在當前的環(huán)境下，網(wǎng)絡(luò)釣魚已經(jīng)成為引發(fā)互聯(lián)網(wǎng)安全事件的重要原因。中培偉業(yè)《黑客攻防技術(shù)實戰(zhàn)》培訓(xùn)專家袁老師在這里就網(wǎng)絡(luò)電魚技術(shù)方面的發(fā)展進行了介紹。

AOL、盜版軟件與網(wǎng)絡(luò)釣魚的起源

社會工程技術(shù)一直就是犯罪教科書的一部分;最早的網(wǎng)絡(luò)釣魚案例，發(fā)生在20多年前。90年代初期，攻擊者將曾經(jīng)流行的AOL平臺鎖定為目標，使用即時消息誘騙用戶透露他們的口令。

這些攻擊者鎖定高價值目標的耗時不算太長，毫無戒備的受害者在“不驗證賬單信息就馬上刪除賬戶”的壓力之下，往往很快就什么都吐露了。進一步演化，犯罪團伙不僅能獲得受害者的AOL憑證，他們的銀行賬號和支付卡信息也不能幸免。

AOL強化了他們的反欺詐行動，實現(xiàn)新方法以主動刪除涉嫌網(wǎng)絡(luò)釣魚的賬戶。這是決定性的一擊，迫使攻擊者轉(zhuǎn)而搜索新的機會。

犯罪活動

網(wǎng)絡(luò)釣魚伴隨著粗制濫造的電子郵件進入主流，這些郵件滿是拼寫錯誤、低分辨率的圖片和設(shè)計問題，用戶很容易就能分辨出這些所謂的“跡象”。

同時，用戶也習(xí)慣于將拼寫錯誤等同于網(wǎng)絡(luò)釣魚，而將拼寫、語法和展示無錯的網(wǎng)站默認為合法的。還有另一個慣性思維是，“HTTPS==100%安全”——研究人員經(jīng)常發(fā)現(xiàn)有威脅活動使用 Let’s Encrypt 憑證(使用域名驗證SSL)來灌輸危險的錯誤安全感。

袁老師指出，當前點擊率最高的網(wǎng)絡(luò)釣魚活動涉及的話題，都是人們在日常工作中經(jīng)常遇到的那些，包括物流確認和HR文書。

有趣的是，雇員在打開以“快速致富”計劃、獎勵和競賽為噱頭的郵件時，反而更加謹慎。考慮到我們可以從這些報告中抽取的普世經(jīng)驗時，一個明顯的發(fā)現(xiàn)就是，網(wǎng)絡(luò)釣魚依然是各種攻擊的主催化劑。

魚叉式網(wǎng)絡(luò)釣魚

過去10年里最惡名昭彰的一些網(wǎng)絡(luò)犯罪，就拿零售連鎖店、大學(xué)和銀行來說吧，都是由某用戶打開了一封魚叉式網(wǎng)絡(luò)釣魚郵件引發(fā)的。傳統(tǒng)網(wǎng)絡(luò)釣魚采用廣撒網(wǎng)戰(zhàn)術(shù)，寄希望于中獎似的機會，魚叉式網(wǎng)絡(luò)釣魚則是高度針對性的。

由于魚叉式網(wǎng)絡(luò)釣魚郵件如此與眾不同，傳統(tǒng)信譽和垃圾郵件過濾往往檢測不出其中包含的惡意內(nèi)容。魚叉式網(wǎng)絡(luò)釣魚攻擊還能結(jié)合進發(fā)家偽造、多態(tài)URL和偷渡式下載來規(guī)避常規(guī)防護措施。

釣鯨和CEO詐騙

釣鯨，是用來描述專門針對單一高調(diào)商業(yè)目標的網(wǎng)絡(luò)釣魚攻擊的。CEO、部門主管和其他高管級員工，代表著公司的大魚。

釣鯨攻擊中，黑客發(fā)送的郵件都帶有精心制作的托辭——往往圍繞“緊急電匯”或金融交易編織而成。因此，釣鯨往往被等同于CEO詐騙和商業(yè)電子郵件入侵(BEC)騙局。

1. 社交媒體欺騙

網(wǎng)絡(luò)罪犯用與你真實客戶支持賬號相似的昵稱，創(chuàng)建極具可信度的虛假客戶服務(wù)賬號。然后，他們等待客戶向真實賬號求助。當你的客戶試圖聯(lián)系公司時，罪犯就會通過發(fā)自虛假支持頁面的虛假客戶支持鏈接來劫持對話。

這種別名為“安康魚”的網(wǎng)絡(luò)釣魚攻擊方法(注意別與Angler漏洞利用工具包搞混了)，因為客戶早已預(yù)期收到公司的回復(fù)，而成功率極高。在最近的《社交媒體品牌欺詐報告》中，Proofpoint發(fā)現(xiàn)，與10家全球品牌有關(guān)的社交媒體賬號中，近20%都是虛假的。

2. 勒索軟件和軟定位

研究人員指出，Locky繼續(xù)領(lǐng)跑最靈活勒索軟件變種家族，犯罪團伙不斷精煉其構(gòu)造和投放方式。軟定位和廣分布攻擊的使用也是關(guān)鍵;“軟定位”部署的網(wǎng)絡(luò)釣魚，介于釣鯨攻擊和大規(guī)模網(wǎng)絡(luò)釣魚郵件之間。

PhishMe的報告，給讀者留下了令人不安的結(jié)論：

對勒索軟件的快速意識和關(guān)注，迫使攻擊者轉(zhuǎn)移和迭代他們的戰(zhàn)術(shù)，無論攻擊載荷還是投放方式。這一持續(xù)的韌性顯示出，僅僅意識到網(wǎng)絡(luò)釣魚和威脅，是不夠的。

3. Dropbox和 Google Drive

基于云存儲服務(wù)的網(wǎng)絡(luò)釣魚活動，比如 Google Drive 和Dropbox，已經(jīng)存在好些年了。這些在形式上通常很傳統(tǒng)——用鏈接和暗示導(dǎo)引受害者到虛假登錄頁面。

最近就有人遇到過罪犯將圖像偽裝成Gmail里的PDF附件，但實際上就是個導(dǎo)引用戶到谷歌賬戶釣魚網(wǎng)站的鏈接。

最后，袁老師對關(guān)于如何保持安全提出了幾個建議：

1. 避免回復(fù)可疑郵件或與發(fā)送者產(chǎn)生聯(lián)系

2. 自己打開網(wǎng)站——不要點擊嵌入的鏈接或媒體

3. 警惕含有催促或威脅意味的托辭

4. 用帶外通信核實請求和信息

5. 檢查瀏覽器以確保反網(wǎng)絡(luò)釣魚服務(wù)是啟用的

6. 使用口令管理器;不要跨多個網(wǎng)站重用同樣的口令