淺談網絡釣魚技術
理論基礎
網絡釣魚不僅是一種網絡攻擊技術同時也是一項最常見的社會工程技術,網絡犯罪分子或網絡攻擊者通過嘗試偽裝為可信任個人或公司組織來進行發送信息,來獲取企業或私人的敏感信息(包括用戶名稱、密碼、手機號碼、銀行卡賬號密碼、個人郵箱信息等等)。通過欺騙偽裝形式來操縱收件人泄露敏感信息、下載惡意軟件或資金或資產錯誤的轉移到攻擊者指定的賬戶。
網絡釣魚可通過電子郵件、文本消息、語音電話和其他途徑實施攻擊。一般情況下,網絡釣魚會誘導目標人群單擊鏈接并輸入具有價值的信息,或者打開附件,旨在將惡意軟件下載到目標設備然后進行獲取對敏感數據的訪問權限(例如銀行帳號、信用卡號、PIN 碼或者用戶名和密碼等等)。當網絡釣魚攻擊成功后,會導致身份盜用、信用卡欺詐、勒索軟件攻擊、數據泄露以及個人和企業的巨大經濟損失。
基于網絡釣魚技術,它主要進行會欺騙、施壓或操縱人們泄露私人或敏感信息, 網絡釣魚和其他社會工程策略的成功有賴于人為錯誤或好奇心或貪婪的心理, 網絡攻擊者通過用這些策略進行欺騙人,比直接侵入組織的計算機網絡更容易且成本更低。
網絡釣魚技術分類
網絡釣魚往往通過這幾個高頻行為進行交互實現:1、訪問打開鏈接;2、下載文件;3、打開附件;4、在回復中加入敏感信息或兩步驗證代碼;5、郵件,電話,短信,語音。
網絡釣魚也會通過一些惡意軟件進行滲透,常見的釣魚惡意軟件有:鍵盤記錄器、病毒軟件、勒索軟件、蠕蟲、木馬。
電子郵件網絡釣魚攻擊是最常見、最多樣的網絡釣魚攻擊之一,并且也是最有效的方法之一。電子郵件網絡釣魚攻擊通常依賴于社會工程來誘導用戶點擊惡意鏈接或下載惡意軟件。
下面就進行對網絡釣魚常見技術進行做下分類:
1、電子郵件的欺騙性/克隆網絡釣魚法
它也被稱為傳統網絡釣魚,是網絡攻擊者和網絡犯罪分子用來欺騙企業員工和個人的最常見的網絡釣魚類型。網絡釣魚攻擊者通過冒充他人來獲取指定用戶關鍵信息或登錄信息憑據。冒充者也會偽裝成知名成功人士或某某企業的高管代表。
這種電子郵件欺騙的網絡釣魚的兩種表現形式:
網絡釣魚者在給受害者的電子郵件中聲稱自己是一家可靠且知名公司的高管,要求提供關鍵信息。
一封電子郵件會發送給潛在受害者,其中包含指向惡意站點的鏈接。網絡釣魚者操縱鏈接并等待受害者打開它。如果受害者落入輸入某些信息的陷阱,網絡釣魚者可以利用它。
2、電子郵件的魚叉式網絡釣魚法
這種針對個人的網絡釣魚攻擊被稱為“魚叉式網絡釣魚”。與應用于隨機個人的傳統網絡釣魚技術不同,這種網絡釣魚攻擊它是計劃針對特定群體和特定企業和組織執行。
網絡釣魚攻擊者將識別目標并通過各種可靠來源收集到有關受害者的所有信息。他們將使用惡作劇地址發送看起來像是朋友或同事發送的電子郵件。該電子郵件可能會要求立即進行銀行轉賬。或者可能要求提供關鍵細節以訪問敏感數據。
這種網絡釣魚技術令人驚訝的是發件人的真實性似乎就是真實的。這種網絡攻擊的計劃是這樣的,通常在受害者期待來自冒充源的電子郵件時執行攻擊。
3、電子郵件的捕鯨網絡釣魚法
這種技術與魚叉式網絡釣魚技術非常相似,但是這種技術更優于魚叉式釣魚。魚叉式網絡釣魚攻擊者可以針對層次結構中企業的任何員工,但捕鯨式網絡釣魚者僅僅針對企業中的高級管理人員。通過冒充用于捕鯨攻擊以獲取關鍵敏感數據或金融交易數據。為避免公司的高級管理人員被這種先進的網絡釣魚技術所迷惑,需要通過進行對應培訓和意識計劃,了解捕鯨網絡釣魚法的流程和危害,以此降低受到這種模式釣魚的風險。
網絡攻擊者通常使用以下技術來實現捕鯨攻擊:
1、從社交媒體平臺以及可用的上市公司信息或各種企業信息查詢平臺中提取信息;
2、部署 Rootkit、惡意軟件或病毒入侵網絡;
3、實施來自組織上級機構的電子郵件欺騙。
4、惡意軟件的釣魚法
這種通過借助惡意軟件方式,需要受害者下載或啟動運行具有傳染性惡意軟件。惡意軟件可以通過電子郵件發送、從網站下載或在易受攻擊的網絡中進行操縱。因此在網絡上下載軟件(很多軟件都被惡意修改過添加后門釣魚功能),建議在軟件官網或正規網站上下載,降低被釣魚的風險。
這種網絡釣魚技術就是讓受害者下載惡意軟件:
1、感染數據文件并導致它們損壞;
2、發布勒索軟件;
3、竊取聯系人列表以發起更復雜的網絡釣魚活動;
4、啟用惡意應用程序,例如鍵盤記錄器。
5、網絡域欺騙法
網絡釣魚者使用工具將流量重定向到虛假的網站,對于受害者來說,這些虛假網站看起來像是一個真實的網站。這種技術被稱為 網絡域欺騙。通常,網絡釣魚者攻擊網上銀行和電子商務網站作為容易的受害者。
域欺騙它是一種網絡攻擊,它可將網站的整個流量重定向至其他惡意網站。通過這種方式將正常的網站指向網絡釣魚者的網站,網絡攻擊者就可以輕松的竊取網站和用戶的敏感信息,并誘導用戶交出帳密或下載惡意軟件。
網絡域欺騙通常在以下情況下發生:
1、網絡釣魚者檢測域名服務器 (DNS) 軟件中的故障;
2、主機文件在目標系統上重新排列;
3、系統/網絡缺乏安全管理;
4、路由器和主機文件已成為 Pharming 感染的新寵。
如果事先采取措施,可以通過選擇可靠的DNS, 而不是自動建議的 DNS 來阻止路由器威脅,因為網絡釣魚者更有可能選擇管理員控制下的 DNS,而不是合法的 DNS。
6、電話短信社交釣魚法
受害者在短信或社交軟件中收到與網絡釣魚電子郵件類似的消息,其中包含要點擊的鏈接或要下載的附件。電話釣魚是一種更復雜、有時更有效的網絡釣魚方法,因為在電話的另一端有一個真實的人在說話。通過偽裝成為真實信息誘導受害者點擊,然后進行釣魚。
7、二維碼網絡釣魚
現在生活中,二維碼是非常常見的一個東西,并且任何人都可以在幾秒鐘內創建屬于自己的二維碼,包括網絡釣魚者。他們可以快速地更改某些企業或個人二維碼的代碼。由于二維碼的URL是縮短的,因此在通過二維碼下載之前無法驗證該站點是否正確。
釣魚技術攻防
防止被網絡釣魚攻擊可以從這幾方面進行做些工作,安裝防毒軟件;網絡防火墻;網關電子郵件過濾器、網絡安全網關;垃圾郵件過濾器;反網絡釣魚工具欄(安裝在網絡瀏覽器中)。
下面就針對網絡釣魚這些攻防點展開進行做些解析。
1、信息源的保護
不要隨意為他人提供個人信息或有關組織的信息,有不少企業信息泄露案例中是企業員工不小心將信息外發,或將信息轉發給朋友,導致的信息泄露。
如若接到來電不明的電話、拜訪或電子郵件,且對方聲稱來自合法組織,請嘗試直接與公司或相關機構核實其身份。
不要在電子郵件中透露個人或財務信息,也不要回復獲取此信息的電子郵件請求。這包括以下通過電子郵件發送的鏈接。
2、針對惡意軟件釣魚應對
基于端點安全和網絡安全工具安裝使用(如防病毒、端點檢測和入侵檢測)進行對抗網絡釣魚(如DDoS、竊聽、中間件和緩沖區溢出攻擊)的攻擊,降低減少此類的部分流量。安全的做法是在主機中安裝殺毒軟件并及時升級病毒庫和操作系統補丁。
3、內容過濾
由于企業員工或個人粗心或沒安全防護意識隨意瀏覽互聯網,造成許多企業和個人主機成為網絡釣魚攻擊的犧牲品。Web過濾或內容過濾策略可以幫助阻止訪問某些站點,從而顯著降低訪問風險網站的可能性。
4、電子郵件客戶端特定保護
大多數電子郵件客戶端、Web瀏覽器和電子郵件提供商都提供默認或內置的反網絡釣魚功能(例如,默認情況下阻止所有文件下載)。
5、多因素身份驗證
多因素身份認證MFA可以顯著減少某些類型的網絡釣魚攻擊。你的密碼可能會意外被盜用,但輔助身份驗證方法可以降低免遭進一步的攻擊。
不要輕易地把自己的隱私資料通過網絡傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料,不要通過QQ 、微信 、Email 等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。
6、風險預警
根據URL的來源建議、阻止或允許內容進行預警,黑名單服務將阻止來自已知惡意域的電子郵件;白名單服務將只允許來自先前驗證或授權域的內容;灰名單服務將首先拒絕電子郵件,稍后通過服務器請求副本來進一步確認當時無法識別的電子郵件地址的合法性。
在檢查網站的安全性之前,不要直接通過Internet 發送敏感信息。注意網站的統一資源定位符(URL)。查找以https開頭的URL(表明網站是相對安全的),而不是http開頭的(相對不安全),尋找關閉的掛鎖圖標,信息將被加密的標志。
7、密碼管理器
密碼管理器可以讓用戶輕松地跨多個站點存儲長而復雜的密碼,而無需依賴自己的記憶。它可以顯著降低了密碼重復使用和單個密碼泄漏的風險。
8、基于全球網絡釣魚防護標準
諸如發件人策略框架(SPF)、域密鑰識別郵件(DKIM)、基于域名的消息身份驗證、報告和一致性(DMARC)等網絡釣魚標準有助于保護域免受欺騙。啟用這些后,接收者可以驗證聲稱來自特定域的電子郵件的真實性。
當已打開了惡意鏈接,可以參考以下步驟降低減少風險和損失:
1、斷開你的設備與互聯網及其鏈接到的任何網絡的連接。這將降低惡意軟件在你的系統中傳播的風險;
2、使用防病毒軟件對系統進行全面掃描。這可以離線完成,因此請忽略任何告訴你連接到互聯網的彈出窗口。如果你發現任何惡意軟件,請按照軟件說明如何隔離或刪除惡意文件;
3、更改個人的詳細敏感信息。通常,網絡釣魚電子郵件用于竊取密碼和銀行詳細信息等個人信息。
4、如果你認為你個人敏感信息存在風險,可以到銀行進行驗證確認詳細信息,以便他們監控任何可疑活動。
