美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。
“邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄漏,其中包括了各种丑闻记录,这些记录让希拉里形象一落千丈。间接地导致了竞选的失利。
那么问题来了,原本处于绝密状态的邮件为啥会被公之于众?
没错,钓鱼邮件。这也多亏希拉里的一班猪队友,波斯得塔在错误的时间点开了错误的邮件。这封邮件大意就是说有人试图在乌克兰登录波斯得塔的Gmail账户,但没有成功,提示波斯得塔马上修改密码。在团队职员确认邮件后,波斯得塔点开了邮件,然后输入了密码,黑客通过此密码从他的邮箱下载了数万的电邮,将其交给维基解密,于是就出现了“邮件门”丑闻。
小小的钓鱼邮件就能对美国大选产生如此大的影响,足见,网络钓鱼的危害有多大。而随着互联网技术的高速发展、电子商务平台的大规模应用和推广、黑客攻击驱动力的变化,网络钓鱼出现了新的转变。作为一种主要基于互联网传播和实施的攻击,“钓鱼攻击”(PhishingAttack)正呈逐年上升之势,并且手段也在逐渐丰富、变化,网络钓鱼变得越来越难以对付。
1.2网络钓鱼?这是什么东西?网络钓鱼,从字面上理解就是通过网络来实行钓鱼的一种行为,这种做法类似姜太公钓鱼,愿者上钩。对于网络钓鱼,国际反钓鱼网站工作组APWG(Anti-PhishingWorkingGroup)给出的定义如下:
一种利用社会工程和技术欺骗,针对个人身份数据和金融帐号进行盗窃的犯罪机制。
1.3什么是社会工程攻击?提到社会工程不得不提一个人。相信对网络有较深入的玩家都知道凯文·米特尼克。他是黑客中的王者。在他身上体现了什么是真正的社会工程。他缔造了一个又一个神话。15岁侵入“北美空中防务指挥系统”的计算主机内。紧接着又侵入了“太平洋电话”公司,更改了数据库中的数据。这只是凯文·米特尼克辉煌历史中的一个小片段。他获得的成就仰仗的不仅是传统的系统入侵,更主要的是社会工程学。社会工程就是利用人的心理弱点(如人的本能反应、好奇心、信任、贪婪)、规章与制度的漏洞等进行诸如欺骗、伤害等手段,以期获得所需的信息(如计算机口令、银行帐号信息)。这类攻击在网络罪犯群体中备受青睐。
在过去,网络钓鱼仅仅只是简单的攻击,比如攻击者发送一条带有跳转信息的链接,然后引诱用户在自己的电脑上运行恶意代码。但现在,网络钓鱼已经大大的超出了以前的范畴,尽管概念没有变,但手法却变得异常复杂,有的钓鱼甚至是好几种技术结合在一起的,有的则颠覆了我们对钓鱼的传统看法。接下来,FB小编就带你绕地球一周,看看oAuth钓鱼、基于伪基站的短信钓鱼、邮件钓鱼、XSS钓鱼等一系列的钓鱼手法。由于钓鱼手法实在是名目繁多,小编就只选其中的一部分来做描述,也希望各位轻喷。
2.1颠覆传统思维的钓鱼——利用oAuth钓鱼在我们印象中,网络钓鱼的过程通常是黑客引诱用户输入账号密码,然后盗取你的数据。但利用oAuth钓鱼则颠覆了这一传统思维,并不需要你输入你的密码,而是通过对应用的授权,获取accessToken以API请求的方式获取所有的资源。更可怕的是,传统的防御手法对这个钓鱼一点用处也没有,什么双因子认证,SmartScreen,什么安全意识,在oAuth面前都是那么苍白无力,因为人家根本不用这些东西。
oAuth攻击大概分为以下几个部分:
1、创建一个应用Sappo
2、利用该应用创建一个申请授权的链接(SCOPE)
3、用户给应用Sappo授权后,获取AuthCode
4、利用AuthCode获取accessToken
5、使用accessToken以API请求的方式获取所有资源
这种手法是授权在Windows下进行的,浏览器也认定该请求是合法的请求,最重要的一点是整个过程没有让你输入账号密码(就算是输入了账号,也是用于登录合法网站的,与钓鱼网站并无关系),所以,我们根本不能辨别出这是一个钓鱼事件,就算是专业人士,也不一定能识别出来。
怎么办?从我们用户的角度来看,给应用授权的时候一定要十分小心,并且对给予应用授权的权限要仔细斟酌,特别是某些包含敏感数据的应用更加要慎重。还可以采取其他的手段来对应用进行限制,比如当用户从门户进来时,才可以进行解密然后浏览数据,而当API到来的时候,看到的数据都是加密的。
2.2伪基站策略之短信钓鱼(Smshing)不知道大家对伪基站熟悉不熟悉?现在的多数短信钓鱼都是建立在伪基站短信钓鱼的基础上进行的。伪基站顾名思义就是假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备,利用2G网络单向鉴权的漏洞,搜寻到一定半径范围内的手机卡信息,“劫持”用户的手机信号,模拟成任意手机号码向用户发送短信。
伪基站整体思路
举个栗子,某君某一天受到了伪基站钓鱼的攻击。话说某君在上班途中,收到了来自的通知短信,该短信是银行短信中心的积分兑换提醒。
图中的前两条短信是正常业务的,最后一条是才收到的。略微一看,没有什么不对。但仔细观察的话,你就会发现如下疑点:
1.地址略微不同,正常的应该是类似cmbt.北京治疗白癜风哪里医院好贵阳白癜风治疗中心