压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　網(wǎng)絡(luò)釣魚主要用來騙取個(gè)人敏感信息，從而用于一些惡意目的。今天主要談釣魚用來做金融欺詐和身份盜竊的行為，包括對網(wǎng)銀、購物等欺詐行為。

　　隨著上網(wǎng)人群的增多，釣魚潛在目標(biāo)范圍也更大，有三個(gè)主要的可利用的地方：

　　個(gè)人信息泄露：很多用戶在網(wǎng)上有意無意泄露了自己的個(gè)人信息，雖然用戶認(rèn)為他沒有泄露過任何密碼，但在今天大數(shù)據(jù)的形勢下，掌握你其他信息，就可以爆破出密碼。

　　客戶敏感信息保護(hù)：很多網(wǎng)站安全保護(hù)措施薄弱，被黑客攻破拿到賬戶、訂單等信息用來欺詐。

　　犯罪分子技術(shù)進(jìn)步：犯罪分子的技術(shù)也在不斷進(jìn)步中，比如電子郵件欺詐、養(yǎng)號、DNS欺騙、客服回訪等更具有偽裝性的手段。對于一般用戶來說是很難防范的。

　　釣魚技術(shù)

　　早些時(shí)候，釣魚主要是使用電子郵件進(jìn)行，冒充自己是一個(gè)正規(guī)的銀行、購物網(wǎng)站，要求用戶更換密碼、驗(yàn)證賬戶等，這種方法到現(xiàn)在還在大規(guī)模使用。最近幾年，有一些新方法，比如偽裝成銀行有獎(jiǎng)?wù){(diào)查，要求提供你的銀行卡信息，同時(shí)偽造一個(gè)非常仿真的假網(wǎng)站釣魚。再比如專門針對賬戶信息的惡意軟件，尤其在手機(jī)端的安卓平臺上是重災(zāi)區(qū)。

　　在今天，釣魚已經(jīng)成為一個(gè)完整的產(chǎn)業(yè)鏈，所有釣魚需要的工具和技術(shù)都有專業(yè)人員包裝提供好，包括自動(dòng)采集郵件、發(fā)送釣魚郵件、釣魚網(wǎng)站托管、專門的惡意軟件等都有相應(yīng)的工具，其管理后臺甚至超過一般的中小網(wǎng)站技術(shù)水平。總體上包括以下手段：

　　1、僵尸/僵尸網(wǎng)絡(luò)

　　所謂僵尸機(jī)器是指計(jì)算機(jī)被遠(yuǎn)程控制，實(shí)際上可能通過IRC、HTTP等各種點(diǎn)對點(diǎn)協(xié)議實(shí)現(xiàn)控制，由于被遠(yuǎn)程操縱，因此稱之為僵尸機(jī)器。當(dāng)一批這樣的僵尸機(jī)器存在就稱之為僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)可以用來完成很多工作，包括發(fā)送郵件釣魚、WEB服務(wù)器釣魚、更新安裝惡意軟件、分布式拒絕服務(wù)、代理服務(wù)、刷各種活動(dòng)、漏洞掃描、檢測等。僵尸機(jī)器的產(chǎn)生，大部分是由于郵件、文件共享、各種即時(shí)通訊傳播而形成的。

　　2、釣魚服務(wù)

　　我們曾經(jīng)打擊過一些釣魚網(wǎng)站，每個(gè)釣魚網(wǎng)站的背后，都有一些某某釣魚公司、某某軟件公司的存在，這些釣魚公司、軟件公司設(shè)計(jì)完成各類釣魚頁面，從各大銀行到各大電商、三方支付公司、各個(gè)電視臺、微博等，還提供偽造的電子郵件服務(wù)器，為方便管理釣魚，提供代理、短信通知，甚至提供釣魚網(wǎng)站托管業(yè)務(wù)。這些公司的存在，最大程度的減少了釣魚者的技術(shù)障礙，讓其關(guān)于與核心業(yè)務(wù)：詐騙。

　　3、技術(shù)欺騙

　　很多用戶也從電視報(bào)紙上受到各種提示和教育，但釣魚技術(shù)也在進(jìn)步，包括url模糊化、瀏覽器漏洞利用、偽裝成各種視頻圖片的惡意文件、假基站、偽造電話號碼等。技術(shù)欺騙手段需要詳細(xì)的解釋一下：

　　(1)URL欺騙

　　URL欺騙的目的是讓用戶以為這是一個(gè)真網(wǎng)站，并且要在技術(shù)上簡單高效。最簡單的是http重定向，把惡意網(wǎng)站隱藏在合法鏈接里，這種釣魚欺騙比較容易檢測，當(dāng)鼠標(biāo)指向鏈接的時(shí)候在瀏覽器底部可以看到真實(shí)URL。第二種是圖片格式，圖片指向一個(gè)釣魚網(wǎng)站，和前面一樣也很容易檢測。第三種是替代編碼，把url變成十六進(jìn)制，比如http：//www.weibo.com，轉(zhuǎn)換后變成%68%74%74%70%3A%2F%2F%77%77%77%2E%77%65%69%62%6F%2E%63%6F%6D。，同樣也可以把IP地址192.168.1.1轉(zhuǎn)換成0xc0a80101，瀏覽器能夠解釋這兩種編碼，XSS攻擊里也常用這種手法。第四種則是類似的域名注冊，讓人看上去以為是合法網(wǎng)站，比如www.bank.com是真網(wǎng)站，而www-bank.com就是一個(gè)釣魚，類似的變換還有很多種。

　　(2)瀏覽器欺騙漏洞

　　一些漏洞可以利用WEB瀏覽器的問題混淆URL，甚至安裝惡意軟件。比如早年前IE的彈出窗口對象類型確認(rèn)漏洞，攻擊者偽造一個(gè)彈出窗口，正好覆蓋住url地址欄，而這個(gè)窗口又用了一個(gè)合法的圖片來遮掩。再比如ActiveX跨域漏洞，用戶查看特定頁面時(shí)可以遠(yuǎn)程執(zhí)行命令。

　　(3)瀏覽器跨域

　　也就是同源策略，但瀏覽器存在一些跨域漏洞，可以讀取其他網(wǎng)頁內(nèi)容、劫持token甚至跨域傳輸。

　　4、Session劫持

　　多數(shù)釣魚方法是想辦法讓用戶點(diǎn)擊惡意URL，Session劫持則是劫持會(huì)話，即使用戶正在訪問合法網(wǎng)站，也會(huì)被重定向到釣魚網(wǎng)站上去。結(jié)合現(xiàn)在大規(guī)模的家用路由漏洞，這種方法效果就更好了。

　　(1)域名解析攻擊

　　典型的例子是DNS緩存中毒，通過污染DNS緩存來達(dá)到目的。但這種手段攻擊成本高、影響大，黑產(chǎn)講究的是簡單實(shí)用，于是我們就看到更簡單的辦法，直接篡改主機(jī)上的host文件，這就容易多了，而且也很容易通過惡意軟件傳播。

　　(2)XSS攻擊

　　理論上XSS攻擊可以用來做很多事，wooyun網(wǎng)上常見的是盜取cookie技術(shù)，不過這種手段無疑不符合黑產(chǎn)簡單實(shí)用的作風(fēng)，用在黑產(chǎn)里的跨站，多數(shù)還是url重定向這一類。

　　(3)中間人攻擊

　　中間人攻擊的定義比較廣泛，總體意思是攻擊者能夠攔截、讀取、修改通信內(nèi)容。

　　5、木馬

　　同時(shí)也出現(xiàn)了很多定制化的木馬，專門針對某一類網(wǎng)銀、某一類網(wǎng)站，而且這類木馬可以簡單修改后復(fù)用，這種隱藏比較深的定制木馬成功率更高。但不管木馬怎么變化，技術(shù)上還是這些類：

　　(1)竊聽類

　　早年間有一些鍵盤記錄的工具，現(xiàn)在的竊聽工具可以做到，當(dāng)你輸入gongshangyinhang這種拼音的時(shí)候自動(dòng)觸發(fā)。同時(shí)也可監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包，雖然很多網(wǎng)站使用SSL協(xié)議，但在加密之前的信息仍可竊聽到。

　　(2)密碼類

　　有一些軟件利用google搜索技術(shù)搜集密碼，有一些則是暴力破解。現(xiàn)在更流行的則是社工撞庫。

　　(3)其他

　　我們之前抓到的一個(gè)木馬很有意思，當(dāng)你連接到某銀行的url時(shí)，木馬會(huì)直接接管，彈出一個(gè)釣魚網(wǎng)站，讓用戶輸入信息，輸入完之后則顯示網(wǎng)站維護(hù)中。另外一種變形是當(dāng)你進(jìn)入銀行網(wǎng)站時(shí)，彈出來一個(gè)對話框，要求你確認(rèn)賬號密碼。我們還聽說過在國外有一種軟件，甚至可以把轉(zhuǎn)賬過程也自動(dòng)化實(shí)現(xiàn)。

　　釣魚防范

　　對于反釣魚來說，單從技術(shù)上是很難解決的，所以針對釣魚行為，需要多種方法組合。

　　1、用戶教育

　　到目前為止，用戶教育仍然是一種主要方式。但現(xiàn)在釣魚也開始變得更巧妙，比如你會(huì)收到一封郵件，說你在某某購物網(wǎng)站的訂單信息如下，由于系統(tǒng)原因造成卡單，需要退款，請聯(lián)系QQ云云。由于郵件里給出了準(zhǔn)確的訂單信息，用戶就信以為真，實(shí)際上這是由于購物信息泄露導(dǎo)致的，這種情況下的用戶教育雖然很少看到，但實(shí)際案件中很多。而且不管你花多大代價(jià)去宣傳，總有一部分客戶在受到詐騙時(shí)大腦一片空白，完全忘記。

　　2、托管釣魚網(wǎng)站

　　現(xiàn)在很多國家、機(jī)構(gòu)成立了反釣魚聯(lián)盟，旨在最短時(shí)間內(nèi)關(guān)閉釣魚網(wǎng)站。目前最快的一家公司號稱在8個(gè)小時(shí)以內(nèi)全球關(guān)閉惡意網(wǎng)站，國內(nèi)也有互聯(lián)網(wǎng)公司和金融機(jī)構(gòu)組成的反釣魚聯(lián)盟，同時(shí)也有很多機(jī)器化的算法在檢測。但釣魚者的適應(yīng)能力更快，包括使用了動(dòng)態(tài)DNS、端口級重定向，來迅速的讓釣魚網(wǎng)站重生。

　　3、瀏覽器安全

　　很多瀏覽器都提供了針對釣魚網(wǎng)站的保護(hù)，在用戶訪問時(shí)通過和后臺數(shù)據(jù)庫比對來發(fā)現(xiàn)釣魚網(wǎng)站，但這還是慢了一步，因?yàn)樾枰跀?shù)據(jù)庫里記錄了這個(gè)釣魚網(wǎng)站。有的瀏覽器使用了啟發(fā)式的方法，比如url超長，url變形等檢測。

　　4、身份驗(yàn)證增強(qiáng)

　　國內(nèi)多數(shù)金融網(wǎng)站都必須有雙因素認(rèn)證，有的是令牌、有的是短信校驗(yàn)碼。互聯(lián)網(wǎng)公司為了增強(qiáng)客戶體驗(yàn)，會(huì)分析用戶的常用機(jī)器、IP來做判斷。這樣在最大程度上保護(hù)用戶驗(yàn)證。

　　5、病毒、木馬、釣魚郵件

　　現(xiàn)在的電腦不裝殺毒軟件的已經(jīng)很少了，但有些木馬是免殺的，可以繞過殺毒軟件。垃圾郵件預(yù)防對反釣魚也有作用，現(xiàn)在常用的郵件服務(wù)器技術(shù)包括黑名單、貝葉斯過濾等機(jī)制，但釣魚者也在升級技術(shù)能力，不斷地繞過這些檢測機(jī)制。

　　總體而言，網(wǎng)絡(luò)釣魚絕對是一個(gè)高利潤的違法活動(dòng)，手段上越來越多樣、成熟。在我國某些地方，比如福建某地、海南某地、湖南某地甚至形成了專業(yè)村，在國外，俄羅斯是黑客技術(shù)高超，東南亞是洗錢，巴西是信用卡詐騙。在新技術(shù)的使用上，偽基站，手機(jī)木馬也是迅速鋪開。而防護(hù)方則各自為戰(zhàn)，整體處于被動(dòng)局面，比如假基站就很難進(jìn)行打擊，對手機(jī)木馬的預(yù)防到現(xiàn)在也沒有完善的解決方案。因此，任重道遠(yuǎn)。

　　最后舉一些最近發(fā)生的案例，可以看到，多數(shù)手段其實(shí)技術(shù)難度都不大：

　　1、搜索引擎假客服

　　有個(gè)用戶在網(wǎng)上搜索X銀行客服電話，第一次搜到一個(gè)假客服電話，客服誘導(dǎo)用戶去一個(gè)釣魚網(wǎng)站輸入信息，從而導(dǎo)致資金損失。用戶后來發(fā)現(xiàn)資金有損失，再次上網(wǎng)搜索客服電話，又搜到一個(gè)假客服，假客服遠(yuǎn)程控制客戶電腦協(xié)助操作，再次導(dǎo)致資金損失。這些假客服電話是如何進(jìn)入搜索引擎的呢，分析發(fā)現(xiàn)某些知名度較大的網(wǎng)站存在漏洞，被人修改了網(wǎng)頁內(nèi)容，放上了假客服電話，而搜索引擎基于權(quán)重的排名機(jī)制，把這些假客服電話放在了搜索的前幾條。

　　2、偽基站

　　用戶收到某銀行短信，生成積分可兌換獎(jiǎng)品。用戶點(diǎn)擊短信鏈接后，輸入了個(gè)人信息并下載木馬客戶端。釣魚者利用用戶輸入的信息迅速轉(zhuǎn)款，而手機(jī)端的關(guān)鍵驗(yàn)證碼，則被木馬客戶端攔截發(fā)送給釣魚者。

　　3、兼職詐騙

　　最近是暑假期間，很多學(xué)生去找一些所謂網(wǎng)上兼職，幫別人打打字，每天就可以賺百元左右。在入職的時(shí)候，對方會(huì)要求提供身份證、銀行卡、支付寶賬號等信息，然后通過密碼找回，成功轉(zhuǎn)款。