浅谈网络钓鱼技术
理论基础
网络钓鱼不仅是一种网络攻击技术同时也是一项最常见的社会工程技术,网络犯罪分子或网络攻击者通过尝试伪装为可信任个人或公司组织来进行发送信息,来获取企业或私人的敏感信息(包括用户名称、密码、手机号码、银行卡账号密码、个人邮箱信息等等)。通过欺骗伪装形式来操纵收件人泄露敏感信息、下载恶意软件或资金或资产错误的转移到攻击者指定的账户。
网络钓鱼可通过电子邮件、文本消息、语音电话和其他途径实施攻击。一般情况下,网络钓鱼会诱导目标人群单击链接并输入具有价值的信息,或者打开附件,旨在将恶意软件下载到目标设备然后进行获取对敏感数据的访问权限(例如银行帐号、信用卡号、PIN 码或者用户名和密码等等)。当网络钓鱼攻击成功后,会导致身份盗用、信用卡欺诈、勒索软件攻击、数据泄露以及个人和企业的巨大经济损失。
基于网络钓鱼技术,它主要进行会欺骗、施压或操纵人们泄露私人或敏感信息, 网络钓鱼和其他社会工程策略的成功有赖于人为错误或好奇心或贪婪的心理, 网络攻击者通过用这些策略进行欺骗人,比直接侵入组织的计算机网络更容易且成本更低。
网络钓鱼技术分类
网络钓鱼往往通过这几个高频行为进行交互实现:1、访问打开链接;2、下载文件;3、打开附件;4、在回复中加入敏感信息或两步验证代码;5、邮件,电话,短信,语音。
网络钓鱼也会通过一些恶意软件进行渗透,常见的钓鱼恶意软件有:键盘记录器、病毒软件、勒索软件、蠕虫、木马。
电子邮件网络钓鱼攻击是最常见、最多样的网络钓鱼攻击之一,并且也是最有效的方法之一。电子邮件网络钓鱼攻击通常依赖于社会工程来诱导用户点击恶意链接或下载恶意软件。
下面就进行对网络钓鱼常见技术进行做下分类:
1、电子邮件的欺骗性/克隆网络钓鱼法
它也被称为传统网络钓鱼,是网络攻击者和网络犯罪分子用来欺骗企业员工和个人的最常见的网络钓鱼类型。网络钓鱼攻击者通过冒充他人来获取指定用户关键信息或登录信息凭据。冒充者也会伪装成知名成功人士或某某企业的高管代表。
这种电子邮件欺骗的网络钓鱼的两种表现形式:
网络钓鱼者在给受害者的电子邮件中声称自己是一家可靠且知名公司的高管,要求提供关键信息。
一封电子邮件会发送给潜在受害者,其中包含指向恶意站点的链接。网络钓鱼者操纵链接并等待受害者打开它。如果受害者落入输入某些信息的陷阱,网络钓鱼者可以利用它。
2、电子邮件的鱼叉式网络钓鱼法
这种针对个人的网络钓鱼攻击被称为“鱼叉式网络钓鱼”。与应用于随机个人的传统网络钓鱼技术不同,这种网络钓鱼攻击它是计划针对特定群体和特定企业和组织执行。
网络钓鱼攻击者将识别目标并通过各种可靠来源收集到有关受害者的所有信息。他们将使用恶作剧地址发送看起来像是朋友或同事发送的电子邮件。该电子邮件可能会要求立即进行银行转账。或者可能要求提供关键细节以访问敏感数据。
这种网络钓鱼技术令人惊讶的是发件人的真实性似乎就是真实的。这种网络攻击的计划是这样的,通常在受害者期待来自冒充源的电子邮件时执行攻击。
3、电子邮件的捕鲸网络钓鱼法
这种技术与鱼叉式网络钓鱼技术非常相似,但是这种技术更优于鱼叉式钓鱼。鱼叉式网络钓鱼攻击者可以针对层次结构中企业的任何员工,但捕鲸式网络钓鱼者仅仅针对企业中的高级管理人员。通过冒充用于捕鲸攻击以获取关键敏感数据或金融交易数据。为避免公司的高级管理人员被这种先进的网络钓鱼技术所迷惑,需要通过进行对应培训和意识计划,了解捕鲸网络钓鱼法的流程和危害,以此降低受到这种模式钓鱼的风险。
网络攻击者通常使用以下技术来实现捕鲸攻击:
1、从社交媒体平台以及可用的上市公司信息或各种企业信息查询平台中提取信息;
2、部署 Rootkit、恶意软件或病毒入侵网络;
3、实施来自组织上级机构的电子邮件欺骗。
4、恶意软件的钓鱼法
这种通过借助恶意软件方式,需要受害者下载或启动运行具有传染性恶意软件。恶意软件可以通过电子邮件发送、从网站下载或在易受攻击的网络中进行操纵。因此在网络上下载软件(很多软件都被恶意修改过添加后门钓鱼功能),建议在软件官网或正规网站上下载,降低被钓鱼的风险。
这种网络钓鱼技术就是让受害者下载恶意软件:
1、感染数据文件并导致它们损坏;
2、发布勒索软件;
3、窃取联系人列表以发起更复杂的网络钓鱼活动;
4、启用恶意应用程序,例如键盘记录器。
5、网络域欺骗法
网络钓鱼者使用工具将流量重定向到虚假的网站,对于受害者来说,这些虚假网站看起来像是一个真实的网站。这种技术被称为 网络域欺骗。通常,网络钓鱼者攻击网上银行和电子商务网站作为容易的受害者。
域欺骗它是一种网络攻击,它可将网站的整个流量重定向至其他恶意网站。通过这种方式将正常的网站指向网络钓鱼者的网站,网络攻击者就可以轻松的窃取网站和用户的敏感信息,并诱导用户交出帐密或下载恶意软件。
网络域欺骗通常在以下情况下发生:
1、网络钓鱼者检测域名服务器 (DNS) 软件中的故障;
2、主机文件在目标系统上重新排列;
3、系统/网络缺乏安全管理;
4、路由器和主机文件已成为 Pharming 感染的新宠。
如果事先采取措施,可以通过选择可靠的DNS, 而不是自动建议的 DNS 来阻止路由器威胁,因为网络钓鱼者更有可能选择管理员控制下的 DNS,而不是合法的 DNS。
6、电话短信社交钓鱼法
受害者在短信或社交软件中收到与网络钓鱼电子邮件类似的消息,其中包含要点击的链接或要下载的附件。电话钓鱼是一种更复杂、有时更有效的网络钓鱼方法,因为在电话的另一端有一个真实的人在说话。通过伪装成为真实信息诱导受害者点击,然后进行钓鱼。
7、二维码网络钓鱼
现在生活中,二维码是非常常见的一个东西,并且任何人都可以在几秒钟内创建属于自己的二维码,包括网络钓鱼者。他们可以快速地更改某些企业或个人二维码的代码。由于二维码的URL是缩短的,因此在通过二维码下载之前无法验证该站点是否正确。
钓鱼技术攻防
防止被网络钓鱼攻击可以从这几方面进行做些工作,安装防毒软件;网络防火墙;网关电子邮件过滤器、网络安全网关;垃圾邮件过滤器;反网络钓鱼工具栏(安装在网络浏览器中)。
下面就针对网络钓鱼这些攻防点展开进行做些解析。
1、信息源的保护
不要随意为他人提供个人信息或有关组织的信息,有不少企业信息泄露案例中是企业员工不小心将信息外发,或将信息转发给朋友,导致的信息泄露。
如若接到来电不明的电话、拜访或电子邮件,且对方声称来自合法组织,请尝试直接与公司或相关机构核实其身份。
不要在电子邮件中透露个人或财务信息,也不要回复获取此信息的电子邮件请求。这包括以下通过电子邮件发送的链接。
2、针对恶意软件钓鱼应对
基于端点安全和网络安全工具安装使用(如防病毒、端点检测和入侵检测)进行对抗网络钓鱼(如DDoS、窃听、中间件和缓冲区溢出攻击)的攻击,降低减少此类的部分流量。安全的做法是在主机中安装杀毒软件并及时升级病毒库和操作系统补丁。
3、内容过滤
由于企业员工或个人粗心或没安全防护意识随意浏览互联网,造成许多企业和个人主机成为网络钓鱼攻击的牺牲品。Web过滤或内容过滤策略可以帮助阻止访问某些站点,从而显著降低访问风险网站的可能性。
4、电子邮件客户端特定保护
大多数电子邮件客户端、Web浏览器和电子邮件提供商都提供默认或内置的反网络钓鱼功能(例如,默认情况下阻止所有文件下载)。
5、多因素身份验证
多因素身份认证MFA可以显著减少某些类型的网络钓鱼攻击。你的密码可能会意外被盗用,但辅助身份验证方法可以降低免遭进一步的攻击。
不要轻易地把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料,不要通过QQ 、微信 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
6、风险预警
根据URL的来源建议、阻止或允许内容进行预警,黑名单服务将阻止来自已知恶意域的电子邮件;白名单服务将只允许来自先前验证或授权域的内容;灰名单服务将首先拒绝电子邮件,稍后通过服务器请求副本来进一步确认当时无法识别的电子邮件地址的合法性。
在检查网站的安全性之前,不要直接通过Internet 发送敏感信息。注意网站的统一资源定位符(URL)。查找以https开头的URL(表明网站是相对安全的),而不是http开头的(相对不安全),寻找关闭的挂锁图标,信息将被加密的标志。
7、密码管理器
密码管理器可以让用户轻松地跨多个站点存储长而复杂的密码,而无需依赖自己的记忆。它可以显著降低了密码重复使用和单个密码泄漏的风险。
8、基于全球网络钓鱼防护标准
诸如发件人策略框架(SPF)、域密钥识别邮件(DKIM)、基于域名的消息身份验证、报告和一致性(DMARC)等网络钓鱼标准有助于保护域免受欺骗。启用这些后,接收者可以验证声称来自特定域的电子邮件的真实性。
当已打开了恶意链接,可以参考以下步骤降低减少风险和损失:
1、断开你的设备与互联网及其链接到的任何网络的连接。这将降低恶意软件在你的系统中传播的风险;
2、使用防病毒软件对系统进行全面扫描。这可以离线完成,因此请忽略任何告诉你连接到互联网的弹出窗口。如果你发现任何恶意软件,请按照软件说明如何隔离或删除恶意文件;
3、更改个人的详细敏感信息。通常,网络钓鱼电子邮件用于窃取密码和银行详细信息等个人信息。
4、如果你认为你个人敏感信息存在风险,可以到银行进行验证确认详细信息,以便他们监控任何可疑活动。
作者:小道安全
欢迎关注微信公众号 :小道安全