何为网络钓鱼攻击?
首先,我们看一下网络钓鱼攻击的定义:网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码、生日、信用卡卡号以及社保账号的一种攻击方式。为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如PayPal、亚马逊、联合包裹服务公司(UPS)和美国银行等)的代表。
攻击者发送的通信内容的标题可能包含“iPad赠品”、“欺诈告警”或其他诱惑性内容。邮件可能包含公司的标志、电话号码及其他看似完全合法的内容。攻击者的另一惯用伎俩是使邮件看起来像是来自您的亲朋好友,让您以为他们要与你分享一些东西。
然而,当您点击了邮件中的链接,会被带到虚拟网站而非真实网站,让您在毫无戒备的情况下按照提示输入个人信息。攻击者会获取这些输入信息,然后立即使用或在黑市上买卖用于恶意目的,或既自用又出售。很多时候,用户计算机也会受到感染,然后将钓鱼邮件发送给通讯录上的联系人,助其肆意传播(恶意代码会控制受感染计算机的web浏览器,该攻击手段称为域欺骗。)
在传统钓鱼攻击中,这些诈骗者会发送数百万“鱼钩”,只需较少用户点击链接“上钩”。根据加拿大政府的统计,每日全球发送1.56亿封钓鱼邮件,而最终有8万用户点击邮件中的链接, 导致重大损失。Ponemon机构估计,通常拥有10000名员工的公司每年应对网络钓鱼攻击的花费就高达370万美元,而这种趋势没有减弱迹象,而是愈演愈烈。
网络钓鱼攻击历史
网络钓鱼攻击术语和概念最早由美国在线(AOL)于20世纪90年代初提出。一些黑客和盗版人员联合起来,自称warez社区。他们被视为首批“网钓者”。早期诈骗中,他们利用所开发的算法随机生成信用卡号,从而试图创建虚假的AOL账户。若他们所创建的随机信用卡号与用户的真实卡号匹配,他们就会创建账户,向AOL社区中的其他用户发网络钓鱼送垃圾邮件,仅需数个用户上钩。
1995年,AOL成功阻止了随机信用卡号生成器,但warez社区转而使用其他方法,乔装成AOL的员工,通过AOL Messenger通讯软件向其他员工发送消息,以获取他们的信息。这样,网络钓鱼攻击很快就成了一大问题。1996年1月2日“网络钓鱼”第一次在AOL的新闻组的群中被提及(AOL最后在其所有邮件和通讯软件中发布警告,提醒用户提防潜在的网络钓鱼)。
利用邮件
随着人们逐渐熟悉通讯软件欺骗,“网钓者”开始使用邮件通信,因为邮件容易创建、发送成本低且几乎不易被识破。
最初大多数钓鱼消息组织得很差,满篇都是语法错误,但钓鱼者很快进行了改进,编写了更复杂的消息。2003年9月,钓鱼者开始注册与知名公司类似的域名,例如yahoo-billing.com和ebay-fulfillment.com。他们发送看似更合法的新邮件,诱惑收件人打开使用这些域名的网站,让其信以为真。
2003年10月,Paypal用户感染了Mimail病毒。这些用户单击了钓鱼邮件中包含的链接,然后系统弹出了一个声称来自Paypal的窗口,让用户输入用户名和密码。输入后,这些用户名和密码立即被发送至黑客。
2004年,支持总统候选人John Kerry的选民收到了一个看似来自官方的邮件,鼓动他们单击邮件中的链接进行捐款。最终,该邮件被证实为是印第安州和德克萨斯州操纵的欺骗邮件,与John Kerry的竞选活动无关。
现今,网络钓鱼攻击方法种类繁多。同时,诈骗者仍在持续推出新花招,赢得信任、规避检测,并造成严重破坏。其中一个令人不安的趋势是通过利用从社交媒体收集的信息,让通信内容尽量贴近攻击目标,此类攻击一般被称为“鱼叉式网络钓鱼”或“社交工程欺骗”。
有时,这种欺骗手段是一个漫长且缓慢的过程,可能会诱惑受害人在Facebook上聊天,最终向其索要钱财或密码。有时,他们会利用从公共渠道获取的受害人信息使诈骗看上去更具说服力。
“我们可将现在我们公开发布的信息与15年前进行对比。过去,如果不是去家门口拜访,我们很难获得人们的信息。”,反钓鱼工作组(APWG)的Peter Cassady说, “而现在人们在网上发布了太多信息,恶意攻击者可开发半定制方案,利用这些信息,构建看似非常真实的消息。”
SecurityIQ网络钓鱼模拟器
另一种鱼叉式攻击更加危险:黑客盯上某个行业的一家公司,窃取该公司的数据或损害其系统。然后,他们针对该公司的几个员工发起攻击,希望利用更具个性化的通信被证明是奏效的。赛门铁克是一家技术公司,称能源部门越来越受攻击者青睐。尽管目前尚未发生大规模入侵,他们警告说此类鱼叉式攻击的威胁日益上升,可能会带来灾难性影响。
网络钓鱼实例
我们在前面谈到,网络钓鱼攻击形形色色,花招繁多,但万变不离其宗, 即他们想骗取你的个人信息。
当然,此类攻击所利用一个主要工具仍是易用的传统邮件,通常这些邮件会发送给大公司工作繁忙或压力大的员工,因为他们会不假思索地点击邮件中的链接。尽管很多大公司已部署了防御措施(如恶意软件检测器或垃圾邮件过滤器),但黑客已发现新的入侵方法,在一次攻击事件中居然利用了空调。
确切地说,攻击者2014年入侵了零售巨头Target的网络,造成1.1亿条信用卡信息泄露。此次攻击的原因是攻击者对为Target在宾夕法尼亚州的零售店提供空调服务的法齐奥机械服务公司进行了钓鱼诈骗,因为该公司具备Target供应商数据库的访问权限。法齐奥员工点击了一个恶意链接,在毫不知情的情况下导致计算机被入侵,凭证被窃取,使攻击者获取了Target的访问权限。数月之后,攻击者入侵了Target网络。
最终,Target还是尽其所能挽回了损失,而其他受害者就不一定这么走运了。根据NBC新闻2012年的报道,一位未透露姓名的英国女士称,她收到了一个看似来自银行的钓鱼邮件,点击了链接,按照提示输入了个人信息。三天后,她账户上的160万美元不翼而飞,这可是她一生的积蓄。
网络钓鱼攻击的其他类型
另一种非常流行的网络钓鱼攻击方法称为搜索引擎钓鱼,即诈骗者创建包含某些关键词的网页,这样,用户搜索这些关键词时会检索出这些恶意页面, 然后会在Google中毫无戒心地单击这些恶意链接,不会将其视为网络钓鱼诈骗,等意识到自己中招时为时已晚。
《电脑世界》报道了一次搜索引擎钓鱼攻击利用与诱人的信用卡利息和高息储蓄账户相关的关键词。在这些好处的驱使下,搜索者访问了看上去非常专业的网站,很自信地输入了登陆信息。在此过程中,攻击者要求他们关联自己的银行账户,然后立即顺走了账户中的钱。
中间人攻击(MITM)却更加巧妙复杂,根本无需虚假网站。实际上,黑客通过利用恶意链接充当合法网站和用户之间的“中间人”角色,秘密收集通过其代理的通信数据。这种攻击最早由《华盛顿邮报》于2006年报道,称花旗银行的企业客户中招此类攻击。由于中间人攻击非常隐蔽,几乎无法被发现,直到现在该类攻击仍是各企业面临的难题。
语音钓鱼和短信钓鱼
“语音钓鱼”和“短信钓鱼”是两种重要的移动钓鱼攻击方法。语音钓鱼指通过语音进行网络钓鱼攻击,具体指攻击者通过呼叫受害人进行钓鱼攻击。同时,在社交媒体风行的当下,人们公开发布了大量信息。这样,攻击者就趁机获取很多用户信息,使自己的伪装更加可信。
BBC曾报道过语音钓鱼攻击,称一位名为Emma Watson的女士遭遇了语音钓鱼攻击,她接到电话后误以为是银行打来的。在此次攻击中,攻击者拨通了她家里的固定电话,准确地说出她的姓名,声称来自反欺诈部门,想帮她将银行存款转移到更安全的账户。
她告诉BBC说,“他们非常专业,说的头头是道。”
这些语音攻击者可篡改来电号码,使其看起来像是从另外一个号码发起的呼叫,这样就又为欺骗蒙上了一层面纱。现在,快速发展的人工智能软件完全可模仿人类呼叫者,可想而知,以后的诈骗伎俩无疑让人心生恐惧。
最后,我们看一下短信钓鱼(SMS钓鱼)攻击,即通过向智能手机发送短信发动攻击。McAfee表示,在早期短信攻击中,攻击者向受害者发送确认消息,让用户打开链接“取消”未订购的电话业务或其他服务。在毫无戒心的用户单击链接后,其手机就变成大型钓鱼诈骗网络的成员。
网络钓鱼攻击、鱼叉式钓鱼攻击、域欺骗、语音钓鱼、短信钓鱼和社交工程欺诈仅仅是黑客用于获取用户信息所使用的几个最新手段。为防止中招,点击链接前请三思而后行。
本文作者:绿盟科技
来源:51CTO