2.6 实例分析
2.6.1 网络钓鱼案例
1.典型案例
犯罪嫌疑人通过给受害者发送手机短信,称受害人的银行e令即将到期,需尽快登录某一网址进行升级。受害人上网登录了短信上提供的所谓银行网址,输入用户名、密码等,很快页面显示升级成功。当受害人再次登录银行官网的网银账户时,发现自己账户内的大量资金被转走。这种欺诈方式即为网络钓鱼,短信上提供的网址就是钓鱼网站的网址。
另外一个例子,某些手机用户在网上为手机缴费时,误入了“钓鱼”网站,充值的话费打了水漂。调查发现,一些骗取话费的诈骗网站以一种“推广链接”的广告发布形式跻身于搜索页的头条,引人上当。
以上两个例子都是典型的网络“钓鱼”攻击。根据中国反钓鱼网站联盟(APAC)发布的数据,仅2011年4月份联盟处理“钓鱼”的网站就多达2635个。
2.“钓鱼”攻击的主要目标及攻击过程
银行与客户是网络“钓鱼”攻击中的最大目标。“钓鱼”手段也从最初的骗取用户账户和密码等,发展到有针对性地通过用户的微博、团购等消费痕迹和消费行为,通过网络、短信等实施“个性化钓鱼”,致使受害者一时间难以辨别其真假。很多社交平台也成为网络“钓鱼”的新渠道。
国际反钓鱼网站工作组(Anti-Phishing Working Group,APWG)将网络“钓鱼”定义为:一种利用社会工程和技术诡计,针对客户个人身份数据和金融账号进行盗窃的犯罪机制。
诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的组织机构,主要通过电子邮件、网页、短信、微博等途径散布虚假信息,诱骗不知情的网络用户连接到一个通过精心设计与目标组织的网站非常相似的“钓鱼”网站上,并获取受害人在此网站上输入的个人敏感信息,如信用卡号、银行卡账户、身份证号等内容,通常这个攻击过程不会让受害者察觉。
3.常见“钓鱼”攻击
网络“钓鱼”常用攻击手段归纳起来可以分为两类,第一类攻击完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件、诱骗短信、各种仿冒网站等;第二类攻击则主要通过漏洞触发,包括操作系统漏洞、应用程序及浏览器漏洞、目标网站服务器漏洞等,利用这些漏洞结合社会工程学对受害者进行诱骗。
1)完全利用社会工程学形式的“钓鱼”攻击
(1)虚假诱骗型。如利用虚假电子邮件、虚假短信、虚假即时通信消息、虚假搜索引擎消息、虚假聊天室、留言板、论坛等方式进行大量虚假信息的传播,以骗取浏览者去访问相应的“钓鱼”站点,以此来骗取用户的个人资料,包括账号、密码等信息。
(2)内容仿冒型。内容仿冒是目前“钓鱼”攻击中最常见的一种方式。攻击者仿冒一些银行机构的网银页面,或者是仿冒电子商务网站。当用户在该平台选择商品消费时,网站所提供的支付平台完全是攻击者自行设计、假冒的支付页面,以此来获得消费者的网上相关个人信息,包括银行账号、密码等信息。
(3)“内容仿冒”和“虚假诱骗”一般都是配合进行,通过诱骗让访问者访问仿冒的网银或者电子商务网站,并进行登录、支付等操作,从而攻击者直接截取到相关的个人信息。在多家商业银行的网银被“钓鱼”的案例中,几乎都采用这两种攻击手法,攻击者直接获取到用户账户和密码信息。
(4)域名仿冒型。域名仿冒的“钓鱼”攻击是比较常见的“钓鱼”攻击行为,也是很早出现的“钓鱼”攻击形式之一。这种攻击的特点是在网站的域名上做文章,利用用户对域名的“不了解”或“想当然”的心态来骗取用户的信任,从而使得“钓鱼”攻击成功。这样,用户很容易因为域名的相似而轻易相信此网站为合法的官方网站而被“钓鱼”攻击。
2)由站点漏洞触发进行的“钓鱼”攻击
(1)利用网站自身漏洞进行“钓鱼”攻击。攻击者可以利用跨网站脚本(XSS)漏洞以及各种劫持攻击相结合进行“钓鱼”攻击,攻击者可以窃取域名Cookie、篡改页面内容、突破浏览器的安全级别限制、网页挂马等。攻击者还可以利用特定漏洞进行页面重定向,当普通用户单击攻击者精心构造的看似合法的链接时,浏览器立即自动跳转到“钓鱼”网站。
(2)利用站点应用的第三方网站内容的漏洞进行“钓鱼”攻击。这里所说的“利用第三方网站内容的漏洞”进行的“钓鱼”攻击是指可信任网站引用其他第三方网站的页面等作为自身业务的一部分的情况,而导致发生“钓鱼”行为的网络攻击。例如,很多综合性网站使用视频网站的在线视频,公司的企业网站使用第三方的客服系统等。如果这些被引用的服务存在“钓鱼”攻击的可能,那么,引用这些服务的网站同样会遭受到“钓鱼”攻击。
(3)利用数据传输过程的漏洞进行“钓鱼”攻击。这种“钓鱼”攻击手法是采用浏览者在访问正常站点进行数据传输的过程中进行数据劫持而指向“钓鱼”网站,该种方式隐蔽性强,浏览者难以发现。这类钓鱼攻击最具代表性的就是利用DNS缓存中毒的漏洞,攻击者攻击存在该漏洞的DNS服务器,更改服务器中IP地址和URL的对应关系,将目标网站的URL定位到钓鱼网站上,钓鱼攻击就这样“不知不觉”地发生了。
(4)利用访问者客户端的漏洞进行“钓鱼”攻击。这种钓鱼攻击是攻击者直接利用客户端的漏洞,直接欺骗客户访问钓鱼网站进行的攻击,如利用浏览器漏洞、第三方应用漏洞以及操作系统漏洞等。
4.“钓鱼”攻击的防范
为了有效地应对“钓鱼”攻击,应该全面评估“钓鱼”攻击可能利用的各种弱点,以及相关产业链条各个环节可能带来的影响,基于“事前-事中-事后”循环改进的防护思路建立一个多层面、立体的反“钓鱼”体系。具体步骤如下:
(1)事前及时进行预警,及时找到被“钓鱼”攻击利用的弱点,第一时间启动紧急预案,做出响应,确保预警工作的完备性。具体可以从业务安全风险评估、业务环境脆弱性评估和异常交易检测与风险警示等方面进行分析。
(2)事中主动进行防御。包括及时关停“钓鱼”网站或在客户端及时阻断钓鱼威胁。
(3)事后进行整改和教育,尽可能地减少同类事件发生的概率。可以组织专项整改行动,并组织多样化的安全意识教育等。