網絡安全學院 社區 Wiki
類型:釣魚式攻擊
釣魚式攻擊是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上,并獲取收信人在此網站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。
下圖是網釣報告的圖表顯示網釣有增加的趨勢
社交網站是網釣攻擊的目標,因為在這些網站的個人數據明細可以用于身份盜竊;2006年年底一個計算機蠕蟲接管MySpace上的網頁,并修改鏈接以導引該網站的網民到設計好竊取注冊表信息的網站。實驗表明,針對社交網站的網釣成功率超過70%。
幾乎有一半的網釣竊賊于2006年被確認是通過位于圣彼得堡的俄羅斯商業網絡集團所操控。
網釣技術
鏈接操控
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位于一封電子郵件中的鏈接(和其連到的欺騙性網站)似乎屬于真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子里,www. 您的銀行.范例 .com/,網址似乎將帶您到“您的銀行”網站的“示例” 子網域;實際上這個網址指向了“示例”網站的“您的銀行”(即網釣)子網域。另一種常見的伎倆是使錨文本鏈接似乎是合法的,實際上鏈接導引到網釣攻擊站點。
另一種老方法是使用含有 ‘@’ 符號的欺騙鏈接。原本這是用來作為一種包括用戶名和密碼(與標準對比)的自動登入方式。例如,可能欺騙偶然造訪的網民,讓他認為這將打開上的一個網頁,而它實際上導引瀏覽器指向上的某頁,以用戶名該頁面會正常開啟,不管給定的用戶名為何。這種網址在 Internet Explorer 中被禁用,而 Mozilla Firefox 與 Opera 會顯示警告消息,并讓用戶選擇繼續到該站瀏覽或取消。
還有一個已發現的問題在網頁瀏覽器如何處理國際化域名(International Domain Names,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。盡管人盡皆知該稱之為的IDN欺騙或者同形異義字攻擊的漏洞,網釣者冒著類似的風險利用信譽良好網站上的網域名稱轉址服務來掩飾其惡意網址。
過濾器規避
網釣者使用圖像代替文本,使反網釣過濾器更難偵測網釣電子郵件中常用的文本。
網站偽造
一旦受害者訪問網釣網站,欺騙并沒有到此退出。一些網釣詐騙使用 JavaScript 命令以改變地址欄。這由放一個合法網址的地址欄圖片以蓋住地址欄,或者關閉原來的地址欄并重開一個新的合法的URL達成。
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站腳本)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這里從網絡地址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞于2006年曾被用來對付PayPal。
還有一種由RSA信息安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的界面讓網釣者以令人信服地重制網站,并捕捉用戶進入假網站的注冊表細節。
為了避免被反網釣技術掃描到網釣有關的文本,網釣者已經開始利用 Flash 構建網站。 這些看起來很像真正的網站,但把文本隱藏在多媒體對象中。
電話網釣
并非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的消息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。一旦電話號碼(網釣者擁有這支電話,并由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文 Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似于來自一個值得信賴的組織^ [6]^ 。
熱點網釣
網絡黑客在公共場所設置一個假Wi-Fi熱點,引人來連接上網,一旦用戶用個人電腦或手機,登錄了黑客設置的假Wi-Fi熱點,那么個人數據和所有隱私,都會因此落入黑客手中。你在網絡上的一舉一動,完全逃不出黑客的眼睛,更惡劣的黑客,還會在別人的電腦里安裝間諜軟件,如影隨形。
隱蔽漏洞
2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的”隱蔽重定向漏洞”(英語:Covert Redirect)。
攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。
黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站鏈接引誘用戶登錄釣魚網站,壹旦用戶訪問釣魚網站并成功登陸授權,黑客即可讀取其在網站上存儲的私密信息。
網釣例子
PayPal
一個 PayPal 網釣郵件的抓圖
在 PayPal 網釣示例里(見右),電子郵件里的拼寫錯誤以及非 PayPal 網域鏈接的存在(顯示在狀態欄紅 色框里)都是線索,指出這是一個網釣的企圖。另一種網釣法是無個人問候的贈品,盡管顯示的個人數據并不保證其正當性。一個合法的PayPal通信總是以用 戶的真實姓名問候,而非一個普通的問候如: “敬啟者”、“親愛的用戶”(Dear Accountholder)。其他的信息欺詐的跡象像是簡單不過的字拼寫錯誤、文法拙劣、以及威脅收信人若不遵照信息指示辦理的話會遭帳號停用的處分。
請注意,許多網絡網釣電子郵件會如同來自PayPal的一封真正的電子郵件般包括一則永不將您的密碼泄漏以防網釣攻擊的重大警告。這些警告用戶網釣 攻擊的可能性,并提供鏈接到說明如何避免或辨識此種攻擊的網站的種種,是使得該網釣電子郵件如此虛偽以便欺騙。在這個例子里,網釣電子郵件警告用 戶,PayPal絕對不會要求您提供敏感信息。該信件言而有信不問您敏感信息,反而邀請用戶點擊一個鏈接,以“確認”其帳戶;這一步將導引這些受害人進一 步造訪網釣網站,其設計看起來與PayPal網站很像。而在那里會問這些受害人的個人機密信息。
RapidShare
在RapidShare的網頁主機,網釣是相當尋常以獲得高級帳號手段,從而移除下載速度限制、上傳自動刪除、下載前等候、以及下載間的時間間隔。
網釣者使用在warez站張貼到文件的鏈接以獲得RapidShare高級帳戶。然而,利用鏈接別名工具如TinyURL, 他們可以偽裝成實際上真正網頁寄存在別的地方的網址,而這網頁與RapidShare的“免費用戶或高級用戶 (free user or premium user)”頁看來很像。如果受害人選擇免費用戶,網釣者只是將它們傳遞給真正的RapidShare網站。但是,如果他們選擇的高級帳戶,那么網釣網站 的將在他們進行下載之前登記其登入信息。到此階段,網釣者已從受害者偷走了高級帳戶信息。
釣來的RapidShare帳戶通常拿來轉賣,售價比RapidShare的高級帳戶便宜。
鑒別一個RapidShare網釣網頁的最簡單方式是使用 Mozilla Firefox,右擊別名頁,并選擇“This Frame” > “Show only this frame”。這將揭露真正的網頁,您可以看到網址不是.
推薦文章: