APWG)將網絡“釣魚”定義為:一種利用社會工程和技術詭計,針對客戶個人身份數據和金融賬號進行盜竊的犯罪機制。
詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的組織機構,主要通過電子郵件、網頁、短信、微博等途徑散布虛假信息,誘騙不知情的網絡用戶連接到一個通過精心設計與目標組織的網站非常相似的“釣魚”網站上,并獲取受害人在此網站上輸入的個人敏感信息,如信用卡號、銀行卡賬戶、身份證號等內容,通常這個攻擊過程不會讓受害者察覺。
3.常見“釣魚”攻擊
網絡“釣魚”常用攻擊手段歸納起來可以分為兩類,第一類攻擊完全利用社會工程學的方式對受害者進行誘騙,如發送大量誘騙郵件、誘騙短信、各種仿冒網站等;第二類攻擊則主要通過漏洞觸發,包括操作系統漏洞、應用程序及瀏覽器漏洞、目標網站服務器漏洞等,利用這些漏洞結合社會工程學對受害者進行誘騙。
1)完全利用社會工程學形式的“釣魚”攻擊
(1)虛假誘騙型。如利用虛假電子郵件、虛假短信、虛假即時通信消息、虛假搜索引擎消息、虛假聊天室、留言板、論壇等方式進行大量虛假信息的傳播,以騙取瀏覽者去訪問相應的“釣魚”站點,以此來騙取用戶的個人資料,包括賬號、密碼等信息。
(2)內容仿冒型。內容仿冒是目前“釣魚”攻擊中最常見的一種方式。攻擊者仿冒一些銀行機構的網銀頁面,或者是仿冒電子商務網站。當用戶在該平臺選擇商品消費時,網站所提供的支付平臺完全是攻擊者自行設計、假冒的支付頁面,以此來獲得消費者的網上相關個人信息,包括銀行賬號、密碼等信息。
(3)“內容仿冒”和“虛假誘騙”一般都是配合進行,通過誘騙讓訪問者訪問仿冒的網銀或者電子商務網站,并進行登錄、支付等操作,從而攻擊者直接截取到相關的個人信息。在多家商業銀行的網銀被“釣魚”的案例中,幾乎都采用這兩種攻擊手法,攻擊者直接獲取到用戶賬戶和密碼信息。
(4)域名仿冒型。域名仿冒的“釣魚”攻擊是比較常見的“釣魚”攻擊行為,也是很早出現的“釣魚”攻擊形式之一。這種攻擊的特點是在網站的域名上做文章,利用用戶對域名的“不了解”或“想當然”的心態來騙取用戶的信任,從而使得“釣魚”攻擊成功。這樣,用戶很容易因為域名的相似而輕易相信此網站為合法的官方網站而被“釣魚”攻擊。
2)由站點漏洞觸發進行的“釣魚”攻擊
(1)利用網站自身漏洞進行“釣魚”攻擊。攻擊者可以利用跨網站腳本(XSS)漏洞以及各種劫持攻擊相結合進行“釣魚”攻擊,攻擊者可以竊取域名Cookie、篡改頁面內容、突破瀏覽器的安全級別限制、網頁掛馬等。攻擊者還可以利用特定漏洞進行頁面重定向,當普通用戶單擊攻擊者精心構造的看似合法的鏈接時,瀏覽器立即自動跳轉到“釣魚”網站。
(2)利用站點應用的第三方網站內容的漏洞進行“釣魚”攻擊。這里所說的“利用第三方網站內容的漏洞”進行的“釣魚”攻擊是指可信任網站引用其他第三方網站的頁面等作為自身業務的一部分的情況,而導致發生“釣魚”行為的網絡攻擊。例如,很多綜合性網站使用視頻網站的在線視頻,公司的企業網站使用第三方的客服系統等。如果這些被引用的服務存在“釣魚”攻擊的可能,那么,引用這些服務的網站同樣會遭受到“釣魚”攻擊。
(3)利用數據傳輸過程的漏洞進行“釣魚”攻擊。這種“釣魚”攻擊手法是采用瀏覽者在訪問正常站點進行數據傳輸的過程中進行數據劫持而指向“釣魚”網站,該種方式隱蔽性強,瀏覽者難以發現。這類釣魚攻擊最具代表性的就是利用DNS緩存中毒的漏洞,攻擊者攻擊存在該漏洞的DNS服務器,更改服務器中IP地址和URL的對應關系,將目標網站的URL定位到釣魚網站上,釣魚攻擊就這樣“不知不覺”地發生了。
(4)利用訪問者客戶端的漏洞進行“釣魚”攻擊。這種釣魚攻擊是攻擊者直接利用客戶端的漏洞,直接欺騙客戶訪問釣魚網站進行的攻擊,如利用瀏覽器漏洞、第三方應用漏洞以及操作系統漏洞等。
4.“釣魚”攻擊的防范
為了有效地應對“釣魚”攻擊,應該全面評估“釣魚”攻擊可能利用的各種弱點,以及相關產業鏈條各個環節可能帶來的影響,基于“事前-事中-事后”循環改進的防護思路建立一個多層面、立體的反“釣魚”體系。具體步驟如下:
(1)事前及時進行預警,及時找到被“釣魚”攻擊利用的弱點,第一時間啟動緊急預案,做出響應,確保預警工作的完備性。具體可以從業務安全風險評估、業務環境脆弱性評估和異常交易檢測與風險警示等方面進行分析。
(2)事中主動進行防御。包括及時關停“釣魚”網站或在客戶端及時阻斷釣魚威脅。
(3)事后進行整改和教育,盡可能地減少同類事件發生的概率。可以組織專項整改行動,并組織多樣化的安全意識教育等。