通過網頁中的 6 個特征字段檢測釣魚網站
你可能會認為釣魚網站很難檢測和跟蹤,但實際上,許多釣魚網站都包含唯一標識它們的HTML片段。本文就以英國皇家郵政(Royal Mail)釣魚網站為例來進行說明,它們都包含字符串。
css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo
這些長而隨機的字符串是追蹤釣魚網站的絕佳指標,幾乎可以肯定,任何含有css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo的網頁都是皇家郵政釣魚工具的實例。
但是,像這樣的獨特字符串最終如何成為檢測網絡釣魚工具標識的呢?
不幸的是,我們并不是RFC 3514的模仿者,在RFC 3514中,如果所有的IP數據包是惡意的,那么它們都包含一個標志信號。不,這些識別字符串完全是由釣魚工具開發者無意中包含的。
釣魚工具是如何誕生的?
釣魚網站試圖盡可能接近他們真正的目標網站,然而,大多數釣魚者并不具備復制公司網站的技能。相反,他們采用了快捷方式,只是假冒了原始網站的HTML并對其進行了一些小的調整。
假冒目標網站并將其變成釣魚工具的過程大致如下:
1.使用諸如HTTrack之類的工具復制目標網站,甚至只需在網絡瀏覽器中點擊文件→保存即可。
2.調整HTML以添加一個請求受害者個人信息的表單。
3.將其與PHP后端粘合在一起,以保存收集到的數據。
然后,可以將該工具包輕松部署到便宜的托管服務提供商上,并準備收集受害者的詳細信息。
4.通過復制整個網頁,釣魚者幾乎不需要什么技巧或精力即可獲得一個超級逼真的釣魚頁面。但是,這種假冒模式意味著他們的釣魚頁面充滿了他們實際上并不需要的東西。
特別是,原始網站中的任何特殊字符串都有可能意外地出現在最終的釣魚工具中。這對我們來說很好,因為尋找特殊字符串是一種非常容易和可靠的方法來檢測釣魚網站。
所謂的特殊字符串就是一個足夠長或復雜的字符串,該字符串在整個互聯網上都是獨一無二的,這可能是因為它是隨機字符(如64a9e3b8)或只是因為它足夠長。
那么,問題來了:為什么在最初的網站中會有這些字符串?事實證明,在現代開發實踐中,網站到處都是這些足夠長或復雜的字符串。
網頁中長或復雜的字符串是怎么來的?
現代網站很少是100%靜態的內容,當前的開發實踐和網絡安全特性意味著,有多種方法可以使冗長的隨機字符串最終出現在網站中。以下是我所見過的各種來源的概述:
1.文件名中的哈希
現代網站通常使用諸如Webpack或Parcel之類的“捆綁包”進行處理,這些捆綁包將所有JavaScript和CSS組合成一組文件。例如,網站的sidebar.css和footer.css可能合并為一個styles.css文件。
為了確保瀏覽器獲得這些文件的正確版本,捆綁程序通常在文件名中包含一個哈希。昨天你的網頁可能使用的是styles.64a9e3b8.css,但是在更新你的樣式表之后,它現在使用的是styles.a4b3a5ee.css。這個文件名的改變迫使瀏覽器獲取新的文件,而不是依賴于它的緩存。
但這些足夠長或復雜的文件名正是最近皇家郵政(Royal Mail)的釣魚工具被發現的原因。
當釣魚者假冒真正的皇家郵政網站時,HTML看起來是這樣的:
不幸的是,不管他們用什么技術來假冒網站,文件名都沒有改變。因此,通過urlscan.io查找大量使用CSS文件的釣魚網站是很容易的:
2. 版本控制參考
網絡釣魚者針對的任何網站很可能都是由一個團隊開發的,他們很可能會使用git等版本控制系統(VCS)進行協作。
一個合理的常見的選擇是在網站的每一個構建中嵌入一個來自VCS的參考,這有助于完成諸如將漏洞報告與當時正在運行的代碼版本相關聯之類的任務。
例如,Monzo網站使用一個小的JavaScript代碼片段嵌入了git commit哈希:
VCS參考資料對于安防人員來說非常有用,因為它們很容易在版本控制系統中找到。如果你發現一個釣魚網站無意中包含了VCS參考,你就可以直接查找該網站的編寫時間(也就是該網站被假冒的時間)。
3.SaaS的API密鑰
網站經常使用各種第三方服務,如對講機或reCAPTCHA。為了使用這些服務,網站通常需要包含相關的JavaScript庫以及一個API密鑰。
例如,Tide使用reCAPTCHA,并將這段代碼作為其集成的一部分:
因為reCAPTCHA “sitekey” 對每個網站來說都是唯一的,因此任何包含字符串6Lclb0UaAAAAAJJVHqW2L8FXFAgpIlLZF3SPAo3w且不在tide.co上的頁面都很可能是假冒的網站。
雖然SaaS API密鑰是非常獨特的,并且具有很好的指示作用,但它們變化非常少,因此無法區分從同一網站假冒出來的不同釣魚工具。一個網站可能會使用相同的API密鑰達數年之久,因此在那時創建的所有工具包都將包含相同的密鑰。出于同樣的原因,API密鑰對于識別何時創建網絡釣魚工具包也沒有任何幫助。
4. 跨站請求偽造(CSRF)令牌
事實證明,許多網絡安全最佳實踐也使網絡釣魚成為重要的指標。其中最常見的可能是“跨網站請求偽造”(CSRF)令牌。
簡單地說,CSRF是一個漏洞,惡意網站可以借此誘騙用戶在目標網站上執行經過身份驗證的操作。例如,此HTML創建了一個按鈕,點擊該按鈕可將POST請求發送到https://example.com/api/delete-my-account":
如果example.com不能防御CSRF,它將處理此請求并刪除毫無戒心的用戶帳戶。
防御CSRF的最常見方法是使用所謂的CSRF令牌,這是一個嵌入在每個網頁中的隨機值,服務器希望將其與敏感請求一起發送回去。例如,example.com的“刪除我的賬戶”按鈕應該是這樣的:
服務器將拒絕任何不包含預期隨機值的請求。
CSRF令牌非常適合檢測釣魚網站,因為從設計上看,它們是獨一無二的。
5. 內容安全策略隨機數
內容安全策略(CSP)是一種較新的安全手段,可幫助防御跨網站腳本(XSS)攻擊。它允許開發人員指定策略,比如只允許特定域的< script >標記,或更有趣的是,對于我們的用例,僅允許包含指定“nonce”的< script >標記。
要使用基于隨機數的CSP,網站需要包含以下政策:
并使用具有匹配隨機值的腳本標簽:
這有助于防止XSS攻擊,因為惡意注入的JavaScript不會具有匹配的現時值,因此瀏覽器將拒絕運行它。
就像CSRF令牌一樣,CSP隨機數也構成了完美的網絡釣魚工具包檢測器:它們的設計不可篡改,因此通常會為每個請求隨機生成長且復雜的字符串。
6. 子資源完整性哈希
現代瀏覽器中可用的另一個安全功能是子資源完整性(SRI),通過允許你指定期望內容的哈希值,可以保護你免受惡意修改的JavaScript / CSS的侵害。當瀏覽器加載受SRI保護的JavaScript / CSS文件時,它將對內容進行哈希處理并將其與HTML中的預期哈希進行比較。如果不匹配,則會引發漏洞。
例如,以下是研究人員的博客如介紹的如何將子資源完整性用于其CSS:
這個SRI哈希值是根據研究者網站上所有CSS計算得出的,結果,盡管研究者使用的是公共博客模板,但極不可能有另一個網站具有相同的哈希值,他們必須使用完全相同的模板版本,并且必須包含所有相同的插件。
對于自定義網站比研究者更多的公司,實際上可以確保沒有其他網站擁有完全相同的CSS。
如何使用這些長且復雜的字符串來防御網絡釣魚
下次當你分析網絡釣魚網站時,請注意其中一些有用的長且復雜的字符串。
文件名中的哈希可能是你遇到的最常見的示例,這些也是最有用的,因為你可以在urlscan.io上搜索文件名以查找同一工具包的其他實例
