2022年話題釣魚式攻擊深入剖析

本文格式為Word版，下載可任意編輯——2022年話題釣魚式攻擊深入剖析2022年熱門話題：釣魚式攻擊深入剖析

2022年以來，網(wǎng)絡(luò)騙子給網(wǎng)民們制造了不少麻煩，從中國金融安好網(wǎng)到瑞星防病毒網(wǎng)站，幾乎無一例外的提到了"釣魚式攻擊'這個(gè)鬧得沸沸揚(yáng)揚(yáng)的名詞。自2022年以來，"釣魚式攻擊'已經(jīng)給國內(nèi)用戶造成了很大的損失，或信用卡賬號(hào)被盜，或銀行賬戶上的存款不翼而飛，讓人防不勝防！

"釣魚式攻擊'的英文名Phishing來源于兩個(gè)詞，Phreaking+Fishing=Phishing，其中"Phreaking'的意思是找尋在電話系統(tǒng)內(nèi)漏洞，不付電話費(fèi)用；"Fishing'是使用魚餌吸引獵物，也就是通常所講的釣魚。古時(shí)，子牙垂釣于秦嶺腳下，其意全不在魚；如今，網(wǎng)絡(luò)飛速進(jìn)展，網(wǎng)絡(luò)釣魚者垂釣于網(wǎng)絡(luò)中，誘餌千百種，其行為目的很明確，就是以利為目的，盜取銀行的存款或其他機(jī)密信息。

那么，這些網(wǎng)絡(luò)騙局是如何設(shè)置的呢？作為網(wǎng)絡(luò)用戶，又該如何舉行有效的防范呢？本文將深入剖析其中的原理，并給出有效的防范方案。

一、用心營造的網(wǎng)絡(luò)騙局

為了揭穿這些騙局，更好的保證金融網(wǎng)絡(luò)的安好，我們首先來看看其中的一些典型原理。

1、南轅北轍：改寫URL

對于經(jīng)常上網(wǎng)的用戶來說，下面的地址理應(yīng)不目生：

例1

http://.XXXitem=q209354@./pub/mskb/Q209354.asp

例2

http://.XXX@./search?hi=zh-CNie=UTF-8oe=UTF-8q=aspIr=

在例1中，真正的主機(jī)是.，而".XXX'在這個(gè)URL中不過是個(gè)"掩耳盜鈴'的假用戶名，服務(wù)器會(huì)疏忽掉。例2中，".XXX'將被視為Google服務(wù)器上的一個(gè)用戶名，實(shí)際指向后面的頁面。假設(shè)這個(gè)地址是具有攻擊性或感染了病毒的網(wǎng)頁，后果可想而知。類似的坑騙手法在"釣魚式攻擊'中應(yīng)用的特別普遍。在釣魚式攻擊者制作的網(wǎng)頁中，還存在如下的地址坑騙：

（1）域名坑騙。結(jié)合上述十進(jìn)制IP地址，就可以通過如下的URL來制造更大的迷惑：.XXX＠3633633987/這個(gè)網(wǎng)址就達(dá)成了以假亂真的地步，它實(shí)際指向Redhat網(wǎng)站，怎么，你還以為是.XXX嗎？由于好多的網(wǎng)站都把HTTP的ScssionID放在URL中，來代替Cookie使用，所以用戶并不會(huì)特別留意這個(gè)URL中的數(shù)字值和"＠'字符。

（2）IP地址坑騙。主要是利用一串十進(jìn)制格式，通過不知所云的數(shù)字麻痹用戶，例如IP地址5，將這個(gè)IP地址換算成十進(jìn)制后就是3395991883，Ping這個(gè)數(shù)字后，我們會(huì)察覺，儼然可以Ping通，這就是十進(jìn)制IP地址的解析，它們是等價(jià)的。

（3）鏈接文字坑騙。我們知道，鏈接文字本身并不要求與實(shí)際網(wǎng)址一致，那么你可不能只看鏈接的文字，而理應(yīng)多留神一下欣賞器狀態(tài)欄的實(shí)際網(wǎng)址了。假設(shè)該網(wǎng)頁屏蔽了在狀態(tài)欄提示的實(shí)際網(wǎng)址，你還可以在鏈接上按右鍵，查看鏈接的"屬性'。

（4）Unicode編碼坑騙。Unicode編碼有安好性的漏洞，這種編碼本身也給識(shí)別網(wǎng)址

帶來了不便，面對"％20％30'這樣的天書，很少有人能看出它真正的內(nèi)容。除了Unicode編碼外，以上提到的幾種坑騙手段都是可以覺察的，再察覺可疑網(wǎng)址時(shí)，用戶就可以用學(xué)到的這些學(xué)識(shí)先"過濾'一番了。

2、攻心戰(zhàn)術(shù)：社會(huì)工程學(xué)坑騙

純熟的社會(huì)工程學(xué)使用者都擅出息行信息收集，好多外觀上看起來一點(diǎn)用都沒有的信息都會(huì)被這些人利用起來舉行滲透。類似的社會(huì)工程學(xué)原理被釣魚式攻擊者高明的用在了垃圾郵件的傳遞中。初次看到accounts@這個(gè)地址，Citibank的顧客斷定不會(huì)有什么質(zhì)疑。然后就是等"魚'上鉤了。暫且不問信的來路，這是一個(gè)做得很好的社會(huì)工程學(xué)騙局。發(fā)送者通過合法的偽裝來騙取受害者的信任。

騙局是這樣的："愛戴的**用戶，我們留神到您的賬戶信息已經(jīng)過期了，現(xiàn)在需要更新賬戶信息，假設(shè)不實(shí)時(shí)更改將會(huì)導(dǎo)致賬戶信息失效'。我們留神到，在郵件的醒目之處有一行信息："Pleaseclickheretoupdateyourbillingrecords'，即"請點(diǎn)擊此處更新你的收費(fèi)記錄'。

看上去的地址是http://./，實(shí)際上銀行地址是http://./。

大家注意到，這個(gè)網(wǎng)絡(luò)釣魚攻擊者使用的是http://./，乍一眼看上去很親切，實(shí)際上是仿冒了銀行地址。在愉悅的"沖浪'時(shí)刻，當(dāng)用戶看到比真實(shí)的頁面還要生動(dòng)的假冒頁面時(shí)，可能就會(huì)放松機(jī)警性，甚至還會(huì)有一種親切感。下面是一個(gè)2022年4月7日公布的一個(gè)典型的坑騙郵件。如圖1所示。

圖1

用戶輸入數(shù)據(jù)后，還可以通過高明的Javascript腳本來迷惑用戶。仿冒的站點(diǎn)供給了好多銀行的連接，這樣就給人以可信的感覺，實(shí)際上也是一種社會(huì)工程學(xué)的示意。用戶輸入賬號(hào)信息后，釣魚者可能就在后面竊喜了，由于，網(wǎng)站早已通過高明的腳本設(shè)計(jì)，使用戶相信自己的數(shù)據(jù)切實(shí)得到了更新。

下面是國內(nèi)發(fā)生的一起網(wǎng)絡(luò)釣魚式攻擊案例。某用戶收到一封電子郵件稱："最近我們察覺您的工商銀行賬號(hào)有奇怪活動(dòng)，為了保證您的賬戶安好，我行將于48小時(shí)內(nèi)凍結(jié)您的賬號(hào)，假設(shè)您夢想持續(xù)使用，請點(diǎn)擊輸入賬號(hào)和密碼激活'。郵件落款為：中國工商銀行客戶服務(wù)中心。肆意輸了一個(gè)賬號(hào)和密碼，竟顯示激活告成。假工商銀行的網(wǎng)站http://.1網(wǎng)站和真正的工行網(wǎng)站http://.I，只有"1'和"I'一字之差。如圖2所示。

圖2

隨著騙術(shù)的不斷"修煉'，有的釣魚攻擊者甚至開頭仿冒IE地址欄，通過一個(gè)其他的連接，即使我們開啟的網(wǎng)頁切實(shí)是http://.I這個(gè)地址，我們也不能輕易斷定這就是工商銀行的網(wǎng)站，為什么呢？

3、MSN上空的"幽靈'：彈出窗口和偽造表單

MSNMessenger是微軟公司推出的即時(shí)消息軟件，平臺(tái)無縫結(jié)合加上其優(yōu)秀的性能，使MSNMessenger擁有了大量的用戶群。假設(shè)我們擁有hotmail或者M(jìn)SN的郵件賬號(hào)，可直接登錄MSNMessenger而無需再申請新的賬號(hào)了?？纯聪旅娴木W(wǎng)站技巧，假設(shè)點(diǎn)擊郵件中的鏈接，就會(huì)被引誘到偽裝成MSN站點(diǎn)的假冒網(wǎng)站。假冒網(wǎng)站會(huì)顯示一個(gè)與MSN背景

類似的彈出窗口，而假冒網(wǎng)站的真實(shí)URL那么被暗藏起來。在它的上面是一個(gè)小窗口，看上去與背景天衣無縫的結(jié)合在一起。如圖3所示。

圖3

這個(gè)網(wǎng)頁騙局主要是使用彈出窗口，采用的是JavaScript的"window.createPopup()'方法。黑客使用Popup窗口的理由就是：支持跨窗口，顯示優(yōu)先級(jí)高。即使是WindowsXPSP2，一個(gè)網(wǎng)頁也允許展現(xiàn)一個(gè)由window.createPopup()建立的彈出窗口。因此就算是XPSP2環(huán)境也有可能被欺詐。代碼中，varmytime=setTimeout("popshow();',100);表示設(shè)置窗口停留的時(shí)間為100秒。彈出的窗口沒有地址欄，也沒有可疑的URL地址；而且與背景相連，很輕易給人造成一種錯(cuò)覺。用戶輸入相關(guān)數(shù)據(jù)后，網(wǎng)站就會(huì)提示如下界面，是真是假，我們就要睜大眼睛看領(lǐng)會(huì)了。

在用戶的實(shí)際防范中，雖然將活動(dòng)腳本設(shè)為無效，就不會(huì)開啟彈出窗口、可以防止上當(dāng)，但這樣會(huì)導(dǎo)致多數(shù)網(wǎng)站無法完整顯示畫面，或無法接收服務(wù)。類似的坑騙方法在好多頁面都曾展現(xiàn)過，對于一般用戶來說，確定要分清其來路。較實(shí)用的方法是在彈出的頁面上點(diǎn)擊右鍵，選擇"屬性'選項(xiàng)，就可以看到其真實(shí)地址。這樣的騙局大多以銀行、電子商務(wù)、重點(diǎn)企業(yè)用戶等站點(diǎn)為仿冒對象，而且方法也很簡樸，因而特別常見。

了解了上述原理，我們再來看看釣魚式攻擊者所用心制作的表單。當(dāng)這張表單的Submit按鈕被點(diǎn)擊后，用戶數(shù)據(jù)即可開頭傳輸?shù)街付ǖ姆?wù)器。Form的action屬性表示用戶提交表格時(shí)所要啟動(dòng)的相應(yīng)處理程序。METHOD屬性表示怎樣將數(shù)據(jù)傳送給WEB服務(wù)器，一種是GET方法（也是缺省方法），它將數(shù)據(jù)附加在URL信息上傳送給WEB服務(wù)器；另一種是POST方法，它將數(shù)據(jù)獨(dú)立成塊地傳送給WEB服務(wù)器。假設(shè)傳送數(shù)據(jù)量大的話，還可以用POST方法。為了加強(qiáng)真實(shí)性，大量釣魚式攻擊者常在欣賞器的狀態(tài)欄上顯示：".'，讓人真假難辨。假設(shè)將鼠標(biāo)移到HTML鏈接，狀態(tài)欄將顯示鏈接目標(biāo)的URL。

4、引羊入牢：典型賬戶陷阱分析

2022年4月7日，國際反釣魚組織公布了一個(gè)典型的案例，我們來分析一下其中的"布局'處境。首先，攻擊者發(fā)了一個(gè)坑騙的郵件，聲稱：按照年度籌劃，用戶的數(shù)據(jù)庫信息需要舉行例行更新，并給出了一個(gè)"Toupdateyouraccountaddress'連接地址。由于這封Email來自SebastianMareygrossness@，因此，一般人不會(huì)太質(zhì)疑。

不過，細(xì)心的用戶會(huì)察覺，外觀上地址是/，實(shí)際上地址是25，如圖4所示。很明顯，這個(gè)攻擊者對Comcast這個(gè)公司的用戶信息很感興趣，假設(shè)能夠得到這些機(jī)密信息，他就可以達(dá)成其不成告人的目的！

圖4

現(xiàn)在，不知情的用戶輸入了自己的"UserName'和"Password'，然后，通過表單機(jī)制，提交到了下一步?，F(xiàn)在的界面還只是一個(gè)例行公事，只是要用戶輸入姓名、城市、電話等一般信息。填寫完畢，攻擊者的廬山真面目就露出來了。他現(xiàn)在要用戶填寫的是信用卡信息和Pin密碼。實(shí)際上，在整個(gè)布局中，這也是釣魚式攻擊者最精心營造的地方。如圖5所示。

圖5

4、引羊入牢：典型賬戶陷阱分析

2022年4月7日，國際反釣魚組織公布了一個(gè)典型的案例，我們來分析一下其中的"布局'處境。首先，攻擊者發(fā)了一個(gè)坑騙的郵件，聲稱：按照年度籌劃，用戶的數(shù)據(jù)庫信息需要舉行例行更新，并給出了一個(gè)"Toupdateyouraccountaddress'連接地址。由于這封Email來自SebastianMareygrossness@，因此，一般人不會(huì)太質(zhì)疑。

不過，細(xì)心的用戶會(huì)察覺，外觀上地址是/，實(shí)際上地址是25，如圖4所示。很明顯，這個(gè)攻擊者對Comcast這個(gè)公司的用戶信息很感興趣，假設(shè)能夠得到這些機(jī)密信息，他就可以達(dá)成其不成告人的目的！

圖4

現(xiàn)在，不知情的用戶輸入了自己的"UserName'和"Password'，然后，通過表單機(jī)制，提交到了下一步?，F(xiàn)在的界面還只是一個(gè)例行公事，只是要用戶輸入姓名、城市、電話等一般信息。填寫完畢，攻擊者的廬山真面目就露出來了。他現(xiàn)在要用戶填寫的是信用卡信息和Pin密碼。實(shí)際上，在整個(gè)布局中，這也是釣魚式攻擊者最精心營造的地方。如圖5所示。

圖5

一旦獲得用戶的帳戶信息，攻擊者就會(huì)找個(gè)理由來坑騙用戶說"感謝！您的信息更新告成！'，讓用戶感覺很"心合意足'。下面就是他們所玩的一個(gè)把戲。如圖6所示。

圖6

這是對比常見的一種坑騙方式，有些攻擊者甚至編造公司信息和認(rèn)證標(biāo)志，其隱秘性更強(qiáng)。一般來說，默認(rèn)處境下我們所使用的HTTP協(xié)議是沒有任何加密措施的，如站點(diǎn)/。不過，現(xiàn)在全體的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的，惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容。SSL可以用于在線交易時(shí)養(yǎng)護(hù)信用卡號(hào)、股票交易明細(xì)、賬戶信息等。當(dāng)具有SSL功能的欣賞器與WEB服務(wù)器(Apache、IIS)通信時(shí)，它們利用數(shù)字證書確認(rèn)對方的身份。數(shù)字證書是由可相信的第三方發(fā)放的，并被用于生成公共密鑰。因此，采用了安好服務(wù)器證書的網(wǎng)站都會(huì)受SSL養(yǎng)護(hù)，其網(wǎng)頁地址都具有"https'前綴，而非標(biāo)準(zhǔn)的"http'前綴。概括的例子可以參考招商銀行的網(wǎng)上銀行群眾版地址：https://./script/hbyktlogin.htm，開啟這個(gè)頁面后，雙擊右下角的黃色小鎖就可以看到服務(wù)器的相關(guān)認(rèn)證信息。

但是，從目前釣魚式攻擊者的實(shí)踐來看，大多沒有這個(gè)標(biāo)志，即使有，也可能是仿冒的。這就進(jìn)一步揭穿了他們的把戲。下面，讓我們來看看這個(gè)攻擊者仿冒的花旗銀行的頁面吧。在IE地址欄上，有一個(gè)https地址，如圖7所示。

圖7

這個(gè)頁面