网络钓鱼进化之路

如果你已经有了邮箱账号或社交媒体个人资料,很可能你已经遇到了某种类型的网络钓鱼。一句话解释,网络钓鱼就是通过社会工程偷盗个人信息的诈骗尝试:犯罪欺诈行为。

威瑞森最新的《数据泄露调查报告》指出:社会工程对目标用户的有效程度依然令人心惊,2016年超过30%的网络钓鱼消息都被打开了——2014年钓鱼消息打开比例仅为24%。甚至有专家称,没有任何一个地区、行业或公司可以躲过网络钓鱼。

进一步分析发现,凭证渗漏和交易秘密盗窃,依然是黑客的主要动机,而网络钓鱼的威胁正处于令人担心的上升过程。非营利组织“反网络钓鱼工作组(APWG)”的发现印证了该观点。APWG发现零售业是最常被锁定的目标,有记录的攻击就超过了40%。

AOL、盗版软件与网络钓鱼的起源

社会工程技术一直就是犯罪教科书的一部分;最早的网络钓鱼案例,发生在20多年前。90年代初期,攻击者将曾经流行的AOL平台锁定为目标,使用即时消息诱骗用户透露他们的口令。

这些攻击者锁定高价值目标的耗时不算太长,毫无戒备的受害者在“不验证账单信息就马上删除账户”的压力之下,往往很快就什么都吐露了。进一步演化,犯罪团伙不仅能获得受害者的AOL凭证,他们的银行账号和支付卡信息也不能幸免。

AOL强化了他们的反欺诈行动,实现新方法以主动删除涉嫌网络钓鱼的账户。这是决定性的一击,迫使攻击者转而搜索新的机会。

犯罪活动

网络钓鱼伴随着粗制滥造的电子邮件进入主流,这些邮件满是拼写错误、低分辨率的图片和设计问题,用户很容易就能分辨出这些所谓的“迹象”。

同时,用户也习惯于将拼写错误等同于网络钓鱼,而将拼写、语法和展示无错的网站默认为合法的。还有另一个惯性思维是,“HTTPS==100%安全”——研究人员经常发现有威胁活动使用 Let’s Encrypt 凭证(使用域名验证SSL)来灌输危险的错误安全感。

如果想了解网络钓鱼研究前沿,可以在推特上粉“恶意软件猎手团队”。该团队由@JAMESWT_MHT、@techhelplistcom和@demonslay335组成,发现并摧毁针对iCloud、PayPal和Facebook之类服务用户的恶意活动。

Wombat Security Technologies 在其开篇的《网络钓鱼状态》报告中提示了几点意见。该调查报告发布于2016年1月,发现点击率最高的网络钓鱼活动涉及的话题,都是人们在日常工作中经常遇到的那些,包括物流确认和HR文书。

有趣的是,雇员在打开以“快速致富”计划、奖励和竞赛为噱头的邮件时,反而更加谨慎。考虑到我们可以从这些报告中抽取的普世经验时,一个明显的发现就是,网络钓鱼依然是各种攻击的主催化剂。

鱼叉式网络钓鱼

过去10年里最恶名昭彰的一些网络犯罪,就拿零售连锁店、大学和银行来说吧,都是由某用户打开了一封鱼叉式网络钓鱼邮件引发的。传统网络钓鱼采用广撒网战术,寄希望于中奖似的机会,鱼叉式网络钓鱼则是高度针对性的。

技术研究公司 Vanson Bourne 将成功鱼叉式网络钓鱼攻击的平均经济影响定位在160万美元。利用收集到的信息和开源情报(OSINT)馈送,黑客为精选出来的一小部分雇员精心编制个性化的诱饵邮件。

由于鱼叉式网络钓鱼邮件如此与众不同,传统信誉和垃圾邮件过滤往往检测不出其中包含的恶意内容。鱼叉式网络钓鱼攻击还能结合进发家伪造、多态URL和偷渡式下载来规避常规防护措施。

钓鲸和CEO诈骗

钓鲸,是用来描述专门针对单一高调商业目标的网络钓鱼攻击的。CEO、部门主管和其他高管级员工,代表着公司的大鱼。

钓鲸攻击中,黑客发送的邮件都带有精心制作的托辞——往往围绕“紧急电汇”或金融交易编织而成。因此,钓鲸往往被等同于CEO诈骗和商业电子邮件入侵(BEC)骗局。

新兴技术

1. 社交媒体欺骗

2016年末,Proofpoint报道了网络罪犯冒用英国银行客户服务部门推特资料的事。这些高级黑客模仿了银行员工的命名惯例、可见资产和特殊习惯。

网络罪犯用与你真实客户支持账号相似的昵称,创建极具可信度的虚假客户服务账号。然后,他们等待客户向真实账号求助。当你的客户试图联系公司时,罪犯就会通过发自虚假支持页面的虚假客户支持链接来劫持对话。

这种别名为“安康鱼”的网络钓鱼攻击方法(注意别与Angler漏洞利用工具包搞混了),因为客户早已预期收到公司的回复,而成功率极高。在最近的《社交媒体品牌欺诈报告》中,Proofpoint发现,与10家全球品牌有关的社交媒体账号中,近20%都是虚假的。

2. 勒索软件和软定位

PhishMe的2016第1季度《恶意软件综述》发现,有记录的所有网络钓鱼邮件中,92%都含有某种加密勒索软件。到了第3季度,该数字增长到了97%。

研究人员指出,Locky继续领跑最灵活勒索软件变种家族,犯罪团伙不断精炼其构造和投放方式。软定位和广分布攻击的使用也是关键;“软定位”部署的网络钓鱼,介于钓鲸攻击和大规模网络钓鱼邮件之间。

PhishMe的报告,给读者留下了令人不安的结论:

对勒索软件的快速意识和关注,迫使攻击者转移和迭代他们的战术,无论攻击载荷还是投放方式。这一持续的韧性显示出,仅仅意识到网络钓鱼和威胁,是不够的。

3. Dropbox和 Google Drive

基于云存储服务的网络钓鱼活动,比如 Google Drive 和Dropbox,已经存在好些年了。这些在形式上通常很传统——用链接和暗示导引受害者到虚假登录页面。

最近就有人遇到过罪犯将图像伪装成Gmail里的PDF附件,但实际上就是个导引用户到谷歌账户钓鱼网站的链接。

保持安全的6条建议:

1. 避免回复可疑邮件或与发送者产生联系

2. 自己打开网站——不要点击嵌入的链接或媒体

3. 警惕含有催促或威胁意味的托辞

4. 用带外通信核实请求和信息

5. 检查浏览器以确保反网络钓鱼服务是启用的

6. 使用口令管理器;不要跨多个网站重用同样的口令

作者:nana
来源:51CTO

时间: 2024-08-03 07:54:23

网络钓鱼进化之路的相关文章

MaxCompute 2.0:阿里巴巴的大数据进化之路

本次分享将主要围绕以下三个方面: 阿里云大数据计算服务概述 阿里巴巴数据平台进化之路 MaxCompute 2.0 Moving forward    一.阿里云大数据计算服务概述 阿里巴巴大数据计算服务MaxCompute的前身叫做ODPS,是阿里巴巴内部统一的大数据平台,其实从ODPS到MaxCompute的转变就是整个阿里巴巴大数据平台的演化过程.所以在本次会着重分享阿里巴巴大数据在过去七八年的时间所走过的路以及后续技术发展大方向.   首先做一个基本的定位,大家可以看到下面这张图是一个航

RSA报告全新网络钓鱼攻击中国比例上升

来自RSA反网络欺诈指挥中心的<RSA网络欺诈报告>9月月报显示,RSA FraudAction研究实验室最近发现了一种新的.针对 网上银行客户的独特网络钓鱼攻击.这种网络钓鱼攻击诱骗银行客户在普通的网络钓鱼网站中输入用户名和密码,但增加的虚假实时聊天支持窗口可以通过欺诈者发起的实时聊天会话获取银行客户的凭证.这种攻击第一次通过常规手段执行,但它却表现出更先进层次的网络欺诈实施手段. 该报告还显示,8月份网络钓鱼攻击的数量超过了2008年4月的15002起攻击高峰值,达到创纪录的16164起.

这五种人员最容易上网络钓鱼的当

20年前,黑客靠找寻网络边界漏洞入侵公司.为阻挡黑客,安全团队专注于锁定边界,创建"硬而脆"的外部,很少加强内部用户.系统和网络. 现代攻击者已有所进化,转向了更易于突破的目标,盯上了公司那"松软可口"的内部--用户和他们的系统.网络钓鱼--发送伪装成合法流量的欺诈邮件的黑客行动,就是他们的主要技术.随着时间流逝,我们开始察觉,用户很容易被各种类型的网络钓鱼骗术蒙骗,从免费软件到虚假网站,到邮箱里出现的来路不明的广告.轻信的大脑不经意间就将凭证输入到了伪造的屏幕上,

企业安全40年进化之路

大型机.个人电脑.客户端/服务器系统.互联网.移动计算.云.混合云.物联网,信息技术从未停止进化.同样在进化的,还有我们对信任和安全的认知,以及我们是怎样实现信任和安全以保障互联网世界的安宁. 80年代个人电脑开始在全世界售卖时,除了那些军事.政府或科研用途的系统,没人觉得安全会是一个基本组件.然而,随着90年代早期互联网开始席卷世界,情况完全变化了.公司和客户的联网系统突然之间为坏人诈骗他人提供了大量的机会.如今,到了2016年,我们必须时常加强和升级我们设备和系统上的安全措施,以抵挡犯罪分子

网络钓鱼实例解析及防范

目前,网上一些利用"网络钓鱼"手法,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行.网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多. "网络钓鱼"的主要手法 一是发送电子邮件,以虚假信息引诱用户中圈套. 诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖.顾问.对账等内容引诱用户在邮件中填入金融账号和密码,或是以各 种紧迫的理由要求收件人登录某网页提交用户名.密码.身份证号.信用卡号等信息,继而盗窃用户资金. 如今年

PhEmail:基于Python的开源网络钓鱼攻击工具

PhEmail简介 PhEmail是一款采用Python编程语言开发的开源网络钓鱼邮件工具,它可以帮助研究人员在进行社会工程学测试的过程中自动化地给目标发送网络钓鱼邮件.PhEmail不仅可以同时向多个目标用户发送钓鱼邮件并识别出哪些用户点击了邮件,而且还可以在不利用任何浏览器漏洞或邮件客户端漏洞的前提下尽可能多地收集信息.PhEmail自带的引擎可以通过LinkedIN来收集电子邮箱地址,这些数据可以帮助测试人员完成信息采集阶段的一部分工作. 除此之外,PhEmail还支持Gmail身份验证,

网络钓鱼大讲堂 Part1 | 网络钓鱼攻击定义及历史

何为网络钓鱼攻击? 首先,我们看一下网络钓鱼攻击的定义:网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码.生日.信用卡卡号以及社保账号的一种攻击方式.为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如PayPal.亚马逊.联合包裹服务公司(UPS)和美国银行等)的代表. 攻击者发送的通信内容的标题可能包含"iPad赠品"."欺诈告警"或其他诱惑性内容.邮件

网络钓鱼大讲堂 Part5 | 网络钓鱼对策(反钓鱼)

对抗网络钓鱼的方法有技术性的,也有非技术性的.本文着重介绍了四种反钓鱼技术: 反钓鱼技术手段 非技术对策 模拟钓鱼攻击 反钓鱼小贴士 反钓鱼技术手段 最有效.最常用的技术手段包括: 使用HTTPS 正确配置Web浏览器 监控钓鱼网站 正确配置邮件客户端 使用垃圾邮件过滤器 1. 使用HTTPS 一般的HTTP网站使用80端口,而安全版本的HTTP即HTTPS使用443端口.使用HTTPS意味着浏览器与目标服务器之间的所有信息均加密传输.所以,HTTPS的"S"表示"安全&qu

网络钓鱼大讲堂 Part2 | 网络钓鱼风险(攻击带来的损失)

网络钓鱼攻击可窃取身份信息,摧毁生活.这种攻击会波及到每个人,上至高级银行经理下至从未听说过网络诈骗的未成年人均有可能被感染.不过,令人遗憾的是,网络钓鱼攻击已有10多年的历史,但很多人仍因不了解该攻击的基本原理而沦为此类网络诈骗的受害者. 首先让我们了解一下成功的网络钓鱼攻击所采取的攻击方式: 利用数据访问受害者的账户,然后提款或进行在线交易,如购买产品或服务. 利用数据以受害者名义开设虚假银行账户或信用卡,然后利用非法支票套现. 在受害者的计算机系统中安装病毒和蠕虫,向受害者的联系人传播钓鱼