网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于德国蜜网项目组和英国蜜网项目组所搜集到的攻击数据给出网络钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的网络钓鱼攻击案例,但不会覆盖所有可能存在的网络钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展,目前也应该有(本文未提及的)新的网络钓鱼技术已经在开发中,甚至使用中。
在给出一个简要的引言和背景介绍后,我们将回顾钓鱼者实际使用的技术和工具,给出使用蜜网技术捕获真实世界中的网络钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述,包括系统入侵、钓鱼网站架设、消息传播和数据收集等阶段。随后,将对其中普遍应用的技术及网络钓鱼、垃圾邮件和僵尸网络等技术进行融合的趋势给出分析。钓鱼者使用恶意软件进行自动化地 Email 地址收集和垃圾邮件发送的案例也将被回顾,同时我们也将展示我们在网络扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后,我们对本文给出结论,包括我们在最近 6 个月内获得的经验,以及我们建议的进一步研究的客体。
这篇文章包括了丰富的支持性信息,提供了包含特定的网络钓鱼攻击案例更详细数据的链接。最后声明一下,在研究过程中,我们没有收集任何机密性的个人数据。在一些案例中,我们与被涉及网络钓鱼攻击的组织进行了直接联系,或者将这些攻击相关的数据转交给当地的应急响应组织。
引言
欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上,这种行为一般以社交工程的方式进行。在二十世纪九十年代,随着互联网所连接的主机系统和用户量的飞速增长,攻击者开始将这个过程自动化,从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。( Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ) Gordon 和 Chess 研究针对 AOL (美国在线)的恶意软件,但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (passWord harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式,而欺骗手段一般是假冒成确实需要这些信息的可信方。 Gordon 和 Chess 描述的一个钓鱼信件如下所示:
Sector 4G 9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made void by loss of data in the Sector 4G 9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click 'Respond' and re-state your password. Failure to comply will result in immediate account deletion.
早期的网络钓鱼攻击主要目的是获得受害者的 AOL 账号的访问权,偶尔也期望获取信用卡数据以用于欺诈目的 ( 如非法买卖这些信息 ) 。这些钓鱼的信件通常包含一个简单的诡计从而哄骗一些“菜鸟”用户,这些欺骗手段很大程度依赖于受害者对“自动化的”系统功能或权威机构的(表面)轮廓的先天性信任,前面的例子中给出一个硬件设备故障或数据库毁坏的情节,大部分的普通用户将会重视任何看起来正式的、或看起来向是为他们提供帮助的紧急的技术上的要求,用户通常会被催促尽快输入其敏感信息从而避免严重后果,如“ … 重新输入你的口令,如未及时输入则将导致直接删除账号”。为了避免可能潜在的严重的后果,受害者通常立即照做,从而不知不觉地将这些使用此社交工程手段的黑客所需要的敏感数据提供给了他们。事后的证据表明这些黑客都是单独行动,或是以一个小而简单的组织形式活动。一些文献也描述了早期的网络钓鱼者大多是一些期望获得更多账号数据去恶作剧及打长途电话的青少年,通常没有很强的组织性和蓄意性。
[1] [2]
现在,钓鱼者所首选的策略是通过大量散发诱骗邮件,冒充成一个可信的组织机构(通常是那些钓鱼者所期望的已经被受害者所信任的机构),去引诱尽可能多的终端用户。钓鱼者会发出一个让用户采取紧急动作的请求,而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害,这封欺骗性的电子邮件将会包含一个容易混淆的链接,指向一个假冒目标机构公开网站的远程网页。钓鱼者希望受害者能够被欺骗,从而向这个假的、但看起来是目标机构的“官方”网站的网页接口输入他们的机密信息。被钓鱼者所青睐的目标机构包括很多著名的银行,信用卡公司和涉及日常性支付行为的知名互联网商务网站(如 eBay 和 Paypal 等 )。大量针对互联网用户的钓鱼邮件的实例可以在反网络钓鱼工作组 ( Anti-Phishing Working Group )的网站上 的 钓鱼邮件归档 中 可以获得,其中许多邮件都显示了钓鱼者可以欺骗无知的用户相信他们正在访问一个合法的网页接口的极高精确性。
在这个简要介绍网络钓鱼概念的引言之后,我们将开始回顾在我们观察到的真实网络钓鱼攻击中所实际使用的技术和工具。如果你对网络钓鱼的更深入的背景知识感兴趣,我们为你准备了 具体的背景信息这个页面。
工具和策略
网络钓鱼攻击一般仅利用一些简单的工具和技术来欺骗无戒备心的用户。支撑一次网络钓鱼攻击的底层基础设施可以是最基本的简单地拷贝一个 Html 页面,上传到一个刚刚攻陷的网站服务器,以及一个服务器端的用来处理用户输入数据的脚本,也可能涉及更为复杂的网站及内容重定向,但他们的底层目标是一致的——架设一个假冒可信机构的网站,并部署一些必需的后台脚本处理用户的输入数据并让攻击者获取。使用最新的 HTML 编辑工具可以非常容易地构建出模仿目标组织机构的网站,同时如果攻击者不介意扫描互联网 IP 地址空间以寻找潜在的有漏洞的主机,缺乏有效的安全防护的网站服务器也能够非常容易地找到并被攻陷。一旦被攻陷,即使是家庭用的 PC 主机都可以作为钓鱼网站的宿主主机,所以钓鱼者的攻击目标不仅仅是知名的企业和学院里的系统。攻击者经常不分青红皂白地去选择他们的目标主机,而仅仅是在一个大的 IP 地址空间中随机地扫描,寻找可被利用的特定的安全漏洞。
一旦钓鱼者建立起一个模仿可信机构的真实且能够让人信以为真的假冒网站后,对他们的重要挑战是如何将用户从一个合法的网站转移到访问他们所架设的假冒网站。除非钓鱼者有能力去改变目标网站的 DNS 解析(称为 DNS 中毒攻击 )或采取其他方式对网络流量进行重定向(称为 pharming 的一种技术),他们必须依赖某种形式的内容上的欺骗技巧,去引诱不幸的用户去访问假冒的网站。欺骗技巧的质量越高,他们所撒的渔网就越宽,一个无知的用户错误地访问这个假冒网站(并提供给钓鱼者他的机密信息和私人数据)的机会就越大。
对攻击者不幸的是,当他们假冒一个组织结构(如一个银行或可信的商务网站),钓鱼者通常没有任何互联网上哪些用户属于他们的客户此类信息,也就不知道哪些用户最容易上钩。即使钓鱼者可以将指向假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上(如一个技术支持网站或网络社区谈论组),目标机构很可能比较迅速地被通知并做出反应,这个链接也会在很多受害者访问它所指向的内容并提交他们的个人信息前被清除。同时对钓鱼者也存在一个显著的风险,目标机构或法律执行部门可能会追踪并关闭这些假冒的网站。因此,钓鱼者需要一个方法,能够在尽量减少他们所承担的风险的同时,在短时间内欺骗尽可能多的潜在受害群体,他们找到了理想的犯罪搭档——垃圾邮件。
垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库,因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。垃圾邮件通常通过一些被攻陷的架设在境外主机上的邮件服务器,或是通过一个全球的傀儡主机网络 ( botnets ) 进行发送,因此邮件发送者被追踪的可能性将会很小。如果一个无戒备心的用户收到一封看起来像是由他们的银行所发来的,带有银行正式标志的电子邮件,要求他们访问一个看起来与银行官方网站一摸一样的网站并由于安全理由更改他们在线的银行口令,这比起那些介绍新奇产品并链接到未知网站的普通垃圾邮件来更可能使得用户上当。为了增加用户相信这个邮件是真实的可能性,钓鱼者会应用一些另外的技术来进一步提高他们所进行的诱捕手段的质量:
在指向假冒网站的链接中使用 IP 地址代替域名。一些无戒备心的用户将不会检查(或不知道如何检查)这个 IP 地址是否来自假冒网站页面上所声称的目标机构。
注册发音相近或形似的 DNS 域名(如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ),并在上面架设假冒网站,期望用户不会发现他们之间的差异。
在一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站的链接
(出处:http://www.sheup.com)
注册发音相近或形似的 DNS 域名(如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ),并在上面架设假冒网站,期望用户不会发现他们之间的差异。
在一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站的链接
(出处:http://www.sheup.com)