網(wǎng)絡(luò)釣魚攻擊 所依賴的是純潔的外表以及和善的微笑，以此讓人們落入欺騙的全套。雖然偽裝成合法網(wǎng)站的技術(shù)含量并不高，但是這卻是網(wǎng)絡(luò)釣魚者們最先使用的技術(shù)。但是這種方式正在逐漸失去效果，不精確的網(wǎng)站模仿，以及看起來別扭的域名，都可以提醒我們這可能是網(wǎng)絡(luò)釣魚網(wǎng)站。

現(xiàn)實情況

網(wǎng)絡(luò)釣魚者們?nèi)匀辉谑褂闷垓_形式的網(wǎng)站，但是他們通過修改官方網(wǎng)站實現(xiàn)了更好的效果?？赡苣銜X得這不可能，但是實際上這并不困難。網(wǎng)絡(luò)釣魚者們使用的方法和利用網(wǎng)站漏洞進行的各種攻擊一樣。由于他們不再需要自己建立一個模擬程度很高的仿冒網(wǎng)站，只需要修改一下官方網(wǎng)站，網(wǎng)站的域名以及頁面內(nèi)容，不會給用戶帶來任何懷疑，因此這種方式的成功性更高了。

關(guān)于網(wǎng)站是如何被修改的，有詳細的介紹。在眾多攻擊方式中，利用PHP服務(wù)器的漏洞是其中最典型的一種方法。在National Cyber-Alert CVE-2008-3239 中詳細介紹了這種漏洞是如何被利用的:

“在PHPizabi 0.848b C1 HFP1中的writeLogEntry函數(shù)中存在不受限的文件上傳漏洞。 當(dāng)服務(wù)器開啟register_globals 參數(shù)時，遠程攻擊者可以通過CONF[CRON_LOGFILE]參數(shù)上傳文件名中帶有惡意代碼的文件，或者通過CONF[LOCALE_LONG_DATE_TIME]參數(shù)上傳文件內(nèi)容中帶有惡意代碼的文件?！?/P>

這種攻擊的獨特性在于，網(wǎng)站開發(fā)人員不會發(fā)現(xiàn)自己的代碼中有任何漏洞，因此也不會對網(wǎng)站代碼進行任何修改：

“目前我們還不需要對此給出安全補丁，我們只是希望提醒用戶，關(guān)閉PHP服務(wù)器中的 “REGISTER_GLOBALS”選項。這個參數(shù)不但會帶來這類風(fēng)險，還會給系統(tǒng)帶來很多意想不到的風(fēng)險。檢查是否進行了正確的服務(wù)器配置(關(guān)閉“REGISTER_GLOBALS”)，才能確保自己的網(wǎng)站不受攻擊?！?/P>

PHP服務(wù)器供應(yīng)商的這種態(tài)度是網(wǎng)絡(luò)罪犯們最喜歡的。為了證實這一點，我在不久前曾經(jīng)對多個網(wǎng)站進行了簡單的漏洞測試，發(fā)現(xiàn)其中不少都存在這個漏洞。

當(dāng)前研究

我剛剛讀完 Tyler Moore (CRCS Harvard University)和Richard Clayton (劍橋大學(xué)計算機實驗室)合著的名為《惡魔搜索：互聯(lián)網(wǎng)主機的網(wǎng)絡(luò)釣魚入侵和再入侵 》的報告。報告中針對通過修改官方網(wǎng)站實現(xiàn)竊取用戶敏感數(shù)據(jù)的方法進行了全方位的介紹。另外，文章還將修改官方網(wǎng)站的網(wǎng)絡(luò)釣魚方法和直接搭建仿冒網(wǎng)站的傳統(tǒng)方法進行了對比：

“到目前為止，最常見的網(wǎng)絡(luò)釣魚方法是將原網(wǎng)站入侵，并植入欺騙性質(zhì)的HTML頁面。這種方法占到了當(dāng)前網(wǎng)絡(luò)釣魚總數(shù)的75.8%。另一種更簡單，但已經(jīng)不那么流行的方式，是將網(wǎng)絡(luò)釣魚網(wǎng)站頁面上傳到免費服務(wù)器上。目前大約17.4% 的網(wǎng)絡(luò)釣魚仍然采用這種方式?！?/P>

定位風(fēng)險網(wǎng)站

現(xiàn)在我們知道了網(wǎng)絡(luò)釣魚者喜歡直接修改官方網(wǎng)站，也知道了他的修改手段?？赡苡行┤藭闷?，這些網(wǎng)絡(luò)釣魚者是如何選擇網(wǎng)站并知道網(wǎng)站存在這類安全漏洞的呢?實際上，網(wǎng)絡(luò)釣魚份子們也并不是神仙，他們所采用的方法很簡單，就是通過現(xiàn)有的用來檢測PHP漏洞的工具，對各個網(wǎng)站進行掃描。Acunetix 對網(wǎng)絡(luò)漏洞掃描器的描述如下：

“檢查你的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序是否存在PHP安全漏洞，最好的方法就是使用網(wǎng)絡(luò)風(fēng)險掃描器(Web Vulnerability Scanner)。 網(wǎng)絡(luò)風(fēng)險掃描器可以針對你的整個網(wǎng)站進行全自動的PHP攻擊風(fēng)險檢測。它會告訴你哪些腳本存在風(fēng)險，方便你及時修補這些漏洞?！?/P>

當(dāng)然，不得不承認(rèn)，這類掃描的速度并不快，而且也不見得非常有效率，尤其是面對大量需要檢測的網(wǎng)站時。Moore和Clayton的報告再次對于網(wǎng)絡(luò)釣魚者的慣用定位方式進行了講解：

“在定位存在漏洞的網(wǎng)站時，除了采用掃描器外，通過搜索引擎也可以實現(xiàn)類似的效果。這種方法充分利用了搜索引擎的掃描能力，因此也被Long稱作“谷歌黑客”。

Long所感興趣的，不僅是如果定位存在風(fēng)險的網(wǎng)站，還包括如何通過這種方式獲取個人的隱私信息，只有這樣，才能夠更好的保護自己的信息。Long將這種搜索活動稱為‘googledorks’，因為這些搜索基本上都依賴于Google 搜索語言，比如inurl’或‘intitle’等。”

上面兩段內(nèi)容引自Johnny Long所著的 “Google 黑客指南”。這篇文章可以告訴我們?nèi)绾瓮ㄟ^Google的搜索功能盡可能的獲取網(wǎng)站中的敏感信息。

下面我們就來實際操作一下，看看到底能不能獲取一些我們感興趣的信息。如果你還記得CVE-2008-3239中所涉及的PHP漏洞，就知道可以將“PHPizabi 0.848b C1 HFP1”作為關(guān)鍵詞進行搜索。我將這個關(guān)鍵詞輸入Google搜索引擎，搜索結(jié)果中很多都涉及到了這一漏洞。其中我也發(fā)現(xiàn)了一些對于網(wǎng)絡(luò)釣魚者來說很感興趣的內(nèi)容：

　　

注:這并不是Google的錯

在撰寫本文時，我曾經(jīng)與幾個朋友談?wù)撨^這個問題，結(jié)果令我有些吃驚。有些朋友認(rèn)為，谷歌應(yīng)該受到譴責(zé)，并為此承擔(dān)責(zé)任。而我完全反對這種觀點，并且希望讀者們也有和我相同的看法。

Google提供的服務(wù)使我們面對海量數(shù)據(jù)時可以輕松的檢索出自己所需的信息。雖然Google在存儲信息的安全方面受到質(zhì)疑，但是不可否認(rèn)，他的搜索引擎是最好的。在我看來，數(shù)據(jù)安全問題不在于此。

老話題

通過搜索引擎查找網(wǎng)站的安全漏洞并不是什么新方法。而新鮮的地方Moore 和 Clayton可以統(tǒng)計出搜索結(jié)果中被入侵的網(wǎng)站概率。他們之所以能實現(xiàn)這一結(jié)果，所依賴的是一個叫做 Webalizer的工具軟件，這個軟件可以根據(jù)Web服務(wù)器的日志建立報表。讓研究人員感興趣的是定位網(wǎng)站所用的記錄搜索詞匯：

“尤其是，Webalizer創(chuàng)建的一個獨立子報告會顯示一份用于搜索漏洞網(wǎng)站的搜索關(guān)鍵詞列表。有了這份關(guān)鍵詞列表，人們只要將某個詞輸入搜索引擎，點擊搜索，就可以定位那些有安全風(fēng)險的網(wǎng)站了?！?/P>

在下圖中(感謝Moore 和 Clayton提供)你可以看到多個Webalizer項目于瀏覽器窗口中的搜索結(jié)果相對應(yīng)：

　　

報告中的重點內(nèi)容

以上，Moore 和 Clayton 通過令人信服的方式向我們解釋了如何將所有重要的數(shù)據(jù)聚集在一起，并通過這些信息獲取我們更感興趣的結(jié)果。一下兩點是我們需要進一步體會的內(nèi)容：

· 在Webalizer 的報告中通過關(guān)鍵詞搜索到的可疑網(wǎng)站，有90%立即被入侵。

· 另一個令人驚訝的統(tǒng)計是有些網(wǎng)站被多次入侵。報告顯示大約20%的網(wǎng)站有可能被再次入侵，而當(dāng)Webalizer發(fā)現(xiàn)針對某個網(wǎng)站的可疑搜索詞匯后，這個網(wǎng)站被再次入侵的概率增加到了48%。

實際上，我不明白為什么很多網(wǎng)站會一次又一次的被入侵。網(wǎng)站管理員本應(yīng)對漏洞進行處理的。最后，讓我們再看看研究人員是如何建議網(wǎng)站管理員減少網(wǎng)站風(fēng)險的。

改進的余地

我希望網(wǎng)站托管服務(wù)供應(yīng)商應(yīng)該好好研究一下相關(guān)內(nèi)容，尤其是下列建議：

· 混淆目標(biāo)細節(jié):如果服務(wù)器不公布當(dāng)前Web服務(wù)軟件的版本以及其他細節(jié)，那么可疑關(guān)鍵詞的搜索結(jié)果就不會那么有效。

· 可疑搜索滲透測試: 管理員主動運行本地Web站點搜索，查看是否有安全漏洞，并通知網(wǎng)站負責(zé)任及時處理風(fēng)險。

· 阻止可疑的搜索請求: 對于搜索引擎來說，另一種辦法就是阻止提交可疑詞匯的搜索請求，或者屏蔽搜索結(jié)果。

· 降低曾經(jīng)被入侵的服務(wù)器的可信度:除了將當(dāng)前活動的網(wǎng)絡(luò)釣魚網(wǎng)站URL標(biāo)記出來之外，還需要將過去曾經(jīng)被入侵的網(wǎng)站標(biāo)記出來，以警告用戶其被再次入侵的風(fēng)險性。

我們能做什么

作為互聯(lián)網(wǎng)用戶，為了保護自身安全，我們所能做的事情并不太多。我曾經(jīng)建議大家采用 McAfee SiteAdvisor，就連Moore和 Clayton也在他們的報告中提到了這款軟件。它通過在瀏覽器中添加插件的方式工作：

“ 安裝SiteAdvisor后，瀏覽器看上去會有些變化。軟件會在搜索結(jié)果上添加一個小的投票圖標(biāo)，另外還會在瀏覽器上添加一個小按鈕和一個搜索欄。通過這幾項功能，可以幫助用戶判斷搜索結(jié)果中的網(wǎng)站是否安全?！?/P>

另外還有一種方式，就是訪問PhishTank 網(wǎng)站 ，從中你可以知道某個網(wǎng)站是真實的，還是冒充的，或者被入侵過。

　　

“PhishTank是一個通過互聯(lián)網(wǎng)用戶協(xié)作方式實現(xiàn)的數(shù)據(jù)和信息共享平臺。同時，PhishTank還為開發(fā)人員和研究人員提供了免費的API，方便他們在自己的軟件中集成反網(wǎng)絡(luò)釣魚數(shù)據(jù)信息?！?/P>

反網(wǎng)絡(luò)釣魚工作組 擁有自己的網(wǎng)站，在其網(wǎng)站上有大量與網(wǎng)絡(luò)釣魚相關(guān)的信息，比如當(dāng)前和未來全球網(wǎng)絡(luò)釣魚情況的預(yù)測：

“反網(wǎng)絡(luò)釣魚工作組(APWG)是一個專注于消除通過網(wǎng)絡(luò)釣魚，網(wǎng)址欺騙以及電子郵件欺騙帶來的欺詐和身份盜用行為的泛工業(yè)和法律組織?！?/P>

 

總 結(jié)

我們所有人，不論是商業(yè)用戶還是個人用戶，都日益依賴于互聯(lián)網(wǎng)了。因此，當(dāng)諸如網(wǎng)絡(luò)釣魚這樣的事情擊碎了人們的信任感，我傾向于親自學(xué)習(xí)掌握識別網(wǎng)絡(luò)釣魚網(wǎng)站的方法。你是怎么看的呢?歡迎給來信與我們的編輯討論網(wǎng)絡(luò)安全話題。

【編輯推薦】

1. 淺談特洛伊木馬的新變種-網(wǎng)絡(luò)釣魚
2. 專題：網(wǎng)絡(luò)釣魚