身邊的網(wǎng)絡(luò)釣魚

提到釣魚網(wǎng)站，大家再熟悉不過了。如果您是網(wǎng)站運(yùn)維人員，尤其是金融、電子商務(wù)、教育行業(yè)的，很有可能就經(jīng)歷過自己的網(wǎng)站被仿冒的事件。如果作為個人，我敢說您百分百經(jīng)歷過釣魚事件。比如您一定收到過以下類似信息：

??

[[171220]]

1、運(yùn)營商良心發(fā)現(xiàn)：

釣魚短信

2、郵箱都知道我業(yè)務(wù)多：

釣魚郵件

3、又或者好久不見的同學(xué)的突然問候：

釣魚微信

這一切可能都是發(fā)生在您身邊的釣魚事件。網(wǎng)絡(luò)釣魚已形成龐大的黑色產(chǎn)業(yè)，在網(wǎng)上簡單搜索，你就會發(fā)現(xiàn)一系列網(wǎng)絡(luò)釣魚工具，其仿造的網(wǎng)站也是多種多樣，甚至可以進(jìn)行定制。下面就是兩個仿冒QQ相關(guān)網(wǎng)頁的釣魚軟件，被欺騙者在這里被稱為“小魚兒”……

一次網(wǎng)絡(luò)釣魚的分析

網(wǎng)絡(luò)釣魚的攻擊過程一般為黑客先構(gòu)建網(wǎng)站(一般為國外地址)，再通過郵件、短信等方式大量發(fā)送釣魚鏈接，在這一過程多數(shù)會使用社會工程學(xué)攻擊，將點擊率提高;最后誘導(dǎo)收信人輸入信息。上面這種方式則是人們常提到的網(wǎng)絡(luò)釣魚，隨著攻防的不斷演進(jìn)，網(wǎng)絡(luò)釣魚又衍生出多種方式，比如通過重定向方式直接指向仿冒頁面，或利用中間人的方式獲取帳號密碼、個人信息以及交易口令等。

但除此之外，也有一些攻擊者，通過仿冒目標(biāo)網(wǎng)站，而進(jìn)行網(wǎng)頁內(nèi)容的篡改，或抹黑目標(biāo)網(wǎng)站、或借用目標(biāo)網(wǎng)站的知名度為其修改的內(nèi)容做宣傳。站在網(wǎng)站運(yùn)營者角度，這些行為都大大損害了網(wǎng)站的公信力，都是不能容忍的。本次我們監(jiān)控到的釣魚攻擊則是第二種情況。

首先我們通過烽火臺-網(wǎng)站監(jiān)控預(yù)警平臺發(fā)現(xiàn)了互聯(lián)網(wǎng)上存在與某一客戶網(wǎng)站相似度較高的網(wǎng)站(如下圖所示)，其卻在一政府網(wǎng)站的域名之下，通過查看，該頁面所顯示的內(nèi)容是一條新聞，但其標(biāo)題卻為槍支相關(guān)，明顯是惡意行為，我們立即通知客戶進(jìn)行了處理。通過分析，我們基本還原了本次攻擊過程。黑客首先是利用漏洞入侵了一政府網(wǎng)站，并獲取管理員權(quán)限，并在該域名下構(gòu)建了一孤島頁面，并將仿冒的目標(biāo)網(wǎng)站的內(nèi)容進(jìn)行了復(fù)制，并在仿冒的頁面上修改了內(nèi)容。并且該仿冒頁面的所有欄目支持調(diào)轉(zhuǎn)回原網(wǎng)站。并且網(wǎng)站通過程序調(diào)用，在點擊鏈接后會自動彈出QQ好友認(rèn)證(如圖二)

這種攻擊行為對于該政府網(wǎng)站來說是典型的非法篡改行為，而對于該仿冒的目標(biāo)網(wǎng)站來說則是釣魚行為，對其名譽(yù)造成很大影響。了解了該攻擊手段后，我們擴(kuò)大了調(diào)查范圍，又發(fā)現(xiàn)了多個使用相同手段的攻擊行為，均與網(wǎng)安及客戶進(jìn)行了通報。

烽火臺網(wǎng)絡(luò)釣魚監(jiān)控

雖然釣魚網(wǎng)站多數(shù)是由黑客進(jìn)行仿冒產(chǎn)生的，與網(wǎng)站運(yùn)維人員毫無關(guān)系，更多的應(yīng)該在用戶日常的網(wǎng)絡(luò)訪問中加強(qiáng)安全意識，但網(wǎng)站運(yùn)維人員并不能放任不管，而是應(yīng)該聯(lián)手抵制釣魚網(wǎng)站的產(chǎn)生，對于政府以及監(jiān)管部門更是應(yīng)該加強(qiáng)監(jiān)測能力，避免不法分子借助政府網(wǎng)站的公信力進(jìn)行欺騙或者宣傳非法內(nèi)容。

WebRAY烽火臺-網(wǎng)站監(jiān)控預(yù)警系統(tǒng)在產(chǎn)品中增加了網(wǎng)絡(luò)釣魚檢測能力，不僅可以對少量網(wǎng)站提供檢測服務(wù)，還可用于大范圍網(wǎng)站的網(wǎng)絡(luò)釣魚監(jiān)測。釣魚攻擊有多種形式，目前烽火臺-網(wǎng)站監(jiān)控預(yù)警系統(tǒng)支持以下幾種釣魚檢測方式：

1、 DNS釣魚

原理：DNS釣魚黑客通常是修改某一地區(qū)某個運(yùn)營商的DNS，而WebRAY通過全國20多個站點進(jìn)行云檢測可以發(fā)現(xiàn)是否有異常解析(本地部署無此能力)?；蛘咄ㄟ^對上一次檢測的DNS進(jìn)行對比，來識別DNS是否發(fā)生了變化。

2、 搜索引擎釣魚

原理：通常黑客會在網(wǎng)站代碼中插入js語句，從而將搜索引擎來的訪問指向某IP。監(jiān)控平臺通過爬蟲抓取代碼進(jìn)行代碼檢查，看其是否存在此類語句。

3、 反彈式釣魚

原理：中間人劫持會導(dǎo)致外界的訪問IP出現(xiàn)異常，通過部署在本地的監(jiān)控平臺，進(jìn)行流量分析可識別。

4、 仿冒頁面釣魚

原理：通過相關(guān)算法，利用搜索引擎在互聯(lián)網(wǎng)上發(fā)現(xiàn)疑似釣魚網(wǎng)站，并通過頁面相似度對比，來識別是否為釣魚網(wǎng)站，并進(jìn)行告警。