要防護網(wǎng)絡(luò)釣魚攻擊并制定相應(yīng)計劃，深入了解攻擊者很關(guān)鍵，需要更多地了解此類攻擊過程，包括從初始計劃及準備階段到釣魚網(wǎng)絡(luò)如何協(xié)助攻擊發(fā)生，再到提交誘餌并收集數(shù)據(jù) 這些信息不僅可以幫助企業(yè)和組織對不可避免的攻擊做到有備無患，在他們制定對抗攻擊的關(guān)鍵步驟時還能提供重要的參考，有時甚至可以預(yù)防攻擊。盡管無法保證攻擊者不攻擊您或您的企業(yè)，但請記住“凡事預(yù)則立”。

[[203630]]

計劃與準備

像任何軍事活動一樣，網(wǎng)絡(luò)釣魚攻擊都是從很多瑣碎的工作開始的。發(fā)起攻擊前，需要進行大量的研究和細致的計劃與準備。很多情況下，這些都不是一蹴而就的。它們是精心策劃的攻擊，能夠讓任何戰(zhàn)術(shù)家引以為傲。

收集信息 — 第一步

策劃網(wǎng)絡(luò)釣魚攻擊的第一步是搜集信息。釣魚組織(多數(shù)情況下，為團伙或網(wǎng)絡(luò)，并非牟取一己私利的獨立黑客)必須確定攻擊目標，然后搜集可讓攻擊滲透任何安全協(xié)議的重要信息。大多數(shù)黑客組織利用互聯(lián)網(wǎng)中繼聊天(IRC)進行策劃和戰(zhàn)略溝通，并討論攻擊目標、攻擊方法等，因為IRC是匿名的，并且安全。

釣魚組織以團伙或網(wǎng)絡(luò)形式出現(xiàn)，通常沒有核心領(lǐng)導(dǎo)。釣魚組織被稱之為“無標度網(wǎng)絡(luò)”，他們按照組織的一致意見行動而不受中央源的指導(dǎo)。Avalanche Gang就是一個典型例子。Avalanche Gang于2008年成立于東歐，并被認為對2009年大多數(shù)攻擊和破壞活動負責(zé)。有趣的是，Avalanche Gang是從一個更久遠的名為Rock Phish的組織中分裂出來的。二者均已解散，但未有任何成員被捕，因此這些黑客一定還存在，一直在密謀和竊取數(shù)據(jù)。

組織形成并開通在線聊天后，成員們便開始執(zhí)行具體任務(wù)。有的負責(zé)設(shè)計釣魚網(wǎng)站，有的負責(zé)對郵件和圖片進行編碼，有的負責(zé)創(chuàng)建組織將會使用到的郵件文本或通知，還有的負責(zé)在互聯(lián)網(wǎng)上廣撒網(wǎng)，尋找可用于攻擊目標的信息。他們盡力獲取員工姓名、社交賬戶信息等。

在確定主要目標和組織內(nèi)作為切入點的具體個人后，釣魚團伙就會開始下餌。誘餌可采取任何不同形式，但最常見的是設(shè)計用戶擔(dān)憂或關(guān)注的郵件內(nèi)容，提供鏡像預(yù)期訪問網(wǎng)站的釣魚網(wǎng)站地址。例如，2008年的鯨釣攻擊(針對公司高管)中利用的是虛假傳票郵件。郵件中包含每位高管的準確個人信息，包括姓名、電話號碼和地址，看起來非常真實，導(dǎo)致2000位不同的高管人員信以為真。

請好好思考一下。這些都不是知之甚少的低級別員工，而是有多年經(jīng)驗和商業(yè)頭腦的高級領(lǐng)導(dǎo)。他們都信以為真并點開了郵件鏈接。然而，該鏈接并不是提示他們輸入賬戶名稱和登錄，而是鏈接到一個可秘密下載惡意軟件到他們計算機上的網(wǎng)站。該惡意軟件可記錄鍵盤操作，獲取賬戶信息。

這只是其中一例。攻擊者手上有很多攻擊武器，包括：

• 提醒賬戶余額不足或檢測到賬戶中存在惡意活動的銀行郵件
• 免費贈品，上至高價值獎品，下至免費食品
• 虛假社交通知，如Facebook發(fā)來的關(guān)于朋友添加了本人照片的提醒
• 網(wǎng)絡(luò)安全公司發(fā)來的關(guān)于賬戶被攻擊的告警，通常包括聯(lián)系人信息、合法公司名稱和URL。攻擊者表示，實現(xiàn)這一切只需輕輕一點，剩下的就交由歷史了。通過訪問被攻擊主機，攻擊者幾乎可以做任何事情，包括植入惡意代碼、下載病毒和獲取數(shù)據(jù)。在某些情況下，攻擊組織可訪問重要的公司數(shù)據(jù)長達數(shù)月、甚至數(shù)年之久。

釣魚網(wǎng)絡(luò)

如上所述，網(wǎng)絡(luò)釣魚攻擊通常不是一個獨立的攻擊者 而是團隊完成的。這些團隊被稱之為釣魚網(wǎng)絡(luò)。你可以把他們想象成任何其他的商業(yè)網(wǎng)絡(luò)，團隊成員技能互補，一起為實現(xiàn)共同的事業(yè)或目標而努力。攻擊者表示，實現(xiàn)這一切只需輕輕一點，剩下的就交由歷史了。通過訪問被攻擊主機，攻擊者幾乎可以做任何事情，包括植入惡意代碼、下載病毒和獲取數(shù)據(jù)。在某些情況下，攻擊組織可訪問重要的公司數(shù)據(jù)長達數(shù)月、甚至數(shù)年之久。

很久之前，攻擊者常常各自為戰(zhàn)。這種情況可追溯至20世紀80年代，Dr. Rapp開發(fā)了一款木馬病毒，通過計算機軟盤進行傳播。然而，攻擊者很快就意識到人多力量大。大約在2006年，網(wǎng)絡(luò)犯罪分子開始團結(jié)起來形成網(wǎng)絡(luò)進行信息交換、相互學(xué)習(xí)、取長補短，并攻擊個人無法實現(xiàn)的目標。

所以，這些團隊是如何運作的? Cloudmark對典型釣魚網(wǎng)絡(luò)進行解析，以此來說明他們吸納具有理想技能的個人成功攻擊任何組織(無論規(guī)?；蛐袠I(yè))是何等容易。通常，他們中包括專注于批量郵件策略(包括精通語法技巧)的個人，還包括模板設(shè)計師、服務(wù)器管理員、購買可用于生成虛假借記卡等財務(wù)信息的出納員，以及運行自動化腳本的僵尸機。

當(dāng)然，事實遠非如此。很多技術(shù)可用來增強釣魚網(wǎng)絡(luò)。例如，Avalanche Group利用僵尸網(wǎng)絡(luò)(由被攻擊PC組成)提供釣魚網(wǎng)站，誘騙用戶主動提供目標信息。釣魚軟件包和工具的作用是了解初始攻擊的理想場所。

聊天室在釣魚組織的成功中發(fā)揮著重要作用。因為聊天室成員都急于尋找聊天對象，因而更容易受到釣魚攻擊影響。事實上，賽門鐵克在2013年發(fā)現(xiàn)了這樣一個釣魚組織。該組織使用一款亞洲聊天應(yīng)用程序，表面上讓用戶與印度和巴基斯坦婦女交談，但實際上竊取了用戶的賬戶憑據(jù)。

釣魚組織還具有利用受感染PC創(chuàng)建僵尸網(wǎng)絡(luò)的專有技術(shù)和動機。通過將這些受感染的機器組成一個網(wǎng)絡(luò)，他們能夠?qū)崿F(xiàn)更大的目標。最初的感染可能來自任何來源，包括路過式下載、木馬、包含受感染站點鏈接、甚至受感染文件的郵件，以及“快速通量”(fast flux是一種DNS技術(shù)，可將受感染站點隱藏在代理后面)。

簡而言之，這些釣魚組織復(fù)雜而又老練。他們規(guī)模大，傳播廣，且獨立自治。個人成員都是匿名的，他們動機明確，技術(shù)精湛。通過把這些技術(shù)精湛的人員(技術(shù)包括網(wǎng)站設(shè)計、病毒編碼、有效寫作、安全漏洞識別與策略)聚集在一起，這些網(wǎng)絡(luò)可以對最大的企業(yè)、組織甚至政府機構(gòu)構(gòu)成威脅。

下餌與信息搜集

網(wǎng)絡(luò)釣魚攻擊都要使用誘餌。釣魚網(wǎng)絡(luò)竭盡全力獲取員工或主管信息，但若不能創(chuàng)造出誘人的餌，所有的努力都是徒勞。因此，誘餌非常重要。若誘餌不引人注目，目標就不會采取預(yù)期操作(例如單擊鏈接)。這意味著攻擊者失去了攻擊目標，無論是入侵PC、財務(wù)信息還是個人數(shù)據(jù)，或其他完全不同的內(nèi)容。釣魚網(wǎng)路使用的誘餌的形式多種多樣。

最常見的是偽造郵件。這種情況下，郵件被偽裝成看似來自組織內(nèi)部人員的郵件。偽造的郵件看上去非常真實，包括郵件發(fā)送域名，，很難被檢測到。此類郵件的目的五花八門，最常見的目的是讓收件人：

• 點擊鏈接進入釣魚網(wǎng)站，此時收件人憑證可能會被盜或有惡意軟件下載到他們的計算機上
• 直接提供發(fā)件人要求的某類信息，通常是賬戶憑據(jù)或其他信息，幫助攻擊者實現(xiàn)其目標
• 下載受感染文件(Word、Excel或PDF格式)
• 點擊鏈接進入網(wǎng)站，并下載蠕蟲到自己的電腦上，從而竊取收件人的通訊錄聯(lián)系人信息，并發(fā)送更多虛假郵件

當(dāng)然，發(fā)送虛假郵件只是攻擊者的手段之一。他們也可進行所謂的“克隆釣魚”。這種情況下，攻擊者誘騙郵件收件人讓其誤以為郵件是是對先前消息的回復(fù)或是認識的人轉(zhuǎn)發(fā)的消息或文件。

攻擊者還會使用暴力釣魚。暴力釣魚恰如其名。在這種情況下，攻擊者將創(chuàng)建由隨機數(shù)字和字母組合而成的子域，與公司主要的郵件發(fā)送域相關(guān)聯(lián)。這一方法之所以奏效是因為大部分公司都有不止一個郵件發(fā)送域，并且其中一些郵件發(fā)送域還不支持DMARC協(xié)議。

Chatbot是攻擊者投給潛在受害者的又一種誘餌。為實施這種攻擊，首先建立社交網(wǎng)絡(luò)。Chatbot發(fā)送一個朋友請求，當(dāng)接收人接受請求，Chatbot幾乎立即向目標個人發(fā)送包含鏈接的信息。該鏈接聲稱包括對攻擊目標很重要的內(nèi)容(請記住，釣魚組織已做過研究且了解什么能讓目標個人“怦然心動”)。

上鉤

任何網(wǎng)絡(luò)釣魚攻擊的終極目標都是讓目標“上鉤”。一旦下餌，目標上鉤后，好戲就開始了。至此，攻擊者可訪問其需要的信息。若獲取了管理員憑證，攻擊者可以做很多事情，包括誘騙其他用戶。在最壞的情況下，攻擊者利用DNS緩存污染接管整個服務(wù)器，并將所有流量重定向至釣魚網(wǎng)站。攻擊者還能夠截獲數(shù)據(jù)，甚至掃描硬盤、收件箱及其他文件夾。

一旦加入，網(wǎng)絡(luò)釣魚攻擊者將開始數(shù)據(jù)提取流程。他們會抓取數(shù)據(jù)庫數(shù)據(jù)以獲取個人和財務(wù)數(shù)據(jù)，并將這些數(shù)據(jù)添加到電子表格中。他們對某些類型的數(shù)據(jù)特別感興趣，包括：

• 社保號
• 姓名全稱
• 通信地址
• 郵箱地址
• 信用卡號
• 密碼

一旦信息被抓取和保存，釣魚組織將執(zhí)行計劃的最后一步。他們在黑市上出售這些信息，其他人會利用這些信息竊取身份，開立新的信用卡賬戶，或利用他人資料偽造全新的身份。出價高者將得到這些數(shù)據(jù)，然后釣魚組織瓜分利潤。在某些地方，某些人可能愿意以1200美元的高價購買個人手機號碼和郵件地址。

網(wǎng)絡(luò)釣魚的可怕性不僅在于數(shù)據(jù)失竊，還在于攻擊易于發(fā)動。而且，任何企業(yè)、組織或政府機構(gòu)都可能成為受害者。唯一的防護方法是要提高警惕并做好準備。

原文鏈接：http://blog.nsfocus.net/phishing-tactic/

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文