当前网络诈骗花样层出不穷,就像是不断更新迭代的“病毒”,虽然“疫苗”研制出来了,但似乎总会出现新型的“病毒”。此次Google有效攻克网络钓鱼,终究让人松了一口气。Wired在题为“Inside Google’s Global Campaign to Shut Down Phishing”中细致分析了Google是如何一步步打赢这场反钓鱼诈骗的硬仗的。
5月初,网络上涌现出许多网络诈骗,它们伪装成Google文档请求,有的电子邮件甚至伪装成熟人身份。只要受害者点击并授予看似无害的权限,他们的整个Gmail帐户信息就会暴露无疑。
Google的反技术滥用总监Mark Risher说:“我们组建了战争反应室,将人们聚集在现实的房间里。当然,我们公司其他分部的各领域专家也会很快聚集起来”。
Google成为攻击的靶心,安全防御亟待提高
不幸的是,这种危机对Google来说早已是家常便饭。Google坐拥巨大的用户群,在网页上留下了的足迹众多,因此且不说其他方式的黑客攻击,Google的服务和客户都已成为钓鱼攻击的靶心。但话又说回来,钓鱼也是个棘手难题,演进速度极快,很难通过设计进行侦察。
Gmail反滥用团队的项目经理Sri Somanchi表示:“恶势力处心积虑搞破坏,我们更应艰苦抗战、奋勇向前,因为我们一丁点的疏忽都会给用户带来莫大的损失”。
加大技术防御,捍卫名声与光荣
当Google Docs受到网络钓鱼的攻击时,0.1%的Gmail用户,即约100万个帐户都会受到影响。Google反技术滥用团队采取应对措施,首先进行信息分享,然后在全球各地的Google办公室进行传送,确保24小时覆盖。
“目前一个团队专门负责Gmail入站,努力确保电子邮件信息不会泄露,”Risher说。“还有一个团队负责处理帐户滥用模式,查看谁正在使用已被访问的凭据。第三个团队则监测信息的传播。”
在几个小时内,Google遏制了网络钓鱼攻击的进一步传播。一天之内,Google将反钓鱼安全警告扩展到Android的Gmail上。
在这次战争中,Google使用了其最近几年来新推出的反钓鱼和威胁警告工具,如Chrome扩展密码警报。如果它认为用户刚刚将Google用户名和密码输入冒牌登录页面,则会发出警告。Google还宣布要针对企业用户提供新的网络钓鱼保护措施,包括在企业用户尝试向公司外部发送数据时发出警告,以及提供其他防止勒索软件的保护措施。
Google致力于尽可能地降低用户做出安全选择和防止上当的难度,但公司的重点是采用技术解决方案,即无缝实现最少的用户购买。一些网络钓鱼专家认为,强化用户培训是阻止网络钓鱼的关键所在,但是用户培训公司PhishMe的首席技术官Aaron Higbee表示:“我们要充分利用技术手段,至少Google必须这样做。”专注于技术解决方案可以发挥Google的优势。
如果用户在Chrome,Android,Search和Gmail上访问或下载恶意网页,Google的安全浏览基础设施则会显示警告消息。Google还为第三方开发人员提供了安全浏览功能,例如Firefox和Safari浏览器。Google在其广告服务中使用安全浏览来捕捉试图宣传恶意内容的广告。总之,Google表示,安全浏览每天都造福了20亿个设备。
安全浏览警告给长期忧心电子威胁的互联网用户吃了一粒定心丸。但对Google来说,这是推进了十多年的长期投资项目。Google为其旗舰搜索引擎搜索互联网时,它会使用该数据来标记携带社会工程攻击、恶意软件、网络钓鱼广告系列等的恶意网页。
“很多用户接触安全浏览主要是通过一张大大的红色警告页面。”安全浏览团队领导的Allison Miller说道。但警告页面背后看不到的是多少辛勤的付出,以及多少艰巨的挑战。
“我们必须守卫每扇门,每个窗,每个开放口。而坏人只需突破其中一个”,Risher说,“在大事不妙的时候,要努力防止事态进一步恶化,这可能很艰难,但名声和荣耀大多都来源于此。
防御最前线,采用多层次保护的深度防御战略
数以百计的Google员工在各个层面上开展安全防范和反滥用工作。他们的做法取决于多层次保护的深度防御战略。
钓鱼者和用户Gmail帐户之间的第一层防御是一种自动化的批量过滤过程,它利用安全浏览和其他黑名单工具来阻止大量的垃圾。在阻止Gmail发送到用户之前,Google会拦截发送到Gmail电子邮件量的90%,这还不包括垃圾箱中的内容。
Somanchi说:“这很多都是通过维护世界各地发信人的声誉来实现的,在不断收到的电子邮件中计算出数千个电子邮件属性的声誉,然后我们使用这些声誉来预先确定发件人是否合法。”Google还会扫描错误的链接,这意味着如果用户不小心向Gmail朋友发送了已知的网络钓鱼链接,这封电子邮件将不会被传送。
Google会将第一个剪辑的信息作为更重要的过滤选项,Gmail则会在此期间查找模拟和伪造的信息,因为这决定了是否将某一邮件移入垃圾箱或是收件箱。 在不确定的情况下,Gmail会让该邮件通过,但会添加警告,表示这可能是从某个受损帐户发送过来的。
同样,如果Gmail没有足够的信息来对电子邮件做出最终决定,那么可能会提供保护措施,例如添加警告并禁用电子邮件的链接或附件。Gmail依靠的不是一两个修复措施,而是提供图层。
“若坏人获知了用户的密码,他们也仍然无法使用,即使能使用,那也是我们持续的基于风险认证的一部分”,Risher说。
灰色地带,不要走极端
Google员工说,网络钓鱼防范和反滥用的最大挑战一般在于处理潜在的恶意内容。“你必须调整应对措施,确保不会阻止所有灰色地带的人”,Risher说,“了解当前不利情况很重要,但也要适应良好的活动,即正常合法的活动,而不是走到另一个极端,这最终会损害广泛的[Google]生态系统。”
Somanchi表示,垃圾邮件和网络钓鱼识别中有95%来自机器学习。而且在过去几年中,这些Gmail机制已经发展成为将传统的监督学习(其中使用大数据集训练的算法)与更新的无监督学习技术相结合,其中算法会从恶意程序中判断哪些为合法输入。“虽然普通电脑会作出非黑即白的武断决策,但是深入的学习大大提高了主观性,并且更接近真实性”Risher说。
Google还强调,利用机器学习也有助于保护用户隐私。Miller说:“这些系统是对聚合数据进行操作的,而且这些工作完全中没有人能了解对潜在的私人信息。我们将集中注意力,识别攻击者及其方法,安全浏览和反网络钓鱼防御系统会识别出攻击模式的共同点。
本文转自d1net(转载)