魚叉式網絡釣魚(Spear phishing)指一種源于亞洲與東歐只針對特定目標進行攻擊的網絡釣魚攻擊。
攻擊目標
由于魚叉式網絡釣魚鎖定之對象并非一般個人,而是特定公司、組織之成員,故受竊之資訊已非一般網絡釣魚所竊取之個人資料,而是其他高度敏感性資料,如知識產權及商業機密。
網絡釣魚是指誘導人們連接那些黑客已經鎖定的目標。這種攻擊方法的成功率很高,也非常常見。點擊鏈接、打開表格或者連接其他一些文件都會感染病毒。一次簡單的點擊相當于為攻擊者開啟了一扇電子門,這樣他就可以接觸到你的內部弱點了。因為你已經同意他進入,他能夠接觸弱點,然后挖掘信息和授權連接。
網釣技術
鏈接操控
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位于一封郵箱中的鏈接(和其連到的欺騙性網站)似乎屬于真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子里,http://www. 您的銀行。范例.com/,網址似乎將帶您到“您的銀行”網站的“示例”子網域;實際上這個網址指向了“示例”網站的“您的銀行”(即網釣)子網域。另一種常見的伎倆是使錨文本鏈接似乎是合法的,實際上鏈接導引到網釣攻擊站點。下面的鏈接示例:誠實,似乎將您導引到條目“誠實”,點進后實際上它將帶你到條目“謊言”。
另一種老方法是使用含有'@'符號的欺騙鏈接。原本這是用來作為一種包括用戶名和密碼(與標準對比)的自動登錄方式。例如,鏈接http://www.谷歌com@members.tripod.com/可能欺騙偶然訪問的網民,讓他認為這將打開www.google.com上的一個網頁,而它實際上導引瀏覽器指向members.tripod.com上的某頁,以用戶名www.google.com。該頁面會正常打開,不管給定的用戶名為何。這種網址在Internet Explorer中被禁用,而Mozilla Firefox與歐朋瀏覽器會顯示警告消息,并讓用戶選擇繼續到該站瀏覽或取消。
還有一個已發現的問題在網頁瀏覽器如何處理國際化域名(InternationalDomainNames,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。盡管人盡皆知該稱之為的IDN欺騙或者同形異義字攻擊的漏洞,網釣者冒著類似的風險利用信譽良好網站上的URL重定向服務來掩飾其惡意網址。
過濾器規避
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣郵箱中常用的文字。
網站偽造
一旦受害者訪問網釣網站,欺騙并沒有到此結束。一些網釣詐騙使用ECMAScript命令以改變地址欄。這由放一個合法網址的地址欄圖片以蓋住地址欄,或者關閉原來的地址欄并重開一個新的合法的URL達成。
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站腳本)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登錄,在這里從網絡地址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞于2006年曾被用來對付paypal。
還有一種由RSA信息安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的界面讓網釣者以令人信服地重制網站,并捕捉用戶進入假網站的登錄細節。
為了避免被反網釣技術掃描到網釣有關的文字,網釣者已經開始利用Flash構建網站。這些看起來很像真正的網站,但把文字隱藏在多媒體對象中。
電話網釣
并非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的消息告訴用戶撥打某支電話號碼以解決其銀行賬戶的問題。一旦電話號碼(網釣者擁有這支電話,并由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣(Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似于來自一個值得信賴的組織。
WIFI免費熱點網釣
網絡黑客在公共場所設置一個假Wi-Fi熱點,引人來連在線網,一旦用戶用個人計算機或手機,登錄了黑客設置的假Wi-Fi熱點,那么個人數據和所有隱私,都會因此落入黑客手中。你在網絡上的一舉一動,完全逃不出黑客的眼睛,更惡劣的黑客,還會在別人的計算機里安裝間諜軟件,如影隨形。
隱蔽重定向漏洞
2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的"隱蔽重定向漏洞"(英語:Covert Redirect)]。
攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。
黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站鏈接引誘用戶登錄釣魚網站,壹旦用戶訪問釣魚網站并成功登陸授權,黑客即可讀取其在網站上存儲的私密信息。
如何防范
黑客們是如何做到這些的?我們又應該如何保護自己呢?
美國工業控制系統網絡應急響應小組(ICS-CERT)注意到面向各種人群和工業控制系統部門的網絡釣魚行為。攻擊者希望能夠在目標設施中找到立足點,通常距離目標越近越好,當然任何立足點都可以發揮作用。對于有針對性的魚叉式網絡釣魚,沒有人能夠保證不受其引誘,比如:
■ 一名流程工程師收到一份來自自動化合作伙伴或者供應商的電子郵件通知;
■ 一名財務分析師收到帶有當前項目數據的電子郵件表格;
■ 一名經理收到一個關于競爭對手收購活動的網站鏈接。
攻擊者的目的是引誘受害人進入一個不能信任的網絡位置,典型的方法是讓他打開一份被感染的PDF文件、文檔文件、表格、Java應用或者網站。從內部受保護網絡向互聯網非置信區域的數據請求使得入侵者可以順利進入。
攻擊者通過使用像Linkedin和Facebook這樣的資源選擇受害者,了解他們的社會關系;工作和BBS網站則可以了解供應商關系、角色和職責;甚至他們還可以借助技術工具讀取位于公共網站上的授權文件,了解目標機構正在使用的Microsoft Office,Adobe Acrobat以及Java的版本和安全補丁等級。
其他可能會公開的信息資源和主題包括:
■公關和媒體發布;
■股票、收購和財務聲明;
■政府和工業會議;
■ 政府數據庫;
■國際或者政治事件;
■ 供應商的成功案例或者合同獎項;
■ 社交媒體網站;
■ 工作和BBS網站。
如果你發現自己已經被鎖定,保留住那封郵件,并同時密切關注自己的電子郵件和網絡活動。不要想當然地認為自己被鎖定是一個孤立事件——這很可能是一次范圍更大的活動的一部分。
參考資料 >