網(wǎng)絡(luò)釣魚攻擊的目的包括：

• 竊取數(shù)據(jù)及金融詐騙
• 高級(jí)持續(xù)性威脅(APT)
• 惡意軟件傳播

網(wǎng)絡(luò)釣魚這種攻擊方式早就存在，但至今仍受攻擊者青睞。在搭建了合適的釣魚網(wǎng)絡(luò)、收集了信息以及放置誘餌之后，攻擊者可入侵任何公司、組織甚或政府機(jī)構(gòu)，造成極大破壞。實(shí)際上，時(shí)至今日，網(wǎng)絡(luò)釣魚仍是最有效、最受攻擊者歡迎的攻擊向量。

[[203628]]

數(shù)據(jù)竊取與金融詐騙

根據(jù)PhishLabs于2016年所作研究，2015年22%的魚叉式釣魚攻擊的動(dòng)機(jī)均為金融詐騙或其他相關(guān)犯罪。通過這種攻擊方式，攻擊者獲利頗豐，所以該類事件不勝枚舉。例如，2016年初針對(duì)木蘭健康公司(Magnolia Health)的攻擊中，一釣魚網(wǎng)絡(luò)假冒該公司CEO發(fā)送郵件。這就是所謂的偽造郵件釣魚攻擊，直接造成公司員工數(shù)據(jù)泄露，包括員工的社保號(hào)、工資標(biāo)準(zhǔn)、出生日期、通信地址、姓名全稱以及工號(hào)。

當(dāng)然，木蘭公司并非個(gè)例。2014年底與2015年初就發(fā)生了有史以來最大的醫(yī)療行業(yè)數(shù)據(jù)泄露事件，這次的目標(biāo)是Anthem公司。該事件泄露了3750萬份數(shù)據(jù)，涉及Anthem員工及病人。黑客竊取了姓名、通信地址、社保號(hào)、醫(yī)療識(shí)別號(hào)、收入數(shù)據(jù)、Email地址等，但并未竊取健康相關(guān)信息。

木蘭公司的數(shù)據(jù)泄露事件確認(rèn)為網(wǎng)絡(luò)釣魚導(dǎo)致，Anthem事件中所運(yùn)用的實(shí)際攻擊方法一直未有定論，不過，有專家認(rèn)為應(yīng)是網(wǎng)絡(luò)釣魚的變種。黑客先獲取了IT管理員憑證，在之后的兩個(gè)月中，隨意出入公司的數(shù)據(jù)庫。當(dāng)然，Anthem對(duì)失竊文件未進(jìn)行加密加劇了問題。

美國聯(lián)邦調(diào)查局(FBI)于2016年年中時(shí)發(fā)布警告，稱2016年上半年網(wǎng)絡(luò)釣魚攻擊造成的經(jīng)濟(jì)損失高達(dá)31億美元。這還僅僅是6個(gè)月的統(tǒng)計(jì)數(shù)字。最主要的威脅來自于企業(yè)郵件入侵(BEC)攻擊。FBI還警告，“BEC詐騙數(shù)量持續(xù)增長，手段不斷翻新，各種規(guī)模的企業(yè)均是其目標(biāo)。自2015年1月以來，確認(rèn)由數(shù)據(jù)泄露造成的損失增長了1300%。全美50個(gè)州、全球100多個(gè)國家均有此類事件發(fā)生。報(bào)告顯示，詐騙金額被轉(zhuǎn)往79個(gè)國家，主要是位于中國和香港地區(qū)的亞洲銀行?！?/p>

網(wǎng)絡(luò)釣魚APT

APT也是一種網(wǎng)絡(luò)攻擊者喜歡的攻擊方式。總的來說，這是一種長期感染或安全漏洞，可能持續(xù)數(shù)周、數(shù)月甚至長達(dá)一年而不為人知。這些攻擊中沒有“最常見”的目標(biāo)，基本上，任何人都可能被攻擊。各種規(guī)模的企業(yè)、非盈利組織甚至政府機(jī)構(gòu)都可能遭遇APT攻擊。還有一點(diǎn)很重要，APT多與外國政府和軍方有關(guān)，而非常規(guī)的釣魚網(wǎng)絡(luò)。

過去幾年間有數(shù)起成功的APT攻擊。其中最有名的包括2009年的極光行動(dòng)、2011年的HBGary Federal攻擊、同年發(fā)生的RSA攻擊以及之后的震網(wǎng)(Stuxnet)、APT1(涉及中國軍方)和APT28(涉及俄羅斯軍方)。這些攻擊持續(xù)時(shí)長不等，但方法相似，都始于魚叉式釣魚攻擊。

APT有如下特點(diǎn)：

• 持續(xù)進(jìn)行活動(dòng);
• 目的明確;
• 一般針對(duì)行事高調(diào)的目標(biāo);
• 屬于“誘捕式”攻擊。

誘捕式攻擊指目標(biāo)一旦上鉤，攻擊者便會(huì)長期潛伏，持續(xù)攻擊受害人。多數(shù)釣魚攻擊類似于肇事逃逸，持續(xù)時(shí)間相對(duì)較短，但APT會(huì)持續(xù)很長時(shí)間。之所以這樣，部分原因是受害者一般很難發(fā)現(xiàn)攻擊，因而也就無法進(jìn)行響應(yīng)。

如上所述，APT針對(duì)特定目標(biāo)，以實(shí)現(xiàn)特定目的。APT的任務(wù)從竊取資金到收集敵對(duì)政府的情報(bào)甚至是實(shí)現(xiàn)政治目標(biāo)不一而足。它們還經(jīng)常針對(duì)數(shù)字資產(chǎn)，如核電廠設(shè)計(jì)或高科技原理圖。

典型的APT攻擊包括如下6個(gè)主要步驟或階段：

1. 攻擊者收集目標(biāo)的信息，常用方法是社會(huì)工程，其他方法還包括網(wǎng)頁抓取、通過聊天室和社交網(wǎng)絡(luò)進(jìn)行人際互動(dòng)等。
2. 攻擊者構(gòu)造并發(fā)送釣魚郵件和/或消息，內(nèi)容針對(duì)目標(biāo)量身定制，真?zhèn)坞y辨，包括真實(shí)姓名、電話號(hào)碼、地址以及用以騙取信任的其他細(xì)節(jié)信息。
3. 目標(biāo)打開郵件，進(jìn)行操作：點(diǎn)擊鏈接打開受感染或偽造的網(wǎng)站，或下載受感染的文檔。不管哪種情況，目標(biāo)都已受騙上鉤。
4. 用戶所使用的系統(tǒng)被入侵。
5. 入侵系統(tǒng)接下來會(huì)感染目標(biāo)組織、公司或機(jī)構(gòu)的整個(gè)網(wǎng)絡(luò)。
6. 攻擊者伺機(jī)攻擊目標(biāo)獲取數(shù)據(jù)。最后，APT組織會(huì)提取數(shù)據(jù)并進(jìn)行解析和整理。

一旦感染并控制了目標(biāo)，APT實(shí)施者便能夠進(jìn)一步植入惡意軟件、病毒和其他威脅。例如，可部署遠(yuǎn)程訪問木馬(RAT)，讓APT組織長驅(qū)直入，訪問網(wǎng)絡(luò)中的任何數(shù)據(jù)。取得控制權(quán)后，APT組織會(huì)潛伏下來，監(jiān)聽并竊取信息，直到受害人發(fā)覺網(wǎng)絡(luò)被入侵，而在這之前，攻擊者一般有充足的時(shí)間不慌不忙地收集數(shù)據(jù)。

惡意軟件傳播

有些釣魚攻擊誘騙用戶在假冒網(wǎng)站或Web表單中輸入信息以竊取憑證，而有些則有進(jìn)一步企圖。惡意軟件由來已久，不過現(xiàn)在的它們比過去要高級(jí)得多。在受害者系統(tǒng)中安裝惡意軟件是釣魚網(wǎng)絡(luò)在滲透并感染目標(biāo)公司或組織時(shí)最喜歡的一個(gè)方法。釣魚組織主要通過兩個(gè)手段實(shí)現(xiàn)這個(gè)目的。

其中一種是通過惡意附件感染目標(biāo)系統(tǒng)。這種情況下，要精心構(gòu)造郵件并發(fā)給個(gè)人。郵件中包含附件，或?yàn)閃ord/PDF文件，或?yàn)槠渌袷降奈募o論哪種情況，郵件發(fā)送人看似都很可信，比如，可能是同事、老板、金融機(jī)構(gòu)等。

最好的情況是殺毒軟件在此類附件打開前進(jìn)行掃描并檢測到惡意軟件。然而，即使是最新的殺毒軟件有時(shí)也無法對(duì)壓縮文件進(jìn)行徹底掃描，風(fēng)險(xiǎn)依然存在。

勒索軟件在釣魚網(wǎng)絡(luò)中的地位日益凸顯，是最可怕的惡意附件之一。不過，勒索軟件還可以通過受感染網(wǎng)站下載，這意味著郵件附件并不是攻擊者的唯一選擇。勒索軟件恰如其名。這種惡意軟件先感染目標(biāo)系統(tǒng)，然后進(jìn)行加密，這樣就如同控制人質(zhì)一樣控制了硬盤中的所有數(shù)據(jù)。在個(gè)人、公司或組織支付贖金后，攻擊者釋放文件。消費(fèi)者、CEO甚或警察局都曾被如此勒索過。

通過附件傳播惡意軟件時(shí)還能使用宏病毒。這種病毒常用于感染微軟Office文件，啟動(dòng)程序或進(jìn)行特定操作都會(huì)觸發(fā)病毒。

釣魚網(wǎng)絡(luò)感染受害者時(shí)使用的另一個(gè)手段是惡意鏈接。這種情況下，郵件中包含的不是惡意附件，而是URL。郵件或社交媒體消息的目的是誘騙目標(biāo)點(diǎn)擊鏈接。一旦點(diǎn)擊，計(jì)算機(jī)中就開始下載代碼，或者用戶被定向至病毒/偽造網(wǎng)站，惡意軟件乘機(jī)植入到計(jì)算機(jī)中。

惡意鏈接比惡意附件更有效，因?yàn)獒烎~網(wǎng)絡(luò)竭力使消息看起來真實(shí)可信。前述木蘭公司攻擊中所使用的郵件就是這樣一個(gè)典型例子。郵件內(nèi)容各不相同，但如下幾種最常見：

• 通知用戶其賬戶被黑或遭遇某種惡意行為;
• 通知用戶進(jìn)行操作以避免賬戶被凍結(jié)或驗(yàn)證身份;
• 通知用戶檢測到金融賬戶存欺詐行為。

其他類似方法還包括搶注域名和誤植域名，這兩種方法依賴的都是正確拼寫的URL的變體。搶注域名是指注冊(cè)和實(shí)際公司域名非常類似的域名，然后再模仿真實(shí)公司網(wǎng)站偽造另一個(gè)網(wǎng)站。誤植域名的過程大同小異，但利用的是輸入公司域名時(shí)常見的打字錯(cuò)誤。

最后，網(wǎng)絡(luò)釣魚仍是攻擊者最靈活、最有效的武器之一。此外，隨著時(shí)間的推移，釣魚攻擊有增無減。公司和組織對(duì)于此類風(fēng)險(xiǎn)總是后知后覺，而在實(shí)施安全規(guī)程、進(jìn)行必要培訓(xùn)以抗擊日益增多的威脅方面行動(dòng)更為遲緩。之所以這樣說是因?yàn)榘踩录絹碓絿?yán)重，受影響公司既包括家得寶這樣的零售公司，也包括Anthem這樣的大型企業(yè)集團(tuán)。

原文鏈接：http://blog.nsfocus.net/phishing-attack-vector/

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文