IPFS 網絡釣魚正在興起，使活動刪除變得更加復雜 - 網安 - 專業的網絡安全產業、社區、知識平臺

圖片：土坯股票

為了成功進行網絡釣魚操作，網絡犯罪分子通常需要在線托管網絡釣魚頁面。受害者連接到它并向它提供他們的憑據或信用卡號，從而上當受騙。

網絡釣魚活動通常會在幾分鐘內被檢測到，因為它們往往針對很多人，其中一些人會立即將其報告給安全公司或CSIRT（計算機安全事件響應團隊）團隊。這些團隊可能會調查此案，但通常首要任務是關閉網絡內容，以便稍后單擊欺詐鏈接的任何人都無法訪問它。刪除網絡釣魚內容可能需要幾分鐘或幾個小時。

這就解釋了為什么網絡犯罪分子確實花費大量時間來破壞網站以托管他們的釣魚內容或注冊一些免費的網絡托管服務并存儲他們的內容。增加網絡釣魚頁面的可用性和正常運行時間對于網絡犯罪分子來說絕對是個好主意。這就是 IPFS 的用武之地。

IPFS 代表行星際文件系統。IPFS 是 2015 年創建的用于托管數據的點對點網絡和協議。它建立在去中心化系統上，類似于種子文件。用戶可以通過地址訪問內容，其他對等方可以使用分布式哈希表 (DHT) 從任何擁有內容的節點查找和請求內容。

不屬于該全球 IPFS 網絡的用戶可以使用各種IPFS 網關訪問其內容（圖 A）。

圖A

IPFS 的公共網關示例列表。圖片：ipfs.github.io。

存儲在 IPFS 上的任何文件都可以使用以下約定通過唯一的內容標識符 (CID) 進行檢索：

https://<網關>/ipfs/<CID 哈希>

從 IPFS 請求的任何文件都通過網絡上的任何參與節點提供服務。

與托管在透明網絡上的普通網絡釣魚頁面相比，IPFS 上的網絡釣魚頁面更難刪除。由于多個 IPFS 節點可以托管內容，因此網絡釣魚頁面可能會在不確定的時間內保持在線狀態，可能會持續數月，或者如果沒有節點再托管它，就會自然消失。

為了確保刪除這些欺詐性內容，網絡防御者需要付出比平時更多的努力。他們需要訪問所有指向該文件的網關，并要求從其緩存中刪除內容。

幸運的是，即使內容保持在線，指向欺詐內容的鏈接也始終可以報告給反網絡釣魚服務，例如谷歌安全瀏覽，這將很快將鏈接標記為惡意并阻止用戶訪問它。

Trustwave 的 SpiderLabs 團隊的研究人員最近曝光了一些 IPFS 網絡釣魚案例。

Chameleon 網絡釣魚頁面是一種網絡釣魚頁面，它會根據受害者的電子郵件地址更改其外觀。網絡釣魚頁面實際上會根據電子郵件地址加載徽標和背景內容（圖 B）。

圖B

相同的 IPFS 網絡釣魚 URL 根據受害者的電子郵件地址顯示兩種不同的內容。圖片：信任波

Trustwave 提供的另一個示例顯示了一封偽裝成來自 Microsoft 的關于 Azure 訂閱的網絡釣魚電子郵件。該電子郵件包含一個惡意 HTML 文件，該文件指向一個實際托管在 IPFS 網絡上的網絡釣魚頁面（圖 C）。

圖C

帶有 HTML 附件的網絡釣魚電子郵件會導致 IPFS 網絡釣魚頁面。圖片：信任波

用戶打開附件后，將訪問托管在 IPFS 網絡上的網絡釣魚頁面。它要求用戶單擊聯系鏈接，然后顯示要求用戶提供 Microsoft 憑據的網絡釣魚頁面（圖 D）。

圖 D

托管在 IPFS 網絡上的 Microsoft 網絡釣魚頁面。圖片：信任波。

IPFS 不是一種全新的技術，但網絡犯罪分子采用它是一種可以預見的新現象。每次新技術發展時，總會有犯罪頭腦的人為了他們的需要而歪曲它。

Trustwave 表示，他們觀察到超過 3,000 封包含釣魚 URL 的電子郵件在過去 90 天內使用了 IPFS，并提到“很明顯，IPFS 正日益成為釣魚網站的流行平臺”。

如前所述，IPFS 是一個點對點網絡，它使內容更難被刪除。當它只需要向托管公司或 DNS 提供商報告網絡釣魚頁面以將其存儲在通常的 Web 中時將其關閉時，它需要尋址所有導致欺詐性內容的 IPFS 網關才能將其關閉。

阻止互聯網用戶訪問此類網絡釣魚頁面的更快方法是將其報告給反網絡釣魚服務，該服務將阻止對運行這些服務的所有用戶的訪問。