攻擊事件概述

根據(jù)安全研究專家的最新發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子們目前正在利用一種經(jīng)過特殊設(shè)計的URL鏈接來對Gmail用戶進(jìn)行網(wǎng)絡(luò)釣魚攻擊。當(dāng)用戶點(diǎn)擊了惡意鏈接之后，攻擊者會誘使他們輸入自己的Gmail郵箱憑證，然后獲取到目標(biāo)用戶的郵箱密碼。需要注意的是，它與之前那些網(wǎng)絡(luò)釣魚攻擊不同，這是一種非常復(fù)雜的新型網(wǎng)絡(luò)釣魚攻擊，即使是一些專業(yè)的安全技術(shù)人員也有可能會被攻擊者欺騙。

攻擊技術(shù)分析

攻擊者會制作一個釣魚網(wǎng)頁，然后利用精心設(shè)計的URL地址來欺騙用戶訪問該頁面，然后輸入自己的賬戶憑證，這也是網(wǎng)絡(luò)釣魚攻擊者慣用的伎倆。可能很多人讀到這里，都會覺得釣魚攻擊離自己非常遙遠(yuǎn)，甚至?xí)J(rèn)為自己永遠(yuǎn)都不會遇到網(wǎng)絡(luò)釣魚。但是安全研究專家表示，他們所發(fā)現(xiàn)的這種新型網(wǎng)絡(luò)釣魚活動其攻擊效率非常高，而且很多懂技術(shù)的人也難以幸免。

在這種攻擊場景中，惡意信息是從目標(biāo)用戶通訊錄中某位聯(lián)系人的郵箱地址發(fā)送過來的，攻擊者會在惡意郵件中添加看起來像一個PDF文檔的圖標(biāo)。當(dāng)用戶打開了這封郵件之后，用戶可以直接在Gmail郵箱中點(diǎn)擊這個偽裝PDF文檔的圖片。當(dāng)目標(biāo)用戶點(diǎn)擊了郵件信息中的“attachment”(附件)圖標(biāo)之后，用戶會被重定向至一個由攻擊者控制的Gmail郵箱釣魚頁面。

WordFence在其發(fā)布的研究報告中寫到：“當(dāng)你點(diǎn)擊了這個“附件”之后，你會希望Gmail將郵件附件的內(nèi)容以文件預(yù)覽的形式顯示給你。但事實(shí)并非如此，當(dāng)你點(diǎn)擊之后，瀏覽器會在一個新標(biāo)簽頁中打開一個Gmail郵箱釣魚頁面，并要求你再次進(jìn)行Gmail郵箱登錄。一般來說，你會再檢查一次瀏覽器的地址欄，以確定地址中標(biāo)有“accounts.google.com”等字樣。當(dāng)你再一次完成了登錄操作之后，攻擊者也就成功地獲取到了你的賬號憑證。”

技術(shù)詳解

一切開始于一封看起來極其普通的電子郵件，唯一存在疑點(diǎn)的就是郵件中的那個附件文檔。由于我自己并不使用Gmail，所以我得用RoundCube郵箱客戶端來打開附件，但此時這個附件并不會正常工作。所以攻擊者的目標(biāo)必須是Gmail郵箱的用戶，而且他必須將郵件制作成如下圖所示的樣子：

問題就在這了，郵件下方這個所謂的“附件”其實(shí)就是一張圖片。其相應(yīng)的源碼如下：

嵌入其中的URL在經(jīng)過兩次重定向之后才會到達(dá)目的地址，這種技術(shù)也是釣魚攻擊中常用的技術(shù)，因為在第一地址不可達(dá)的時候它會動態(tài)跳轉(zhuǎn)到后背地址?？膳碌牡胤骄驮谟冢@個附件圖標(biāo)所指向的URL地址從表面上看是一個合法地址：

此時，用戶的瀏覽器并不會顯示任何的證書警告。安全研究專家經(jīng)過分析之后發(fā)現(xiàn)，上面這個URL地址看起來并沒有什么問題，但是它只是整個URL地址的一部分，它后面還跟有很多空格符，這樣就可以防止目標(biāo)用戶看到地址中的可疑字符串以及一個經(jīng)過代碼混淆的腳本，而這個腳本可以在目標(biāo)用戶的瀏覽器中新建一個標(biāo)簽頁，然后在新標(biāo)簽中打開一個Gmail郵箱釣魚頁面。

攻擊者對他所使用的JavaScript腳本進(jìn)行了簡單的混淆處理，但其實(shí)我們不需要對代碼進(jìn)行反混淆也能夠知道這段代碼想要做什么。

最后，代碼會被解析為一個簡單的iframe，這部分代碼是直接從Google網(wǎng)站上復(fù)制過來的，但是攻擊者需要將用戶信息發(fā)送給遠(yuǎn)程服務(wù)器中的1.php文件來進(jìn)行處理，這也是釣魚攻擊中常見的文件名，因為他們通常都很懶。

需要注意的是，這種類型的攻擊并不是最近才出現(xiàn)的，早在去年的七月份就已經(jīng)有不少的受害者報告過類似的攻擊事件了。

這種攻擊技術(shù)的一個主要特點(diǎn)就是，網(wǎng)絡(luò)犯罪分子在獲取到用戶的Gmail憑證之后，會立刻登錄該郵箱，然后再向該用戶的所有聯(lián)系人發(fā)送釣魚郵件。但是目前我們還不清楚攻擊者是否實(shí)現(xiàn)了整個攻擊過程的自動化。

安全專家Tom Scott在其Twitter上寫到：“這是我有生以來第一次如此地接近Gmail釣魚攻擊，要不是我的顯示器分辨率非常高而讓這個附件圖標(biāo)失真了，否則我也不會發(fā)現(xiàn)任何的異常，估計我也就成為這種釣魚攻擊的受害者。”

雙因素身份驗證(2FA)是否有效?

與之前一樣，我們建議廣大用戶盡可能地開啟Gmail郵箱的雙因素身份驗證(2FA)功能，以此來避免自己成為這種新型網(wǎng)絡(luò)釣魚攻擊的受害者。但是，如果網(wǎng)絡(luò)犯罪分子能夠立刻訪問被入侵的郵箱賬號，那么他們同樣可以在釣魚頁面中顯示雙因素身份驗證碼。

一位安全研究人員在接受Hacker News的采訪時說到：“雙因素身份驗證機(jī)制可以增加這種釣魚攻擊的難度，但是網(wǎng)絡(luò)釣魚攻擊也在變得越來越高端了。犯罪分子可以捕獲你所輸入的雙因素身份驗證碼，然后立刻利用你的2FA驗證碼和郵箱憑證建立一個新的通信會話。因此，硬件2FA(類似U盾)也許是防止這種釣魚攻擊的唯一方法。”

實(shí)際上，Google早在2016年3月份就已經(jīng)發(fā)現(xiàn)了這種新型的網(wǎng)絡(luò)釣魚攻擊。正因如此，Chrome安全團(tuán)隊才會在瀏覽器地址欄中用“Not Secure”標(biāo)簽來標(biāo)識那些包含“data:”、“blob:”以及其他標(biāo)簽的URL地址，因為釣魚攻擊者很有可能利用這些地址來進(jìn)行黑客攻擊活動。

如何保護(hù)你自己

當(dāng)你在登錄任何網(wǎng)絡(luò)服務(wù)的時候，一定要檢查瀏覽器地址欄是否有異常，然后驗證協(xié)議和主機(jī)名的合法性。當(dāng)你用Chrome瀏覽器登錄Gmail郵箱的時候，地址欄所顯示的內(nèi)容應(yīng)該如下圖所示：

而網(wǎng)絡(luò)釣魚攻擊者會使用各種各樣的方法來顯示不安全頁面的協(xié)議，比如說在協(xié)議上用紅線劃過等等，如下圖所示：

在本文所描述的攻擊場景中，用戶根本就不會看到任何的紅色或者綠色標(biāo)記。他們只會看到一行普通的文本地址，具體如下圖所示：

因此，這也就是為什么這種攻擊技術(shù)如此奏效的原因之一。此時，你要確保主機(jī)名“accounts.google.com”之前沒有其他一些不該出現(xiàn)的標(biāo)簽，然后確保協(xié)議為HTTPS協(xié)議，并且前面要有一個綠色的logo鎖(不光要是綠色的，而且還要在地址的最左側(cè))。如果你無法驗證協(xié)議和主機(jī)地址的合法性，那么你就應(yīng)該停下手中的操作，然后好好想想你是怎么來到這個頁面的。

如果可以的話，開啟你每一個網(wǎng)絡(luò)服務(wù)的雙因素身份驗證功能。Gmail郵箱稱其為“兩步驗證”，你可以參考教程來開啟該功能。

如何了解自己的賬號是否被入侵了?

對于普通用戶來說，目前還沒有什么方法可以查看自己的賬號是否被入侵了，你唯一能做的就是立刻修改郵箱的密碼。一般來說，你應(yīng)該每隔幾個月就修改一次密碼。

如果你使用的是Gmail的話，你可以查看郵箱的登錄操作記錄來確定除了你之外是否還有其他人登錄過你的郵箱。除此之外，你也可以訪問安全專家Troy Hunt所搭建的網(wǎng)站，這個網(wǎng)站在安全圈內(nèi)非常有名，你只需要輸入自己的郵箱地址，然后點(diǎn)擊“查詢”按鈕，你可以在該網(wǎng)站的數(shù)據(jù)庫中查看自己的郵箱數(shù)據(jù)是否發(fā)生了泄漏。