淺談網(wǎng)絡(luò)釣魚技術(shù)
理論基礎(chǔ)
網(wǎng)絡(luò)釣魚不僅是一種網(wǎng)絡(luò)攻擊技術(shù)同時也是一項最常見的社會工程技術(shù),網(wǎng)絡(luò)犯罪分子或網(wǎng)絡(luò)攻擊者通過嘗試偽裝為可信任個人或公司組織來進行發(fā)送信息,來獲取企業(yè)或私人的敏感信息(包括用戶名稱、密碼、手機號碼、銀行卡賬號密碼、個人郵箱信息等等)。通過欺騙偽裝形式來操縱收件人泄露敏感信息、下載惡意軟件或資金或資產(chǎn)錯誤的轉(zhuǎn)移到攻擊者指定的賬戶。
網(wǎng)絡(luò)釣魚可通過電子郵件、文本消息、語音電話和其他途徑實施攻擊。一般情況下,網(wǎng)絡(luò)釣魚會誘導(dǎo)目標人群單擊鏈接并輸入具有價值的信息,或者打開附件,旨在將惡意軟件下載到目標設(shè)備然后進行獲取對敏感數(shù)據(jù)的訪問權(quán)限(例如銀行帳號、信用卡號、PIN 碼或者用戶名和密碼等等)。當(dāng)網(wǎng)絡(luò)釣魚攻擊成功后,會導(dǎo)致身份盜用、信用卡欺詐、勒索軟件攻擊、數(shù)據(jù)泄露以及個人和企業(yè)的巨大經(jīng)濟損失。
基于網(wǎng)絡(luò)釣魚技術(shù),它主要進行會欺騙、施壓或操縱人們泄露私人或敏感信息, 網(wǎng)絡(luò)釣魚和其他社會工程策略的成功有賴于人為錯誤或好奇心或貪婪的心理, 網(wǎng)絡(luò)攻擊者通過用這些策略進行欺騙人,比直接侵入組織的計算機網(wǎng)絡(luò)更容易且成本更低。
網(wǎng)絡(luò)釣魚技術(shù)分類
網(wǎng)絡(luò)釣魚往往通過這幾個高頻行為進行交互實現(xiàn):1、訪問打開鏈接;2、下載文件;3、打開附件;4、在回復(fù)中加入敏感信息或兩步驗證代碼;5、郵件,電話,短信,語音。
網(wǎng)絡(luò)釣魚也會通過一些惡意軟件進行滲透,常見的釣魚惡意軟件有:鍵盤記錄器、病毒軟件、勒索軟件、蠕蟲、木馬。
電子郵件網(wǎng)絡(luò)釣魚攻擊是最常見、最多樣的網(wǎng)絡(luò)釣魚攻擊之一,并且也是最有效的方法之一。電子郵件網(wǎng)絡(luò)釣魚攻擊通常依賴于社會工程來誘導(dǎo)用戶點擊惡意鏈接或下載惡意軟件。
下面就進行對網(wǎng)絡(luò)釣魚常見技術(shù)進行做下分類:
1、電子郵件的欺騙性/克隆網(wǎng)絡(luò)釣魚法
它也被稱為傳統(tǒng)網(wǎng)絡(luò)釣魚,是網(wǎng)絡(luò)攻擊者和網(wǎng)絡(luò)犯罪分子用來欺騙企業(yè)員工和個人的最常見的網(wǎng)絡(luò)釣魚類型。網(wǎng)絡(luò)釣魚攻擊者通過冒充他人來獲取指定用戶關(guān)鍵信息或登錄信息憑據(jù)。冒充者也會偽裝成知名成功人士或某某企業(yè)的高管代表。
這種電子郵件欺騙的網(wǎng)絡(luò)釣魚的兩種表現(xiàn)形式:
網(wǎng)絡(luò)釣魚者在給受害者的電子郵件中聲稱自己是一家可靠且知名公司的高管,要求提供關(guān)鍵信息。
一封電子郵件會發(fā)送給潛在受害者,其中包含指向惡意站點的鏈接。網(wǎng)絡(luò)釣魚者操縱鏈接并等待受害者打開它。如果受害者落入輸入某些信息的陷阱,網(wǎng)絡(luò)釣魚者可以利用它。
2、電子郵件的魚叉式網(wǎng)絡(luò)釣魚法
這種針對個人的網(wǎng)絡(luò)釣魚攻擊被稱為“魚叉式網(wǎng)絡(luò)釣魚”。與應(yīng)用于隨機個人的傳統(tǒng)網(wǎng)絡(luò)釣魚技術(shù)不同,這種網(wǎng)絡(luò)釣魚攻擊它是計劃針對特定群體和特定企業(yè)和組織執(zhí)行。
網(wǎng)絡(luò)釣魚攻擊者將識別目標并通過各種可靠來源收集到有關(guān)受害者的所有信息。他們將使用惡作劇地址發(fā)送看起來像是朋友或同事發(fā)送的電子郵件。該電子郵件可能會要求立即進行銀行轉(zhuǎn)賬?;蛘呖赡芤筇峁╆P(guān)鍵細節(jié)以訪問敏感數(shù)據(jù)。
這種網(wǎng)絡(luò)釣魚技術(shù)令人驚訝的是發(fā)件人的真實性似乎就是真實的。這種網(wǎng)絡(luò)攻擊的計劃是這樣的,通常在受害者期待來自冒充源的電子郵件時執(zhí)行攻擊。
3、電子郵件的捕鯨網(wǎng)絡(luò)釣魚法
這種技術(shù)與魚叉式網(wǎng)絡(luò)釣魚技術(shù)非常相似,但是這種技術(shù)更優(yōu)于魚叉式釣魚。魚叉式網(wǎng)絡(luò)釣魚攻擊者可以針對層次結(jié)構(gòu)中企業(yè)的任何員工,但捕鯨式網(wǎng)絡(luò)釣魚者僅僅針對企業(yè)中的高級管理人員。通過冒充用于捕鯨攻擊以獲取關(guān)鍵敏感數(shù)據(jù)或金融交易數(shù)據(jù)。為避免公司的高級管理人員被這種先進的網(wǎng)絡(luò)釣魚技術(shù)所迷惑,需要通過進行對應(yīng)培訓(xùn)和意識計劃,了解捕鯨網(wǎng)絡(luò)釣魚法的流程和危害,以此降低受到這種模式釣魚的風(fēng)險。
網(wǎng)絡(luò)攻擊者通常使用以下技術(shù)來實現(xiàn)捕鯨攻擊:
1、從社交媒體平臺以及可用的上市公司信息或各種企業(yè)信息查詢平臺中提取信息;
2、部署 Rootkit、惡意軟件或病毒入侵網(wǎng)絡(luò);
3、實施來自組織上級機構(gòu)的電子郵件欺騙。
4、惡意軟件的釣魚法
這種通過借助惡意軟件方式,需要受害者下載或啟動運行具有傳染性惡意軟件。惡意軟件可以通過電子郵件發(fā)送、從網(wǎng)站下載或在易受攻擊的網(wǎng)絡(luò)中進行操縱。因此在網(wǎng)絡(luò)上下載軟件(很多軟件都被惡意修改過添加后門釣魚功能),建議在軟件官網(wǎng)或正規(guī)網(wǎng)站上下載,降低被釣魚的風(fēng)險。
這種網(wǎng)絡(luò)釣魚技術(shù)就是讓受害者下載惡意軟件:
1、感染數(shù)據(jù)文件并導(dǎo)致它們損壞;
2、發(fā)布勒索軟件;
3、竊取聯(lián)系人列表以發(fā)起更復(fù)雜的網(wǎng)絡(luò)釣魚活動;
4、啟用惡意應(yīng)用程序,例如鍵盤記錄器。
5、網(wǎng)絡(luò)域欺騙法
網(wǎng)絡(luò)釣魚者使用工具將流量重定向到虛假的網(wǎng)站,對于受害者來說,這些虛假網(wǎng)站看起來像是一個真實的網(wǎng)站。這種技術(shù)被稱為 網(wǎng)絡(luò)域欺騙。通常,網(wǎng)絡(luò)釣魚者攻擊網(wǎng)上銀行和電子商務(wù)網(wǎng)站作為容易的受害者。
域欺騙它是一種網(wǎng)絡(luò)攻擊,它可將網(wǎng)站的整個流量重定向至其他惡意網(wǎng)站。通過這種方式將正常的網(wǎng)站指向網(wǎng)絡(luò)釣魚者的網(wǎng)站,網(wǎng)絡(luò)攻擊者就可以輕松的竊取網(wǎng)站和用戶的敏感信息,并誘導(dǎo)用戶交出帳密或下載惡意軟件。
網(wǎng)絡(luò)域欺騙通常在以下情況下發(fā)生:
1、網(wǎng)絡(luò)釣魚者檢測域名服務(wù)器 (DNS) 軟件中的故障;
2、主機文件在目標系統(tǒng)上重新排列;
3、系統(tǒng)/網(wǎng)絡(luò)缺乏安全管理;
4、路由器和主機文件已成為 Pharming 感染的新寵。
如果事先采取措施,可以通過選擇可靠的DNS, 而不是自動建議的 DNS 來阻止路由器威脅,因為網(wǎng)絡(luò)釣魚者更有可能選擇管理員控制下的 DNS,而不是合法的 DNS。
6、電話短信社交釣魚法
受害者在短信或社交軟件中收到與網(wǎng)絡(luò)釣魚電子郵件類似的消息,其中包含要點擊的鏈接或要下載的附件。電話釣魚是一種更復(fù)雜、有時更有效的網(wǎng)絡(luò)釣魚方法,因為在電話的另一端有一個真實的人在說話。通過偽裝成為真實信息誘導(dǎo)受害者點擊,然后進行釣魚。
7、二維碼網(wǎng)絡(luò)釣魚
現(xiàn)在生活中,二維碼是非常常見的一個東西,并且任何人都可以在幾秒鐘內(nèi)創(chuàng)建屬于自己的二維碼,包括網(wǎng)絡(luò)釣魚者。他們可以快速地更改某些企業(yè)或個人二維碼的代碼。由于二維碼的URL是縮短的,因此在通過二維碼下載之前無法驗證該站點是否正確。
釣魚技術(shù)攻防
防止被網(wǎng)絡(luò)釣魚攻擊可以從這幾方面進行做些工作,安裝防毒軟件;網(wǎng)絡(luò)防火墻;網(wǎng)關(guān)電子郵件過濾器、網(wǎng)絡(luò)安全網(wǎng)關(guān);垃圾郵件過濾器;反網(wǎng)絡(luò)釣魚工具欄(安裝在網(wǎng)絡(luò)瀏覽器中)。
下面就針對網(wǎng)絡(luò)釣魚這些攻防點展開進行做些解析。
1、信息源的保護
不要隨意為他人提供個人信息或有關(guān)組織的信息,有不少企業(yè)信息泄露案例中是企業(yè)員工不小心將信息外發(fā),或?qū)⑿畔⑥D(zhuǎn)發(fā)給朋友,導(dǎo)致的信息泄露。
如若接到來電不明的電話、拜訪或電子郵件,且對方聲稱來自合法組織,請嘗試直接與公司或相關(guān)機構(gòu)核實其身份。
不要在電子郵件中透露個人或財務(wù)信息,也不要回復(fù)獲取此信息的電子郵件請求。這包括以下通過電子郵件發(fā)送的鏈接。
2、針對惡意軟件釣魚應(yīng)對
基于端點安全和網(wǎng)絡(luò)安全工具安裝使用(如防病毒、端點檢測和入侵檢測)進行對抗網(wǎng)絡(luò)釣魚(如DDoS、竊聽、中間件和緩沖區(qū)溢出攻擊)的攻擊,降低減少此類的部分流量。安全的做法是在主機中安裝殺毒軟件并及時升級病毒庫和操作系統(tǒng)補丁。
3、內(nèi)容過濾
由于企業(yè)員工或個人粗心或沒安全防護意識隨意瀏覽互聯(lián)網(wǎng),造成許多企業(yè)和個人主機成為網(wǎng)絡(luò)釣魚攻擊的犧牲品。Web過濾或內(nèi)容過濾策略可以幫助阻止訪問某些站點,從而顯著降低訪問風(fēng)險網(wǎng)站的可能性。
4、電子郵件客戶端特定保護
大多數(shù)電子郵件客戶端、Web瀏覽器和電子郵件提供商都提供默認或內(nèi)置的反網(wǎng)絡(luò)釣魚功能(例如,默認情況下阻止所有文件下載)。
5、多因素身份驗證
多因素身份認證MFA可以顯著減少某些類型的網(wǎng)絡(luò)釣魚攻擊。你的密碼可能會意外被盜用,但輔助身份驗證方法可以降低免遭進一步的攻擊。
不要輕易地把自己的隱私資料通過網(wǎng)絡(luò)傳輸,包括銀行卡號碼、身份證號、電子商務(wù)網(wǎng)站賬戶等資料,不要通過QQ 、微信 、Email 等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。
6、風(fēng)險預(yù)警
根據(jù)URL的來源建議、阻止或允許內(nèi)容進行預(yù)警,黑名單服務(wù)將阻止來自已知惡意域的電子郵件;白名單服務(wù)將只允許來自先前驗證或授權(quán)域的內(nèi)容;灰名單服務(wù)將首先拒絕電子郵件,稍后通過服務(wù)器請求副本來進一步確認當(dāng)時無法識別的電子郵件地址的合法性。
在檢查網(wǎng)站的安全性之前,不要直接通過Internet 發(fā)送敏感信息。注意網(wǎng)站的統(tǒng)一資源定位符(URL)。查找以https開頭的URL(表明網(wǎng)站是相對安全的),而不是http開頭的(相對不安全),尋找關(guān)閉的掛鎖圖標,信息將被加密的標志。
7、密碼管理器
密碼管理器可以讓用戶輕松地跨多個站點存儲長而復(fù)雜的密碼,而無需依賴自己的記憶。它可以顯著降低了密碼重復(fù)使用和單個密碼泄漏的風(fēng)險。
8、基于全球網(wǎng)絡(luò)釣魚防護標準
諸如發(fā)件人策略框架(SPF)、域密鑰識別郵件(DKIM)、基于域名的消息身份驗證、報告和一致性(DMARC)等網(wǎng)絡(luò)釣魚標準有助于保護域免受欺騙。啟用這些后,接收者可以驗證聲稱來自特定域的電子郵件的真實性。
當(dāng)已打開了惡意鏈接,可以參考以下步驟降低減少風(fēng)險和損失:
1、斷開你的設(shè)備與互聯(lián)網(wǎng)及其鏈接到的任何網(wǎng)絡(luò)的連接。這將降低惡意軟件在你的系統(tǒng)中傳播的風(fēng)險;
2、使用防病毒軟件對系統(tǒng)進行全面掃描。這可以離線完成,因此請忽略任何告訴你連接到互聯(lián)網(wǎng)的彈出窗口。如果你發(fā)現(xiàn)任何惡意軟件,請按照軟件說明如何隔離或刪除惡意文件;
3、更改個人的詳細敏感信息。通常,網(wǎng)絡(luò)釣魚電子郵件用于竊取密碼和銀行詳細信息等個人信息。
4、如果你認為你個人敏感信息存在風(fēng)險,可以到銀行進行驗證確認詳細信息,以便他們監(jiān)控任何可疑活動。
作者:小道安全
歡迎關(guān)注微信公眾號 :小道安全