引言
欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上,这种行为一般以社交工程的方式进行。在二十世纪九十年代,随着互联网所连接的主机系统和用户量的飞速增长,攻击者开始将这个过程自动化,从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。( Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ) Gordon 和 Chess 研究针对 AOL (美国在线)的恶意软件,但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式,而欺骗手段一般是假冒成确实需要这些信息的可信方。 Gordon 和 Chess 描述的一个钓鱼信件如下所示:
Sector 4G 9E of our data base has lost all I/O functions. When your account
logged onto our system, we were temporarily able to verify it as a
registered user. Approximately 94 seconds ago, your verification was made
void by loss of data in the Sector 4G 9E. Now, due to AOL verification
protocol, it is mandatory for us to re-verify you. Please click 'Respond' and
re-state your password. Failure to comply will result in immediate account
deletion.
工具和策略
网络钓鱼攻击一般仅利用一些简单的工具和技术来欺骗无戒备心的用户。支撑一次网络钓鱼攻击的底层基础设施可以是最基本的简单地拷贝一个 HTML 页面,上传到一个刚刚攻陷的网站服务器,以及一个服务器端的用来处理用户输入数据的脚本,也可能涉及更为复杂的网站及内容重定向,但他们的底层目标是一致的——架设一个假冒可信机构的网站,并部署一些必需的后台脚本处理用户的输入数据并让攻击者获取。使用最新的 HTML 编辑工具可以非常容易地构建出模仿目标组织机构的网站,同时如果攻击者不介意扫描互联网 IP 地址空间以寻找潜在的有漏洞的主机,缺乏有效的安全防护的网站服务器也能够非常容易地找到并被攻陷。一旦被攻陷,即使是家庭用的 PC 主机都可以作为钓鱼网站的宿主主机,所以钓鱼者的攻击目标不仅仅是知名的企业和学院里的系统。攻击者经常不分青红皂白地去选择他们的目标主机,而仅仅是在一个大的 IP 地址空间中随机地扫描,寻找可被利用的特定的安全漏洞。
一旦钓鱼者建立起一个模仿可信机构的真实且能够让人信以为真的假冒网站后,对他们的重要挑战是如何将用户从一个合法的网站转移到访问他们所架设的假冒网站。除非钓鱼者有能力去改变目标网站的 DNS 解析(称为 DNS 中毒攻击 )或采取其他方式对网络流量进行重定向(称为 pharming 的一种技术),他们必须依赖某种形式的内容上的欺骗技巧,去引诱不幸的用户去访问假冒的网站。欺骗技巧的质量越高,他们所撒的渔网就越宽,一个无知的用户错误地访问这个假冒网站(并提供给钓鱼者他的机密信息和私人数据)的机会就越大。
在指向假冒网站的链接中使用 IP 地址代替域名。一些无戒备心的用户将不会检查(或不知道如何检查)这个 IP 地址是否来自假冒网站页面上所声称的目标机构。
注册发音相近或形似的 DNS 域名(如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ),并在上面架设假冒网站,期望用户不会发现他们之间的差异。
在一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站的链接,从而使得用户的网站浏览器的大多数 HTTP 连接是指向真实的目标网站,而仅有少数的关键连接(如提交敏感信息的页面)指向假冒的网站。如果用户的电子邮件客户端软件支持 HTML 内容的自动获取,那会在电子邮件被读取的时候自动地连接假冒网站,手动地浏览也不会在大量与真实网站的正常网络活动中注意到少量与恶意服务器的连接。
对假冒网站的 URL 进行编码和混淆,很多用户不会注意到或者理解 URL 链接被做过什么处理,并会假设它是良性的。 IDN 欺骗技术( IDN spoofing )就是这样的一种技术,它使用 Unicode 编码的 URL 在浏览器的地址栏里呈现的看起来像是真实的网站地址,但实际上却指向一个完全不同的地址。
企图攻击用户网页浏览器存在的漏洞,使之隐藏消息内容的实质。微软的 IE 和 Outlook 都被发现过存在可以被这种技术攻击的漏洞(如 地址栏假冒 和 IFrame element 漏洞 )。
将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志,然后将用户重定向到真实的网站。这将导致一个“口令错误,请重试”错误,或甚至完全透明,但在每种情况下,大部分用户都不会发觉,更相信是自己的错误输入,而不会想到是由于恶意第三方的干涉。
架设一个假冒网站,作为目标机构真实网站的代理,并偷摸地记录未使用 SSL 加密保护的口令信息(或甚至为假冒的域名注册一个有效的 SSL 证书从而对 SSL 加密保护的口令信息进行记录)。
首先通过恶意软件在受害者的 PC 上首先安装一个恶意的浏览器助手工具( Browser Helper Object ),然后由其将受害者重定向到假冒的钓鱼网站。 BHO 是一些设计用于定制和控制 IE 浏览器的 DLL ,如果成功,受害者将会被欺骗,相信他们正在访问合法的网站内容,然而实际上却在访问一个假冒的钓鱼网站。
使用恶意软件去修改受害者 PC 上的用来维护本地 DNS 域名和 IP 地址映射的 hosts 文件,这将使得他们的网页浏览器在连接架设假冒钓鱼网站的服务器时,却让用户看起来像是访问目标机构的合法网站。
由于很多电子商务或在线银行应用的复杂性,他们的网站经常使用 HTML 框架结构或其他复杂的页面结构架设,这也可能使得一个终端用户很难判断一个特定的网页是否合法。上述列举的这些技术的组合使用可以隐藏一个精心设计的网页的真实来源,也使得一个无戒备心的用户很可能被引诱去访问钓鱼者的假冒网站,不知不觉地泄漏他们的认证口令信息和所需要的数字身份信息,从而成为一次成功的网络钓鱼攻击的又一个受害者。
从对两个案例中钓鱼者的键击记录(使用 Sebek 捕获)的观察发现,攻击者在连接到已存在的后满后,立即开始工作,部署他们的钓鱼网站。这些攻击者的动作显示他们对服务器的环境非常熟悉,这也说明他们是前期攻陷这些蜜罐的组织中的成员,而且钓鱼攻击的整个企图也是非常明显且具有组织性的。从上传的网站内容经常指向其他的网站服务器和 IP 地址看来,很可能这些活动同时在多台服务器上同时在进行中。
我们对连入被攻陷的蜜罐请求假冒在线银行内容的 HTTP 请求连接的源 IP 地址数量和范围感到震惊。下面的图给出了在蜜罐从网络中断开前从各个 IP 地址访问钓鱼网站的 HTTP 请求的数目(包括每个 IP 单独计算和全部的 HTTP 请求)。
访问英国蜜网项目组部署蜜罐上的钓鱼网站内容的源 IP 地址的顶层 DNS 域名、国家和主机操作系统的列表见此页面。要注意的是,在蜜罐被离线进行取证分析之前,尽管访问钓鱼网站的网页流量到达英国蜜网项目组部署的蜜罐,但并没有针对处理用户数据处理的 PHP 脚本的 HTTP POST 请求,因此在此次网络钓鱼攻击中,没有任何用户的信息被钓鱼者和我们获得。在本文提及的所有案例中,我们或是直接通报了目标机构关于攻击案例和任何相关的他们所需的相关数据,或是向当地的计算机应急响应组通报了所有相关的恶意行为。在所有案例中,没有任何受害者的私人信息被蜜网项目组和蜜网研究联盟的成员所捕获。
Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia . We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe .
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
Wir, europ?ische Personen findend, die Bankleitungen
davon Senden/erhalten k?nnen unsere Verk?ufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
übertragungen in Russland nicht zu bezahlen. Wir
erh?lt das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze T?tigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.
另外,我们期望能够对对付和阻止这些网络钓鱼攻击的潜在方法进行深入研究。因为从一个网络钓鱼攻击的开始到结束的时间周期可能只有几个小时或几天,同时攻击源也可能广泛地分布,所以这将是一个困难的任务。目前在此领域研究的工作(如 The AntiPhishing Group 和 PhishReport )关注于依靠终端用户收集钓鱼邮件。虽然这是个可行的途径,但它只能在网络钓鱼攻击生命周期的最后阶段进行发现。我们更需要一个自动化地对网络钓鱼攻击捕获和响应的机制。
需要在提高案例分析的自动化进行进一步的研究工作,特别是对在这些攻击过程中捕获数据的自动轮廓生成。自动的流量和 IP 地址抽取, DNS 反向查询和 IP 地址块拥有者查询,针对每个 IP 地址或每个域名的流量摘要,以及被动的操作系统指纹辨识等功能在分析大规模的数据集时是非常有用的,在分析一个本地的包括已知主机、攻击者、攻击特征、消息内容等的取证数据库也是同样关键。在一个长期的规划中,需要建立共享这些信息的统一标准,以及一个全球的取证分析数据库从而支持对分布式的黑客活动进行分析,这也将是对整个互联网社区所高度需要和有显著意义的。
我们的研究同时显示网络钓鱼攻击正在变得越来越普遍而且具有良好的组织性。我们已经观察到针对主要的几个在线组织机构的预先构建的钓鱼网站的归档,这使得钓鱼者可以在很短的时间内准备好进行钓鱼攻击,这也说明了背后隐藏着一个组织良好的钓鱼攻击团体。这些钓鱼内容可以通过利用端口重定向器或僵尸网络快速地进一步扩散。与批量扫描的证据和钓鱼网站内容中手动形式加入的 IP 地址,我们可以相信在一个时刻会有多个特定钓鱼网站的实例同时存在,在上传的钓鱼网站构建完成之前,到达这个刚被攻陷的服务器的网页浏览流量就已经被发现,而且在某个被攻陷主机上发出的钓鱼垃圾邮件也有可能并不是在引诱受害者访问发送邮件的这台主机,这些现象都说明有良好组织性的钓鱼团队在进行分布式和并行的钓鱼攻击。
我们的研究工作显示了垃圾邮件、僵尸网络和网络钓鱼攻击之间一个清晰的连接关系,以及利用中介来完成最后的隐蔽性资金转账。这些观察到的现象,结合大规模的批量漏洞扫描和两层拓扑结构的钓鱼网络,都证明了钓鱼者所带来的真实威胁,钓鱼活动的组织严密性,以及他们所使用的相当高级的攻击技术。随着钓鱼攻击的技术门槛进一步增高及潜在的回报进一步增加,在未来几年中,网络钓鱼攻击的技术很可能进一步地发展,并且网络钓鱼攻击的数量也将进一步增长。减少可被僵尸网络控制的有漏洞的 PC 机,抑制数量不断增多的垃圾邮件,防止有组织性的犯罪活动,并且教育互联网用户关注来自社交工程的潜在安全风险,所有这些都还充满了挑战。