要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业,但请记住“凡事预则立”。
计划与准备
像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的。发起攻击前,需要进行大量的研究和细致的计划与准备。很多情况下,这些都不是一蹴而就的。它们是精心策划的攻击,能够让任何战术家引以为傲。
收集信息 — 第一步
策划网络钓鱼攻击的第一步是搜集信息。钓鱼组织(多数情况下,为团伙或网络,并非牟取一己私利的独立黑客)必须确定攻击目标,然后搜集可让攻击渗透任何安全协议的重要信息。大多数黑客组织利用互联网中继聊天(IRC)进行策划和战略沟通,并讨论攻击目标、攻击方法等,因为IRC是匿名的,并且安全。
钓鱼组织以团伙或网络形式出现,通常没有核心领导。钓鱼组织被称之为“无标度网络”,他们按照组织的一致意见行动而不受中央源的指导。Avalanche Gang就是一个典型例子。Avalanche Gang于2008年成立于东欧,并被认为对2009年大多数攻击和破坏活动负责。有趣的是,Avalanche Gang是从一个更久远的名为Rock Phish的组织中分裂出来的。二者均已解散,但未有任何成员被捕,因此这些黑客一定还存在,一直在密谋和窃取数据。
组织形成并开通在线聊天后,成员们便开始执行具体任务。有的负责设计钓鱼网站,有的负责对邮件和图片进行编码,有的负责创建组织将会使用到的邮件文本或通知,还有的负责在互联网上广撒网,寻找可用于攻击目标的信息。他们尽力获取员工姓名、社交账户信息等。
在确定主要目标和组织内作为切入点的具体个人后,钓鱼团伙就会开始下饵。诱饵可采取任何不同形式,但最常见的是设计用户担忧或关注的邮件内容,提供镜像预期访问网站的钓鱼网站地址。例如,2008年的鲸钓攻击(针对公司高管)中利用的是虚假传票邮件。邮件中包含每位高管的准确个人信息,包括姓名、电话号码和地址,看起来非常真实,导致2000位不同的高管人员信以为真。
请好好思考一下。这些都不是知之甚少的低级别员工,而是有多年经验和商业头脑的高级领导。他们都信以为真并点开了邮件链接。然而,该链接并不是提示他们输入账户名称和登录,而是链接到一个可秘密下载恶意软件到他们计算机上的网站。该恶意软件可记录键盘操作,获取账户信息。
这只是其中一例。攻击者手上有很多攻击武器,包括:
- 提醒账户余额不足或检测到账户中存在恶意活动的银行邮件
- 免费赠品,上至高价值奖品,下至免费食品
- 虚假社交通知,如Facebook发来的关于朋友添加了本人照片的提醒
- 网络安全公司发来的关于账户被攻击的告警,通常包括联系人信息、合法公司名称和URL。攻击者表示,实现这一切只需轻轻一点,剩下的就交由历史了。通过访问被攻击主机,攻击者几乎可以做任何事情,包括植入恶意代码、下载病毒和获取数据。在某些情况下,攻击组织可访问重要的公司数据长达数月、甚至数年之久。
钓鱼网络
如上所述,网络钓鱼攻击通常不是一个独立的攻击者 而是团队完成的。这些团队被称之为钓鱼网络。你可以把他们想象成任何其他的商业网络,团队成员技能互补,一起为实现共同的事业或目标而努力。攻击者表示,实现这一切只需轻轻一点,剩下的就交由历史了。通过访问被攻击主机,攻击者几乎可以做任何事情,包括植入恶意代码、下载病毒和获取数据。在某些情况下,攻击组织可访问重要的公司数据长达数月、甚至数年之久。
很久之前,攻击者常常各自为战。这种情况可追溯至20世纪80年代,Dr. Rapp开发了一款木马病毒,通过计算机软盘进行传播。然而,攻击者很快就意识到人多力量大。大约在2006年,网络犯罪分子开始团结起来形成网络进行信息交换、相互学习、取长补短,并攻击个人无法实现的目标。
所以,这些团队是如何运作的? Cloudmark对典型钓鱼网络进行解析,以此来说明他们吸纳具有理想技能的个人成功攻击任何组织(无论规模或行业)是何等容易。通常,他们中包括专注于批量邮件策略(包括精通语法技巧)的个人,还包括模板设计师、服务器管理员、购买可用于生成虚假借记卡等财务信息的出纳员,以及运行自动化脚本的僵尸机。
当然,事实远非如此。很多技术可用来增强钓鱼网络。例如,Avalanche Group利用僵尸网络(由被攻击PC组成)提供钓鱼网站,诱骗用户主动提供目标信息。钓鱼软件包和工具的作用是了解初始攻击的理想场所。
聊天室在钓鱼组织的成功中发挥着重要作用。因为聊天室成员都急于寻找聊天对象,因而更容易受到钓鱼攻击影响。事实上,赛门铁克在2013年发现了这样一个钓鱼组织。该组织使用一款亚洲聊天应用程序,表面上让用户与印度和巴基斯坦妇女交谈,但实际上窃取了用户的账户凭据。
钓鱼组织还具有利用受感染PC创建僵尸网络的专有技术和动机。通过将这些受感染的机器组成一个网络,他们能够实现更大的目标。最初的感染可能来自任何来源,包括路过式下载、木马、包含受感染站点链接、甚至受感染文件的邮件,以及“快速通量”(fast flux是一种DNS技术,可将受感染站点隐藏在代理后面)。
简而言之,这些钓鱼组织复杂而又老练。他们规模大,传播广,且独立自治。个人成员都是匿名的,他们动机明确,技术精湛。通过把这些技术精湛的人员(技术包括网站设计、病毒编码、有效写作、安全漏洞识别与策略)聚集在一起,这些网络可以对最大的企业、组织甚至政府机构构成威胁。
下饵与信息搜集
网络钓鱼攻击都要使用诱饵。钓鱼网络竭尽全力获取员工或主管信息,但若不能创造出诱人的饵,所有的努力都是徒劳。因此,诱饵非常重要。若诱饵不引人注目,目标就不会采取预期操作(例如单击链接)。这意味着攻击者失去了攻击目标,无论是入侵PC、财务信息还是个人数据,或其他完全不同的内容。钓鱼网路使用的诱饵的形式多种多样。
最常见的是伪造邮件。这种情况下,邮件被伪装成看似来自组织内部人员的邮件。伪造的邮件看上去非常真实,包括邮件发送域名,,很难被检测到。此类邮件的目的五花八门,最常见的目的是让收件人:
- 点击链接进入钓鱼网站,此时收件人凭证可能会被盗或有恶意软件下载到他们的计算机上
- 直接提供发件人要求的某类信息,通常是账户凭据或其他信息,帮助攻击者实现其目标
- 下载受感染文件(Word、Excel或PDF格式)
- 点击链接进入网站,并下载蠕虫到自己的电脑上,从而窃取收件人的通讯录联系人信息,并发送更多虚假邮件
当然,发送虚假邮件只是攻击者的手段之一。他们也可进行所谓的“克隆钓鱼”。这种情况下,攻击者诱骗邮件收件人让其误以为邮件是是对先前消息的回复或是认识的人转发的消息或文件。
攻击者还会使用暴力钓鱼。暴力钓鱼恰如其名。在这种情况下,攻击者将创建由随机数字和字母组合而成的子域,与公司主要的邮件发送域相关联。这一方法之所以奏效是因为大部分公司都有不止一个邮件发送域,并且其中一些邮件发送域还不支持DMARC协议。
Chatbot是攻击者投给潜在受害者的又一种诱饵。为实施这种攻击,首先建立社交网络。Chatbot发送一个朋友请求,当接收人接受请求,Chatbot几乎立即向目标个人发送包含链接的信息。该链接声称包括对攻击目标很重要的内容(请记住,钓鱼组织已做过研究且了解什么能让目标个人“怦然心动”)。
上钩
任何网络钓鱼攻击的终极目标都是让目标“上钩”。一旦下饵,目标上钩后,好戏就开始了。至此,攻击者可访问其需要的信息。若获取了管理员凭证,攻击者可以做很多事情,包括诱骗其他用户。在最坏的情况下,攻击者利用DNS缓存污染接管整个服务器,并将所有流量重定向至钓鱼网站。攻击者还能够截获数据,甚至扫描硬盘、收件箱及其他文件夹。
一旦加入,网络钓鱼攻击者将开始数据提取流程。他们会抓取数据库数据以获取个人和财务数据,并将这些数据添加到电子表格中。他们对某些类型的数据特别感兴趣,包括:
- 社保号
- 姓名全称
- 通信地址
- 邮箱地址
- 信用卡号
- 密码
一旦信息被抓取和保存,钓鱼组织将执行计划的最后一步。他们在黑市上出售这些信息,其他人会利用这些信息窃取身份,开立新的信用卡账户,或利用他人资料伪造全新的身份。出价高者将得到这些数据,然后钓鱼组织瓜分利润。在某些地方,某些人可能愿意以1200美元的高价购买个人手机号码和邮件地址。
网络钓鱼的可怕性不仅在于数据失窃,还在于攻击易于发动。而且,任何企业、组织或政府机构都可能成为受害者。唯一的防护方法是要提高警惕并做好准备。
本文作者:绿盟科技
来源:51CTO
