【51CTO.com原創(chuàng)稿件】近幾周，iOS 應(yīng)用 WePhone 的創(chuàng)始人、開(kāi)發(fā)者蘇享茂自殺的消息引爆了輿論。作為跟程序員行業(yè)密切相關(guān)的熱點(diǎn)事件，本文在表達(dá)對(duì)逝者的惋惜與尊重的同時(shí)，也想從信息安全的角度聊一聊釣魚(yú)這件事。

[[204341]]

婚戀網(wǎng)站背后，可能藏著精心設(shè)計(jì)的釣魚(yú)攻擊

01事件回顧

詳見(jiàn)上周報(bào)道：37歲天才程序員之死：為何他被迫簽下總價(jià)1300萬(wàn)的離婚協(xié)議

不論是媒體還是觀眾，對(duì)此事都非常關(guān)注，并猜測(cè)最終導(dǎo)致蘇享茂走上自殺道路的原因。經(jīng)過(guò)記者的調(diào)查，蘇享茂與前妻翟某相識(shí)的平臺(tái)——世紀(jì)佳緣也許有著不可推卸的責(zé)任。

02婚戀交友平臺(tái)的漏洞

世紀(jì)佳緣注冊(cè)頁(yè)面 — 只有手機(jī)號(hào)是必填項(xiàng)

小編在世紀(jì)佳緣注冊(cè)了賬號(hào)，體驗(yàn)平臺(tái)的具體功能，結(jié)果發(fā)現(xiàn)，注冊(cè)和提交資料過(guò)程未經(jīng)過(guò)任何實(shí)名制審核。

此外，雖然世紀(jì)佳緣官網(wǎng)有“用戶靠譜度”的評(píng)價(jià)指標(biāo)，但即使是未經(jīng)過(guò)審核、沒(méi)有實(shí)名認(rèn)證的賬號(hào)也能獲得將近 70 分的評(píng)分(及格)。而百合網(wǎng)、珍愛(ài)網(wǎng)等知名婚戀交友網(wǎng)站都沒(méi)有實(shí)名認(rèn)證環(huán)節(jié)。

最值得注意的是，即使用戶主動(dòng)實(shí)名認(rèn)證，但在填寫(xiě)資料時(shí)，學(xué)歷、收入、住房、婚姻資料等信息也都可以隨意填寫(xiě)。而這些，正中詐騙者的下懷。

03基于婚戀交友網(wǎng)站的釣魚(yú)攻擊和網(wǎng)絡(luò)詐騙

早在 2010 年，就有人將網(wǎng)絡(luò)交友詐騙劃分了類(lèi)別，還將這種行為命名為 Catfishing。

Catfishing 是一種特殊的網(wǎng)絡(luò)釣魚(yú)攻擊方式，主要針對(duì)的是利用社交網(wǎng)站交友、婚戀的人群。攻擊者在社交網(wǎng)站上創(chuàng)建虛假個(gè)人資料，欺騙交友者，進(jìn)而騙財(cái)騙色騙感情，甚至竊取個(gè)人信息進(jìn)行更多惡意活動(dòng)。

伊朗黑客組織偽造的美女社交資料

發(fā)展至今，詐騙團(tuán)伙也有了新的花樣。他們從單純的欺騙轉(zhuǎn)向?yàn)榕c受害人建立感情基礎(chǔ)(如此一來(lái)，最后就算涉及詐騙，也難以立案)，隨后再實(shí)施詐騙計(jì)劃。此外，與以往的集中式詐騙團(tuán)伙不同，現(xiàn)在這類(lèi)詐騙呈現(xiàn)出分散化、自愿化的特點(diǎn)。

一個(gè)簡(jiǎn)單完整的產(chǎn)業(yè)鏈如下：

• 上游黑客利用技術(shù)爬取世紀(jì)佳緣、百合網(wǎng)等網(wǎng)站中的嘉賓信息，具體到姓名、聯(lián)系方式、學(xué)歷、資產(chǎn)信息、婚姻狀況、消費(fèi)情況等。
• 中游有人專(zhuān)門(mén)盜取社交網(wǎng)站中的美女圖片，注冊(cè)新微信賬號(hào)發(fā)朋友圈(養(yǎng)號(hào)、偽造成真實(shí)賬號(hào))。
• 下游根據(jù)爬取到的信息特征，與養(yǎng)的微信號(hào)進(jìn)行匹配，隨后偽裝身份并套用現(xiàn)有的話術(shù)模板，正式實(shí)施詐騙。

據(jù)知情者表示，利用這種模式，一個(gè)話務(wù)可以同時(shí)與 30 個(gè)左右的男士交流，交流到一定程度，甚至可以對(duì)其進(jìn)行思想控制，讓對(duì)方心甘情愿為自己花錢(qián)。

整個(gè)過(guò)程中涉及的信息泄露可謂驚人，不論是婚戀網(wǎng)站的嘉賓信息，還是社交網(wǎng)站中發(fā)布的個(gè)人照片，都有可能被不法分子利用，實(shí)施犯罪。

回到 WePhone 創(chuàng)始人自殺事件本身：女方隱瞞婚戀信息;女方稱(chēng)自己舅舅有背景可以封殺男方產(chǎn)品進(jìn)行威脅。

在婚姻存續(xù)期間，男方從未見(jiàn)過(guò)女方任何閨蜜、同事、朋友等，且在離婚過(guò)程中還有其他男性幫助女方實(shí)施威脅恐嚇、以及雙方微信聊天截圖中透露出的男方態(tài)度等，都很符合 catfishing 的特征。

04逝者已矣生者如斯

事情的真相還在進(jìn)一步調(diào)查。逝者已逝，我們?cè)诎У?、惋惜的同時(shí)，要正視并反思現(xiàn)如今網(wǎng)絡(luò)時(shí)代中的個(gè)人信息安全問(wèn)題。希望大家都能好好愛(ài)惜自己，無(wú)論遇到什么，都努力堅(jiān)持下去，活著，才能談明天。

GitHub “對(duì)自殺說(shuō)不”開(kāi)源協(xié)議

面對(duì)越來(lái)越多的網(wǎng)絡(luò)釣魚(yú)，我們?nèi)绾螒?yīng)對(duì)?下面我們?cè)敿?xì)了解一下網(wǎng)絡(luò)釣魚(yú)的演進(jìn)過(guò)程。

網(wǎng)絡(luò)釣魚(yú)攻擊定義

01何為網(wǎng)絡(luò)釣魚(yú)攻擊

網(wǎng)絡(luò)釣魚(yú)攻擊(phishing與fishing發(fā)音相近)是最初通過(guò)發(fā)送消息或郵件，意圖引誘計(jì)算機(jī)用戶提供個(gè)人敏感信息如密碼、生日、信用卡卡號(hào)以及社保賬號(hào)的一種攻擊方式。

為實(shí)施此類(lèi)網(wǎng)絡(luò)詐騙，攻擊者將自己偽裝成某個(gè)網(wǎng)站的官方代表或與用戶可能有業(yè)務(wù)往來(lái)的機(jī)構(gòu)(如 PayPal、亞馬遜、聯(lián)合包裹服務(wù)公司(UPS)和美國(guó)銀行等)的代表。

[[204342]]

攻擊者發(fā)送的通信內(nèi)容的標(biāo)題可能包含“iPad 贈(zèng)品”、“欺詐告警”或其他誘惑性?xún)?nèi)容。郵件可能包含公司的標(biāo)志、電話號(hào)碼及其他看似完全合法的內(nèi)容。

攻擊者的另一個(gè)慣用伎倆是使郵件看起來(lái)像是來(lái)自您的親朋好友，讓您以為他們要與你分享一些東西。

然而，當(dāng)您點(diǎn)擊了郵件中的鏈接，會(huì)被帶到虛擬網(wǎng)站而非真實(shí)網(wǎng)站，讓您在毫無(wú)戒備的情況下按照提示輸入個(gè)人信息。

攻擊者會(huì)獲取這些輸入信息，然后立即使用或在黑市上買(mǎi)賣(mài)用于惡意目的，或既自用又出售。

很多時(shí)候，用戶計(jì)算機(jī)也會(huì)受到感染，然后將釣魚(yú)郵件發(fā)送給通訊錄上的聯(lián)系人，助其肆意傳播(惡意代碼會(huì)控制受感染計(jì)算機(jī)的 Web 瀏覽器，該攻擊手段稱(chēng)為域欺騙。)

在傳統(tǒng)釣魚(yú)攻擊中，這些詐騙者會(huì)發(fā)送數(shù)百萬(wàn)“魚(yú)鉤”，只需較少用戶點(diǎn)擊鏈接“上鉤”。根據(jù)加拿大政府的統(tǒng)計(jì)，每日全球發(fā)送 1.56 億封釣魚(yú)郵件，而最終有 8 萬(wàn)用戶點(diǎn)擊郵件中的鏈接， 導(dǎo)致重大損失。

據(jù) Ponemon 機(jī)構(gòu)估計(jì)，通常擁有 10000 名員工的公司每年應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊的花費(fèi)就高達(dá) 370 萬(wàn)美元，而這種趨勢(shì)沒(méi)有減弱跡象，而是愈演愈烈。

02網(wǎng)絡(luò)釣魚(yú)實(shí)例

網(wǎng)絡(luò)釣魚(yú)攻擊形形色色，花招繁多，但萬(wàn)變不離其宗，即他們想騙取你的個(gè)人信息。

當(dāng)然，此類(lèi)攻擊所利用一個(gè)主要工具仍是易用的傳統(tǒng)郵件，通常這些郵件會(huì)發(fā)送給大公司工作繁忙或壓力大的員工，因?yàn)樗麄儠?huì)不假思索地點(diǎn)擊郵件中的鏈接。

盡管很多大公司已部署了防御措施(如惡意軟件檢測(cè)器或垃圾郵件過(guò)濾器)，但黑客已發(fā)現(xiàn)新的入侵方法，在一次攻擊事件中居然利用了空調(diào)。

確切地說(shuō)，攻擊者 2014 年入侵了零售巨頭 Target 的網(wǎng)絡(luò)，造成 1.1 億條信用卡信息泄露。

此次攻擊的原因是攻擊者對(duì)為 Target 在賓夕法尼亞州的零售店提供空調(diào)服務(wù)的法齊奧機(jī)械服務(wù)公司進(jìn)行了釣魚(yú)詐騙，因?yàn)樵摴揪邆?Target 供應(yīng)商數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。

法齊奧員工點(diǎn)擊了一個(gè)惡意鏈接，在毫不知情的情況下導(dǎo)致計(jì)算機(jī)被入侵，憑證被竊取，使攻擊者獲取了 Target 的訪問(wèn)權(quán)限。數(shù)月之后，攻擊者入侵了 Target 網(wǎng)絡(luò)。

最終，Target 還是盡其所能挽回了損失，而其他受害者就不一定這么走運(yùn)了。根據(jù) NBC 新聞 2012 年的報(bào)道，一位未透露姓名的英國(guó)女士稱(chēng)，她收到了一個(gè)看似來(lái)自銀行的釣魚(yú)郵件，點(diǎn)擊了鏈接，按照提示輸入了個(gè)人信息。

三天后，她賬戶上的 160 萬(wàn)美元不翼而飛，這可是她一生的積蓄。

03網(wǎng)絡(luò)釣魚(yú)攻擊的其他類(lèi)型

另一種非常流行的網(wǎng)絡(luò)釣魚(yú)攻擊方法稱(chēng)為搜索引擎釣魚(yú)，即詐騙者創(chuàng)建包含某些關(guān)鍵詞的網(wǎng)頁(yè)。

這樣，用戶搜索這些關(guān)鍵詞時(shí)會(huì)檢索出這些惡意頁(yè)面，然后會(huì)在 Google 中毫無(wú)戒心地單擊這些惡意鏈接，不會(huì)將其視為網(wǎng)絡(luò)釣魚(yú)詐騙，等意識(shí)到自己中招時(shí)為時(shí)已晚。

04語(yǔ)音釣魚(yú)和短信釣魚(yú)

“語(yǔ)音釣魚(yú)”和“短信釣魚(yú)”是兩種重要的移動(dòng)釣魚(yú)攻擊方法。

語(yǔ)音釣魚(yú)指通過(guò)語(yǔ)音進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，具體指攻擊者通過(guò)呼叫受害人進(jìn)行釣魚(yú)攻擊。

同時(shí)，在社交媒體風(fēng)行的當(dāng)下，人們公開(kāi)發(fā)布了大量信息。這樣，攻擊者就趁機(jī)獲取很多用戶信息，使自己的偽裝更加可信。

這些語(yǔ)音攻擊者可篡改來(lái)電號(hào)碼，使其看起來(lái)像是從另外一個(gè)號(hào)碼發(fā)起的呼叫，這樣就又為欺騙蒙上了一層面紗。

現(xiàn)在，快速發(fā)展的人工智能軟件完全可模仿人類(lèi)呼叫者，可想而知，以后的詐騙伎倆無(wú)疑讓人心生恐懼。

短信釣魚(yú)(SMS 釣魚(yú))攻擊，即通過(guò)向智能手機(jī)發(fā)送短信來(lái)發(fā)動(dòng)攻擊。McAfee 表示，在早期的短信攻擊中，攻擊者向受害者發(fā)送確認(rèn)消息，讓用戶打開(kāi)鏈接“取消”未訂購(gòu)的電話業(yè)務(wù)或其他服務(wù)。

在毫無(wú)戒心的用戶單擊鏈接后，其手機(jī)就變成大型釣魚(yú)詐騙網(wǎng)絡(luò)的成員。

網(wǎng)絡(luò)釣魚(yú)攻擊、魚(yú)叉式釣魚(yú)攻擊、域欺騙、語(yǔ)音釣魚(yú)、短信釣魚(yú)和社交工程欺詐僅僅是黑客用于獲取用戶信息所使用的幾個(gè)最新手段。為防止中招，點(diǎn)擊鏈接前請(qǐng)三思而后行。

網(wǎng)絡(luò)釣魚(yú)攻擊向量介紹

在搭建了合適的釣魚(yú)網(wǎng)絡(luò)、收集了信息以及放置誘餌之后，攻擊者可入侵任何公司、組織甚至政府機(jī)構(gòu)，造成極大破壞。

網(wǎng)絡(luò)釣魚(yú)攻擊的目的包括：竊取數(shù)據(jù)及金融詐騙、高級(jí)持續(xù)性威脅(APT)和惡意軟件傳播。

01數(shù)據(jù)竊取與金融詐騙

根據(jù) PhishLabs 于 2016 年所作研究，2015 年 22% 的魚(yú)叉式釣魚(yú)攻擊的動(dòng)機(jī)均為金融詐騙或其他相關(guān)犯罪。

通過(guò)這種攻擊方式，攻擊者獲利頗豐，所以該類(lèi)事件不勝枚舉。例如，2016年初針對(duì)木蘭健康公司(Magnolia Health)的攻擊中，某釣魚(yú)網(wǎng)絡(luò)假冒該公司 CEO 發(fā)送郵件。

這就是所謂的偽造郵件釣魚(yú)攻擊，直接造成公司員工數(shù)據(jù)泄露，包括員工的社保號(hào)、工資標(biāo)準(zhǔn)、出生日期、通信地址、姓名全稱(chēng)以及工號(hào)。

02網(wǎng)絡(luò)釣魚(yú) APT

APT 也是一種網(wǎng)絡(luò)攻擊者喜歡的攻擊方式?？偟膩?lái)說(shuō)，這是一種長(zhǎng)期感染或安全漏洞，可能持續(xù)數(shù)周、數(shù)月甚至長(zhǎng)達(dá)一年而不為人知。

這些攻擊中沒(méi)有“最常見(jiàn)”的目標(biāo)，基本上，任何人都可能被攻擊。各種規(guī)模的企業(yè)、非盈利組織甚至政府機(jī)構(gòu)都可能遭遇APT攻擊。

還有一點(diǎn)很重要，APT 多與外國(guó)政府和軍方有關(guān)，而非常規(guī)的釣魚(yú)網(wǎng)絡(luò)。

APT 有如下特點(diǎn)：

• 持續(xù)進(jìn)行活動(dòng)。
• 目的明確。
• 一般針對(duì)行事高調(diào)的目標(biāo)。
• 屬于“誘捕式”攻擊。

誘捕式攻擊指目標(biāo)一旦上鉤，攻擊者便會(huì)長(zhǎng)期潛伏，持續(xù)攻擊受害人。多數(shù)釣魚(yú)攻擊類(lèi)似于肇事逃逸，持續(xù)時(shí)間相對(duì)較短，但 APT 會(huì)持續(xù)很長(zhǎng)時(shí)間。

之所以這樣，部分原因是受害者一般很難發(fā)現(xiàn)攻擊，因而也就無(wú)法進(jìn)行響應(yīng)。

如上所述，APT 針對(duì)特定目標(biāo)，以實(shí)現(xiàn)特定目的。APT 的任務(wù)從竊取資金到收集敵對(duì)政府的情報(bào)甚至是實(shí)現(xiàn)政治目標(biāo)不一而足。它們還經(jīng)常針對(duì)數(shù)字資產(chǎn)，如核電廠設(shè)計(jì)或高科技原理圖。

典型的 APT 攻擊包括如下六個(gè)主要步驟或階段：

• 攻擊者收集目標(biāo)的信息，常用方法是社會(huì)工程，其他方法還包括網(wǎng)頁(yè)抓取、通過(guò)聊天室和社交網(wǎng)絡(luò)進(jìn)行人際互動(dòng)等。
• 攻擊者構(gòu)造并發(fā)送釣魚(yú)郵件和/或消息，內(nèi)容針對(duì)目標(biāo)量身定制，真?zhèn)坞y辨，包括真實(shí)姓名、電話號(hào)碼、地址以及用以騙取信任的其他細(xì)節(jié)信息。
• 目標(biāo)打開(kāi)郵件，進(jìn)行操作：點(diǎn)擊鏈接打開(kāi)受感染或偽造的網(wǎng)站，或下載受感染的文檔。不管哪種情況，目標(biāo)都已受騙上鉤。
• 用戶所使用的系統(tǒng)被入侵。
• 入侵系統(tǒng)接下來(lái)會(huì)感染目標(biāo)組織、公司或機(jī)構(gòu)的整個(gè)網(wǎng)絡(luò)。
• 攻擊者伺機(jī)攻擊目標(biāo)獲取數(shù)據(jù)。
• 最后，APT 組織會(huì)提取數(shù)據(jù)并進(jìn)行解析和整理。

一旦感染并控制了目標(biāo)，APT 實(shí)施者便能夠進(jìn)一步植入惡意軟件、病毒和其他威脅。

例如，可部署遠(yuǎn)程訪問(wèn)木馬(RAT)，讓 APT 組織長(zhǎng)驅(qū)直入，訪問(wèn)網(wǎng)絡(luò)中的任何數(shù)據(jù)。取得控制權(quán)后，APT 組織會(huì)潛伏下來(lái)，監(jiān)聽(tīng)并竊取信息，直到受害人發(fā)覺(jué)網(wǎng)絡(luò)被入侵，而在這之前，攻擊者一般有充足的時(shí)間不慌不忙地收集數(shù)據(jù)。

03惡意軟件傳播

有些釣魚(yú)攻擊誘騙用戶在假冒網(wǎng)站或 Web 表單中輸入信息以竊取憑證，而有些則有進(jìn)一步企圖。惡意軟件由來(lái)已久，不過(guò)現(xiàn)在的它們比過(guò)去要高級(jí)得多。

在受害者系統(tǒng)中安裝惡意軟件是釣魚(yú)網(wǎng)絡(luò)在滲透并感染目標(biāo)公司或組織時(shí)最喜歡的一個(gè)方法。釣魚(yú)組織主要通過(guò)兩個(gè)手段實(shí)現(xiàn)這個(gè)目的。

一種是通過(guò)惡意附件感染目標(biāo)系統(tǒng)。這種情況下，要精心構(gòu)造郵件并發(fā)給個(gè)人。郵件中包含附件，或?yàn)?Word/PDF 文件，或?yàn)槠渌袷降奈募o(wú)論哪種情況，郵件發(fā)送人看似都很可信，比如，可能是同事、老板、金融機(jī)構(gòu)等。

最好的情況是殺毒軟件在此類(lèi)附件打開(kāi)前進(jìn)行掃描并檢測(cè)到惡意軟件。然而，即使是最新的殺毒軟件有時(shí)也無(wú)法對(duì)壓縮文件進(jìn)行徹底掃描，風(fēng)險(xiǎn)依然存在。

勒索軟件在釣魚(yú)網(wǎng)絡(luò)中的地位日益凸顯，是最可怕的惡意附件之一。不過(guò)，勒索軟件還可以通過(guò)受感染網(wǎng)站下載，這意味著郵件附件并不是攻擊者的唯一選擇。

勒索軟件恰如其名，這種惡意軟件先感染目標(biāo)系統(tǒng)，然后進(jìn)行加密，這樣就如同控制人質(zhì)一樣控制了硬盤(pán)中的所有數(shù)據(jù)。

在個(gè)人、公司或組織支付贖金后，攻擊者釋放文件。消費(fèi)者、CEO 甚至于警察局都曾被如此勒索過(guò)。

通過(guò)附件傳播惡意軟件時(shí)還能使用宏病毒，這種病毒常用于感染微軟 Office 文件，啟動(dòng)程序或進(jìn)行特定操作都會(huì)觸發(fā)病毒。

釣魚(yú)網(wǎng)絡(luò)感染受害者時(shí)使用的另一個(gè)手段是惡意鏈接。這種情況下，郵件中包含的不是惡意附件，而是 URL。

郵件或社交媒體消息的目的是誘騙目標(biāo)點(diǎn)擊鏈接，一旦點(diǎn)擊，計(jì)算機(jī)中就開(kāi)始下載代碼，或者用戶被定向至病毒/偽造網(wǎng)站，惡意軟件乘機(jī)植入到計(jì)算機(jī)中。

惡意鏈接比惡意附件更有效，因?yàn)獒烎~(yú)網(wǎng)絡(luò)竭力使消息看起來(lái)真實(shí)可信。前述木蘭公司攻擊中所使用的郵件就是這樣一個(gè)典型例子。

郵件內(nèi)容各不相同，但如下幾種最常見(jiàn)：

• 通知用戶其賬戶被黑或遭遇某種惡意行為。
• 通知用戶進(jìn)行操作以避免賬戶被凍結(jié)或驗(yàn)證身份。
• 通知用戶檢測(cè)到金融賬戶存有欺詐行為。

其他類(lèi)似方法還包括搶注域名和誤植域名，這兩種方法依賴(lài)的都是正確拼寫(xiě)的 URL 的變體。

搶注域名是指注冊(cè)和實(shí)際公司域名非常類(lèi)似的域名，然后再模仿真實(shí)公司網(wǎng)站偽造另一個(gè)網(wǎng)站。誤植域名的過(guò)程大同小異，但利用的是輸入公司域名時(shí)常見(jiàn)的打字錯(cuò)誤。

此外，隨著時(shí)間的推移，釣魚(yú)攻擊有增無(wú)減，公司和組織對(duì)于此類(lèi)風(fēng)險(xiǎn)總是后知后覺(jué)，而在實(shí)施安全規(guī)程、進(jìn)行必要培訓(xùn)以抗擊日益增多的威脅方面行動(dòng)更為遲緩。

[[204343]]

網(wǎng)絡(luò)釣魚(yú)攻擊戰(zhàn)術(shù)

要防護(hù)網(wǎng)絡(luò)釣魚(yú)攻擊并制定相應(yīng)計(jì)劃，深入了解攻擊者很關(guān)鍵，需要更多地了解此類(lèi)攻擊過(guò)程，包括從初始計(jì)劃及準(zhǔn)備階段到釣魚(yú)網(wǎng)絡(luò)如何協(xié)助攻擊發(fā)生，再到提交誘餌并收集數(shù)據(jù)。

這些信息不僅可以幫助企業(yè)和組織對(duì)不可避免的攻擊做到有備無(wú)患，在他們制定對(duì)抗攻擊的關(guān)鍵步驟時(shí)還能提供重要的參考，有時(shí)甚至可以預(yù)防攻擊。盡管無(wú)法保證攻擊者不攻擊您或您的企業(yè)，但請(qǐng)記住“凡事預(yù)則立”。

01計(jì)劃與準(zhǔn)備

像任何軍事活動(dòng)一樣，網(wǎng)絡(luò)釣魚(yú)攻擊都是從很多瑣碎的工作開(kāi)始的。發(fā)起攻擊前，需要進(jìn)行大量的研究和細(xì)致的計(jì)劃與準(zhǔn)備。

很多情況下，這些都不是一蹴而就的。它們是精心策劃的攻擊，能夠讓任何戰(zhàn)術(shù)家引以為傲。

02收集信息—第一步

策劃網(wǎng)絡(luò)釣魚(yú)攻擊的第一步是搜集信息。釣魚(yú)組織(多數(shù)情況下，為團(tuán)伙或網(wǎng)絡(luò)，并非牟取一己私利的獨(dú)立黑客)必須確定攻擊目標(biāo)，然后搜集可讓攻擊滲透任何安全協(xié)議的重要信息。

大多數(shù)黑客組織利用互聯(lián)網(wǎng)中繼聊天(IRC)進(jìn)行策劃和戰(zhàn)略溝通，并討論攻擊目標(biāo)、攻擊方法等，因?yàn)?IRC 是匿名的，并且安全。

03釣魚(yú)網(wǎng)絡(luò)

網(wǎng)絡(luò)釣魚(yú)攻擊通常不是一個(gè)獨(dú)立的攻擊者，而是團(tuán)隊(duì)完成的，這些團(tuán)隊(duì)被稱(chēng)之為釣魚(yú)網(wǎng)絡(luò)。

你可以把他們想象成任何其他的商業(yè)網(wǎng)絡(luò)，團(tuán)隊(duì)成員技能互補(bǔ)，一起為實(shí)現(xiàn)共同的事業(yè)或目標(biāo)而努力。

攻擊者表示，實(shí)現(xiàn)這一切只需輕輕一點(diǎn)，剩下的就交由歷史了。通過(guò)訪問(wèn)被攻擊主機(jī)，攻擊者幾乎可以做任何事情，包括植入惡意代碼、下載病毒和獲取數(shù)據(jù)。在某些情況下，攻擊組織可訪問(wèn)重要的公司數(shù)據(jù)長(zhǎng)達(dá)數(shù)月、甚至數(shù)年之久。

04下餌與信息搜集

網(wǎng)絡(luò)釣魚(yú)攻擊都要使用誘餌。釣魚(yú)網(wǎng)絡(luò)竭盡全力獲取員工或主管信息，但若不能創(chuàng)造出誘人的餌，所有的努力都是徒勞。

因此，誘餌非常重要。若誘餌不引人注目，目標(biāo)就不會(huì)采取預(yù)期操作(例如單擊鏈接)。這意味著攻擊者失去了攻擊目標(biāo)，無(wú)論是入侵 PC、財(cái)務(wù)信息還是個(gè)人數(shù)據(jù)，或其他完全不同的內(nèi)容，釣魚(yú)網(wǎng)路使用的誘餌的形式多種多樣。

05上鉤

任何網(wǎng)絡(luò)釣魚(yú)攻擊的終極目標(biāo)都是讓目標(biāo)“上鉤”，一旦下餌，目標(biāo)上鉤后，好戲就開(kāi)始了。至此，攻擊者可訪問(wèn)其需要的信息，若獲取了管理員憑證，攻擊者可以做很多事情，包括誘騙其他用戶。

在最壞的情況下，攻擊者利用 DNS 緩存污染接管整個(gè)服務(wù)器，并將所有流量重定向至釣魚(yú)網(wǎng)站。攻擊者還能夠截獲數(shù)據(jù)，甚至掃描硬盤(pán)、收件箱及其他文件夾。

一旦加入，網(wǎng)絡(luò)釣魚(yú)攻擊者將開(kāi)始數(shù)據(jù)提取流程。他們會(huì)抓取數(shù)據(jù)庫(kù)數(shù)據(jù)以獲取個(gè)人和財(cái)務(wù)數(shù)據(jù)，并將這些數(shù)據(jù)添加到電子表格中。

他們對(duì)某些類(lèi)型的數(shù)據(jù)特別感興趣，包括：

• 社保號(hào)
• 姓名全稱(chēng)
• 通信地址
• 郵箱地址
• 信用卡號(hào)
• 密碼

一旦信息被抓取和保存，釣魚(yú)組織將執(zhí)行計(jì)劃的最后一步。他們?cè)诤谑猩铣鍪圻@些信息，其他人會(huì)利用這些信息竊取身份，開(kāi)立新的信用卡賬戶，或利用他人資料偽造全新的身份。

出價(jià)高者將得到這些數(shù)據(jù)，然后釣魚(yú)組織瓜分利潤(rùn)。在某些地方，某些人可能愿意以 1200 美元的高價(jià)購(gòu)買(mǎi)個(gè)人手機(jī)號(hào)碼和郵件地址。

網(wǎng)絡(luò)釣魚(yú)的可怕性不僅在于數(shù)據(jù)失竊，還在于攻擊易于發(fā)動(dòng)。而且，任何企業(yè)、組織或政府機(jī)構(gòu)都可能成為受害者，唯一的防護(hù)方法是要提高警惕并做好準(zhǔn)備。

網(wǎng)絡(luò)釣魚(yú)對(duì)策(反釣魚(yú))

對(duì)抗網(wǎng)絡(luò)釣魚(yú)的方法有技術(shù)性的，也有非技術(shù)性的。

這里著重介紹四種反釣魚(yú)技術(shù)：

• 反釣魚(yú)技術(shù)手段。
• 非技術(shù)對(duì)策。
• 模擬釣魚(yú)攻擊。
• 反釣魚(yú)小貼士。

01反釣魚(yú)技術(shù)手段

最有效、最常用的技術(shù)手段包括：

• 使用 HTTPS。
• 正確配置 Web 瀏覽器。
• 監(jiān)控釣魚(yú)網(wǎng)站。
• 正確配置郵件客戶端。
• 使用垃圾郵件過(guò)濾器。

使用 HTTPS

一般的 HTTP 網(wǎng)站使用 80 端口，而安全版本的 HTTP 即 HTTPS 使用 443 端口，使用 HTTPS 意味著瀏覽器與目標(biāo)服務(wù)器之間的所有信息均加密傳輸。

所以，HTTPS 的“S”表示“安全”(Secure)，但使用 HTTPS 訪問(wèn)網(wǎng)站并不能 100% 保證安全。

網(wǎng)絡(luò)釣魚(yú)者會(huì)使用 HTTPS 搭建釣魚(yú)網(wǎng)站，判斷網(wǎng)站合法性的最有效方法是驗(yàn)證證書(shū)詳細(xì)信息，合法的網(wǎng)站應(yīng)有由知名、可信的證書(shū)機(jī)構(gòu)(CA)頒發(fā)的證書(shū)。

正確配置 Web 瀏覽器

多數(shù)瀏覽器自帶工具防止用戶被定向至釣魚(yú)網(wǎng)站。Mozilla 火狐瀏覽器的“安全”配置頁(yè)面中的“常規(guī)”設(shè)置有如下幾個(gè)選項(xiàng)：

• 當(dāng)站點(diǎn)嘗試安裝附加組件時(shí)警告。
• 阻止已報(bào)告的攻擊站點(diǎn)。
• 阻止已報(bào)告的釣魚(yú)網(wǎng)站。

最好全部選中這三個(gè)選項(xiàng)以更好地保護(hù)自己，IE 瀏覽器的工具下拉菜單中有個(gè)SmartScreen篩選器。使用這個(gè)選項(xiàng)，你所訪問(wèn)的每個(gè)網(wǎng)站都會(huì)發(fā)送給微軟，微軟將根據(jù)舉報(bào)網(wǎng)站清單驗(yàn)證其真實(shí)性。

監(jiān)控釣魚(yú)網(wǎng)站

微軟等組織存有動(dòng)態(tài)更新的舉報(bào)網(wǎng)站清單，網(wǎng)上還有現(xiàn)成工具可在訪問(wèn)網(wǎng)站前進(jìn)行網(wǎng)站檢查，例如谷歌安全瀏覽工具。

正確配置郵件客戶端

最終用戶不能走進(jìn)機(jī)房配置郵件服務(wù)器，但能夠配置郵件客戶端處理郵件的方法。郵件客戶端的種類(lèi)很多，現(xiàn)在尤其如此，因?yàn)槿藗冊(cè)絹?lái)越傾向于在移動(dòng)設(shè)備上查看郵件。

重要的是要了解所選擇客戶端的特性，OutLook 仍然是最受歡迎的桌面郵件客戶端，提供網(wǎng)絡(luò)釣魚(yú)保護(hù)。

進(jìn)入垃圾郵件設(shè)置，禁用鏈接，接收關(guān)于可疑域和郵件地址的警告。若使用谷歌安全瀏覽工具，可在目標(biāo)網(wǎng)站前輸入如下 URL：

http://www.google.com/safebrowsing/diagnostic?site=

例如，在訪問(wèn) apple.com 前，將目的地址添加到上述 URL 中的“=”后，然后按回車(chē)鍵。

垃圾郵件過(guò)濾器

除了正確設(shè)置郵件客戶端，還可以在郵件中使用垃圾郵件過(guò)濾器。

02非技術(shù)對(duì)策

最有效的非技術(shù)對(duì)策是培訓(xùn)用戶，保證本組織內(nèi)部人員甚至家庭成員了解時(shí)下的網(wǎng)絡(luò)釣魚(yú)技術(shù)，防止他們成為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者。

有些組織甚至構(gòu)造釣魚(yú)郵件以識(shí)別容易上當(dāng)?shù)膯T工。點(diǎn)擊郵件中鏈接或未上報(bào)可疑情況的員工會(huì)被定向至培訓(xùn)網(wǎng)站，接受強(qiáng)制培訓(xùn)，有時(shí)甚至還要就培訓(xùn)內(nèi)容參加考試。

另一種非技術(shù)對(duì)策是法律政策。公司出臺(tái)政策保護(hù)員工及其資產(chǎn)不被攻擊。這種政策本身是非技術(shù)性的，但用于指導(dǎo)技術(shù)控制措施的制定。

目前，已有相關(guān)法律試圖保護(hù)消費(fèi)者免受垃圾郵件和釣魚(yú)攻擊的侵?jǐn)_，但這些案件很難追查，犯罪分子也很難定位。

03模擬釣魚(yú)攻擊

模擬釣魚(yú)攻擊指組織為自保而發(fā)起的釣魚(yú)攻擊，為了更有效地培養(yǎng)員工的反釣魚(yú)意識(shí)，組織會(huì)編寫(xiě)釣魚(yú)郵件發(fā)送給員工，試探誰(shuí)會(huì)上鉤。

許多模擬釣魚(yú)公司軟件允許公司自定義攻擊行動(dòng)，監(jiān)控結(jié)果。使用這種方法，可以對(duì)計(jì)劃的有效性進(jìn)行統(tǒng)計(jì)，目的是持續(xù)教育而非斥責(zé)、貶損用戶。

這種做法有爭(zhēng)議，但調(diào)查表明效果不錯(cuò)，在發(fā)動(dòng)這種模擬攻擊后，用戶加深了對(duì)網(wǎng)絡(luò)釣魚(yú)的認(rèn)識(shí)。這種模擬可與時(shí)俱進(jìn)，而不拘泥于已有的攻擊方法。

04反釣魚(yú)小貼士

首先要注意的是檢查可疑郵件地址行的“收件人”和“發(fā)件人”信息，確認(rèn)自己認(rèn)識(shí)郵件發(fā)送人，即使郵件來(lái)自于可信發(fā)送方，也要查看“收件人”這一行確認(rèn)自己是否為唯一收件人。

很多時(shí)候，攻擊者先入侵賬戶，再構(gòu)造釣魚(yú)郵件，最后可能為了節(jié)約時(shí)間通過(guò)入侵賬戶將郵件發(fā)送給盡量多的人，若發(fā)現(xiàn)有很多自己不認(rèn)識(shí)的收件人，你就要小心了。

在打開(kāi)郵件前，將鼠標(biāo)懸停在郵件上查看發(fā)件人那行中的發(fā)件人是否確為發(fā)件人，懸停鼠標(biāo)時(shí)，會(huì)出現(xiàn)一個(gè)小框，提示郵件相關(guān)的元數(shù)據(jù)信息，檢查信息，確認(rèn)是否與收件箱中內(nèi)容匹配。

若進(jìn)行這些操作后未發(fā)現(xiàn)反常情況，打開(kāi)郵件。郵件中若包含圖片、附件或 URL，對(duì)這些也要進(jìn)行檢查。許多釣魚(yú)郵件會(huì)包含 URL 鏈接，這些 URL 實(shí)際上是搶注域名和誤植域名網(wǎng)站。

結(jié)論

誰(shuí)都無(wú)法完全避免或阻止釣魚(yú)攻擊，但是可以盡自己所能保護(hù)資產(chǎn)，對(duì)用戶進(jìn)行網(wǎng)絡(luò)釣魚(yú)趨勢(shì)方面的持續(xù)培訓(xùn)。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】