何為網(wǎng)絡(luò)釣魚攻擊?

首先，我們看一下網(wǎng)絡(luò)釣魚攻擊的定義：網(wǎng)絡(luò)釣魚攻擊(phishing與fishing發(fā)音相近)是最初通過發(fā)送消息或郵件，意圖引誘計(jì)算機(jī)用戶提供個(gè)人敏感信息如密碼、生日、信用卡卡號以及社保賬號的一種攻擊方式。為實(shí)施此類網(wǎng)絡(luò)詐騙，攻擊者將自己偽裝成某個(gè)網(wǎng)站的官方代表或與用戶可能有業(yè)務(wù)往來的機(jī)構(gòu)(如PayPal、亞馬遜、聯(lián)合包裹服務(wù)公司(UPS)和美國銀行等)的代表。

攻擊者發(fā)送的通信內(nèi)容的標(biāo)題可能包含“iPad贈(zèng)品”、“欺詐告警”或其他誘惑性內(nèi)容。郵件可能包含公司的標(biāo)志、電話號碼及其他看似完全合法的內(nèi)容。攻擊者的另一慣用伎倆是使郵件看起來像是來自您的親朋好友，讓您以為他們要與你分享一些東西。

然而，當(dāng)您點(diǎn)擊了郵件中的鏈接，會(huì)被帶到虛擬網(wǎng)站而非真實(shí)網(wǎng)站，讓您在毫無戒備的情況下按照提示輸入個(gè)人信息。攻擊者會(huì)獲取這些輸入信息，然后立即使用或在黑市上買賣用于惡意目的，或既自用又出售。很多時(shí)候，用戶計(jì)算機(jī)也會(huì)受到感染，然后將釣魚郵件發(fā)送給通訊錄上的聯(lián)系人，助其肆意傳播(惡意代碼會(huì)控制受感染計(jì)算機(jī)的web瀏覽器，該攻擊手段稱為域欺騙。)

在傳統(tǒng)釣魚攻擊中，這些詐騙者會(huì)發(fā)送數(shù)百萬“魚鉤”，只需較少用戶點(diǎn)擊鏈接“上鉤”。根據(jù)加拿大政府的統(tǒng)計(jì)，每日全球發(fā)送1.56億封釣魚郵件，而最終有8萬用戶點(diǎn)擊郵件中的鏈接， 導(dǎo)致重大損失。Ponemon機(jī)構(gòu)估計(jì)，通常擁有10000名員工的公司每年應(yīng)對網(wǎng)絡(luò)釣魚攻擊的花費(fèi)就高達(dá)370萬美元，而這種趨勢沒有減弱跡象，而是愈演愈烈。

[[203534]]

網(wǎng)絡(luò)釣魚攻擊歷史

網(wǎng)絡(luò)釣魚攻擊術(shù)語和概念最早由美國在線(AOL)于20世紀(jì)90年代初提出。一些黑客和盜版人員聯(lián)合起來，自稱warez社區(qū)。他們被視為首批“網(wǎng)釣者”。早期詐騙中，他們利用所開發(fā)的算法隨機(jī)生成信用卡號，從而試圖創(chuàng)建虛假的AOL賬戶。若他們所創(chuàng)建的隨機(jī)信用卡號與用戶的真實(shí)卡號匹配，他們就會(huì)創(chuàng)建賬戶，向AOL社區(qū)中的其他用戶發(fā)網(wǎng)絡(luò)釣魚送垃圾郵件，僅需數(shù)個(gè)用戶上鉤。

1995年，AOL成功阻止了隨機(jī)信用卡號生成器，但warez社區(qū)轉(zhuǎn)而使用其他方法，喬裝成AOL的員工，通過AOL Messenger通訊軟件向其他員工發(fā)送消息，以獲取他們的信息。這樣，網(wǎng)絡(luò)釣魚攻擊很快就成了一大問題。1996年1月2日“網(wǎng)絡(luò)釣魚”第一次在AOL的新聞組的群中被提及(AOL最后在其所有郵件和通訊軟件中發(fā)布警告，提醒用戶提防潛在的網(wǎng)絡(luò)釣魚)。

利用郵件

隨著人們逐漸熟悉通訊軟件欺騙，“網(wǎng)釣者”開始使用郵件通信，因?yàn)猷]件容易創(chuàng)建、發(fā)送成本低且?guī)缀醪灰妆蛔R破。

最初大多數(shù)釣魚消息組織得很差，滿篇都是語法錯(cuò)誤，但釣魚者很快進(jìn)行了改進(jìn)，編寫了更復(fù)雜的消息。2003年9月，釣魚者開始注冊與知名公司類似的域名，例如yahoo-billing.com和ebay-fulfillment.com。他們發(fā)送看似更合法的新郵件，誘惑收件人打開使用這些域名的網(wǎng)站，讓其信以為真。

2003年10月，Paypal用戶感染了Mimail病毒。這些用戶單擊了釣魚郵件中包含的鏈接，然后系統(tǒng)彈出了一個(gè)聲稱來自Paypal的窗口，讓用戶輸入用戶名和密碼。輸入后，這些用戶名和密碼立即被發(fā)送至黑客。

2004年，支持總統(tǒng)候選人John Kerry的選民收到了一個(gè)看似來自官方的郵件，鼓動(dòng)他們單擊郵件中的鏈接進(jìn)行捐款。最終，該郵件被證實(shí)為是印第安州和德克薩斯州操縱的欺騙郵件，與John Kerry的競選活動(dòng)無關(guān)。

現(xiàn)今，網(wǎng)絡(luò)釣魚攻擊方法種類繁多。同時(shí)，詐騙者仍在持續(xù)推出新花招，贏得信任、規(guī)避檢測，并造成嚴(yán)重破壞。其中一個(gè)令人不安的趨勢是通過利用從社交媒體收集的信息，讓通信內(nèi)容盡量貼近攻擊目標(biāo)，此類攻擊一般被稱為“魚叉式網(wǎng)絡(luò)釣魚”或“社交工程欺騙”。

有時(shí)，這種欺騙手段是一個(gè)漫長且緩慢的過程，可能會(huì)誘惑受害人在Facebook上聊天，最終向其索要錢財(cái)或密碼。有時(shí)，他們會(huì)利用從公共渠道獲取的受害人信息使詐騙看上去更具說服力。

“我們可將現(xiàn)在我們公開發(fā)布的信息與15年前進(jìn)行對比。過去，如果不是去家門口拜訪，我們很難獲得人們的信息。”，反釣魚工作組(APWG)的Peter Cassady說， “而現(xiàn)在人們在網(wǎng)上發(fā)布了太多信息，惡意攻擊者可開發(fā)半定制方案，利用這些信息，構(gòu)建看似非常真實(shí)的消息。”

SecurityIQ網(wǎng)絡(luò)釣魚模擬器

另一種魚叉式攻擊更加危險(xiǎn)：黑客盯上某個(gè)行業(yè)的一家公司，竊取該公司的數(shù)據(jù)或損害其系統(tǒng)。然后，他們針對該公司的幾個(gè)員工發(fā)起攻擊，希望利用更具個(gè)性化的通信被證明是奏效的。賽門鐵克是一家技術(shù)公司，稱能源部門越來越受攻擊者青睞。盡管目前尚未發(fā)生大規(guī)模入侵，他們警告說此類魚叉式攻擊的威脅日益上升，可能會(huì)帶來災(zāi)難性影響。

網(wǎng)絡(luò)釣魚實(shí)例

我們在前面談到，網(wǎng)絡(luò)釣魚攻擊形形色色，花招繁多，但萬變不離其宗， 即他們想騙取你的個(gè)人信息。

當(dāng)然，此類攻擊所利用一個(gè)主要工具仍是易用的傳統(tǒng)郵件，通常這些郵件會(huì)發(fā)送給大公司工作繁忙或壓力大的員工，因?yàn)樗麄儠?huì)不假思索地點(diǎn)擊郵件中的鏈接。盡管很多大公司已部署了防御措施(如惡意軟件檢測器或垃圾郵件過濾器)，但黑客已發(fā)現(xiàn)新的入侵方法，在一次攻擊事件中居然利用了空調(diào)。

確切地說，攻擊者2014年入侵了零售巨頭Target的網(wǎng)絡(luò)，造成1.1億條信用卡信息泄露。此次攻擊的原因是攻擊者對為Target在賓夕法尼亞州的零售店提供空調(diào)服務(wù)的法齊奧機(jī)械服務(wù)公司進(jìn)行了釣魚詐騙，因?yàn)樵摴揪邆銽arget供應(yīng)商數(shù)據(jù)庫的訪問權(quán)限。法齊奧員工點(diǎn)擊了一個(gè)惡意鏈接，在毫不知情的情況下導(dǎo)致計(jì)算機(jī)被入侵，憑證被竊取，使攻擊者獲取了Target的訪問權(quán)限。數(shù)月之后，攻擊者入侵了Target網(wǎng)絡(luò)。

最終，Target還是盡其所能挽回了損失，而其他受害者就不一定這么走運(yùn)了。根據(jù)NBC新聞2012年的報(bào)道，一位未透露姓名的英國女士稱，她收到了一個(gè)看似來自銀行的釣魚郵件，點(diǎn)擊了鏈接，按照提示輸入了個(gè)人信息。三天后，她賬戶上的160萬美元不翼而飛，這可是她一生的積蓄。

網(wǎng)絡(luò)釣魚攻擊的其他類型

另一種非常流行的網(wǎng)絡(luò)釣魚攻擊方法稱為搜索引擎釣魚，即詐騙者創(chuàng)建包含某些關(guān)鍵詞的網(wǎng)頁，這樣，用戶搜索這些關(guān)鍵詞時(shí)會(huì)檢索出這些惡意頁面， 然后會(huì)在Google中毫無戒心地單擊這些惡意鏈接，不會(huì)將其視為網(wǎng)絡(luò)釣魚詐騙，等意識到自己中招時(shí)為時(shí)已晚。

《電腦世界》報(bào)道了一次搜索引擎釣魚攻擊利用與誘人的信用卡利息和高息儲蓄賬戶相關(guān)的關(guān)鍵詞。在這些好處的驅(qū)使下，搜索者訪問了看上去非常專業(yè)的網(wǎng)站，很自信地輸入了登陸信息。在此過程中，攻擊者要求他們關(guān)聯(lián)自己的銀行賬戶，然后立即順走了賬戶中的錢。

中間人攻擊(MITM)卻更加巧妙復(fù)雜，根本無需虛假網(wǎng)站。實(shí)際上，黑客通過利用惡意鏈接充當(dāng)合法網(wǎng)站和用戶之間的“中間人”角色，秘密收集通過其代理的通信數(shù)據(jù)。這種攻擊最早由《華盛頓郵報(bào)》于2006年報(bào)道，稱花旗銀行的企業(yè)客戶中招此類攻擊。由于中間人攻擊非常隱蔽，幾乎無法被發(fā)現(xiàn)，直到現(xiàn)在該類攻擊仍是各企業(yè)面臨的難題。

語音釣魚和短信釣魚

“語音釣魚”和“短信釣魚”是兩種重要的移動(dòng)釣魚攻擊方法。語音釣魚指通過語音進(jìn)行網(wǎng)絡(luò)釣魚攻擊，具體指攻擊者通過呼叫受害人進(jìn)行釣魚攻擊。同時(shí)，在社交媒體風(fēng)行的當(dāng)下，人們公開發(fā)布了大量信息。這樣，攻擊者就趁機(jī)獲取很多用戶信息，使自己的偽裝更加可信。

BBC曾報(bào)道過語音釣魚攻擊，稱一位名為Emma Watson的女士遭遇了語音釣魚攻擊，她接到電話后誤以為是銀行打來的。在此次攻擊中，攻擊者撥通了她家里的固定電話，準(zhǔn)確地說出她的姓名，聲稱來自反欺詐部門，想幫她將銀行存款轉(zhuǎn)移到更安全的賬戶。

她告訴BBC說，“他們非常專業(yè)，說的頭頭是道。”

這些語音攻擊者可篡改來電號碼，使其看起來像是從另外一個(gè)號碼發(fā)起的呼叫，這樣就又為欺騙蒙上了一層面紗?，F(xiàn)在，快速發(fā)展的人工智能軟件完全可模仿人類呼叫者，可想而知，以后的詐騙伎倆無疑讓人心生恐懼。

最后，我們看一下短信釣魚(SMS釣魚)攻擊，即通過向智能手機(jī)發(fā)送短信發(fā)動(dòng)攻擊。McAfee表示，在早期短信攻擊中，攻擊者向受害者發(fā)送確認(rèn)消息，讓用戶打開鏈接“取消”未訂購的電話業(yè)務(wù)或其他服務(wù)。在毫無戒心的用戶單擊鏈接后，其手機(jī)就變成大型釣魚詐騙網(wǎng)絡(luò)的成員。

網(wǎng)絡(luò)釣魚攻擊、魚叉式釣魚攻擊、域欺騙、語音釣魚、短信釣魚和社交工程欺詐僅僅是黑客用于獲取用戶信息所使用的幾個(gè)最新手段。為防止中招，點(diǎn)擊鏈接前請三思而后行。

原文鏈接：http://blog.nsfocus.net/phishing-definition-history/

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文