發現“釣魚網站”的一些思路
責編:admin |2015-02-09 14:27:32背景:
釣魚網站是那些模仿社交、銀行、電商等網站,用于騙取用戶賬戶名與密碼的“套牌網站”。人們在訪問網站時,其URL顯示在地址欄中,但URL相似時(可以顯示虛假URL),人們常常忽視,如sohu.com寫成s0hu.com;同時大多數情況是網站驗證用戶的身份,而用戶不驗證網站的身份,這樣的結果就是用戶以為自己登錄的是正常網站,輸入賬戶與密碼,但實際上是把隱私信息送給了釣魚者。
發現“釣魚網站”的一些思路
為了讓用戶不易發覺自己上當了,釣魚網站有兩種處理方法:一是第一次告訴你密碼輸入錯誤,讓你重新輸入(很多人以為自己輸入手誤了),當然第二次就讓你連入真實的網站了。二是自己作為中間人,幫你把賬戶與密碼再轉發給正確的網站,并把網站返回的正常信息轉發給你,這樣還可以監控你的實時通訊。
釣魚網站需要你去主動訪問它,所以一般采用誘惑性手段,其實方法也很簡單:
1、用戶輸入的錯誤:一般是瞎貓撞上死耗子,如sohu.com輸入成sohu.net;
2、通過垃圾郵件發送,誘惑用戶點擊鏈接。這是釣魚者常用的伎倆,誘人的圖片、吸引眼球的新聞、感興趣的話題、安全軟件的升級包、新游戲試用……這與木馬的傳播有些相像;
3、入侵一些熱門網站,修改用戶常點擊的鏈接,或添加一些誘惑性廣告。這是黑客常用的方法,如官方網站的友好鏈接、電商網站的付款按鈕、社交網站的常用鏈接…
4、在社交網站上載信息。一般是經常發布“熱點消息”的人,上載熱門資料,誘惑人們去點擊它;
釣魚網站的危害是不言而喻的,密碼被盜的后果是嚴重的。無論是對用戶,還是對網站都是厭惡的,釣魚網站應該成為“風箱中的老鼠”,但如何發現它、如何識別它呢?
用戶很想做的事情:
用戶要識別釣魚網站,這好像不是一件很容易的事情,既然是釣魚網站,就做得足可以以假亂真,讓你不易察覺,很多“安全專家”建議你瞪大眼睛,注意URL的細節,注意網頁的細節…即使用戶都成了“火眼金睛”,騙術也是防不勝防,通常的結果是釣魚網站更加“逼真”了,方法更加出乎意料了。
有兩種方法是容易選擇的:
1、雙向認證:一些安全網站為了表明自己的身份,提供了雙向認證的機制,用戶可以通過網站的證書去第三方公正機關(互聯網上)進行身份驗證,確保自己上的是正確的網站。
但是,雙向認證方法不能保護用戶的利益。因為Web應用是訪問服務器時得到的頁面代碼,瀏覽器本身沒有存放“驗證代碼”。當訪問的是正確網站時,用戶端執行對服務器的認證流程;但訪問的是釣魚網站時,釣魚者不會讓用戶去驗證自己的釣魚網站吧。因此,用戶此時根本不知道是否執行了驗證服務器的過程。
2、安全軟件過濾:終端安全廠家推薦的方法,具體做法是,安裝安全軟件時時監控,類似防病毒軟件,當用戶訪問某個鏈接時,安全軟件先截獲URL鏈接,并送給安全公司(安全服務商)去驗證這個鏈接的安全性,當發現不處于“白名單”時,或者處于“黑名單”時,立即阻止用戶訪問,并報警。
但是,這種方法無疑增大了用戶訪問時的延遲,并且互聯網如此廣大,URL每天都在瘋狂增長,建立這樣的URL信譽庫,本身就是一件龐大的工程(目前一些互聯網安全公司聲稱在建立)。還是有一個問題是難解決的,就是釣魚網站本身也可以通過安全測試,進入URL信譽庫,這樣白名單策略就失靈了。
這種方法對于阻止用戶訪問有木馬的URL是有用的,目前百度、Google搜索提供對搜索結果的安全提示,就類似于這種機制。但是,對于釣魚網站效果不是很好,因為要判斷兩個URL的頁面雷同(相似有可能是釣魚網站),需要比對的工作量實在是太大了。
網站應該做的:
發現釣魚網站,用戶的發現是被動的,網站應該積極主動起來,不應該做旁觀者。
常見的釣魚網站有兩種類型,可分別采用不同的方式去主動發現:
a)一是仿真型:模擬真實的網站;
b)二是代理型:作為中間人,代理轉發用戶請求與網站反饋。
代理型釣魚網站比較好發現,因為網站會發現用戶的請求來自一個互聯網公共地址,它還提供用戶訪問頁面(釣魚頁面),你嘗試訪問它時,會發想同樣賬戶與口令的請求又送回給你。
仿真型釣魚網站比較麻煩,因為它與真實網站不聯系,只是訪問時的頁面雷同。這好比是北京人要去查找自己的“套牌車”,除非兩輛車開到了一起,才容易對比出來。首先,你如何知道自己的車已經被套牌了呢?往往是你發現有了違章,而你在那個時間就根本沒有去那個地方,當警察調出你“違章”的照片證據時,你才發現那是輛套牌車。然后,你嘗試去發現套牌車目前在哪里。你可以讓警察調出全城甚至全國的監控錄像,搜索那輛套牌車出現的位置,當然這是件幾乎不可能的事情。
搜索套牌車的最佳方法是建立這樣一套系統:
讓全城甚至全國的道路、停車場的違章攝像頭統統聯網。這些攝像頭都有一個共同的功能,就是可以識別出通過車輛的車牌號。你想發現車被套牌的時候(或你想看看是否被套牌時),就把這個車牌以“通緝犯”的名義下發給所有的攝像頭,當某個攝像頭發現這個車牌時,立即報告自己的位置。這套系統可以與停車場的管理系統相連,停車場一般在車輛出入口都有攝像,記錄進出車輛的車牌號,所以,直接搜索系統的數據庫就可以得到停車場內的車輛信息了。
用這種思路去發現仿真型釣魚網站也是可行的。我們可以先學習自己的網站,總結出容易比較的特征,如Hash運算。然后,去互聯網上搜索其他的網站,是否可以發現同樣特征的網頁,若有,就應該是釣魚網站。實際中我們比較一兩個頁面就可以初步判斷了,不用把網站上的大部分頁面都做比較。
具體的方法是:
在互聯網上提供一個服務平臺,輸入要保護的網站URL,學習網站頁面特征(定期更新),建立保護者單。與互聯網搜索公司合作(也可以與互聯網運營商合作),因為搜索公司的爬蟲、互聯網運營商核心鏈路上流量跟蹤,都是URL更新最快、數量最全的數據庫,訪問他們提供的URL,去比較每個網頁的特征是否匹配,發現雷同立即報警。
“主動發現”釣魚網站的方案:
把仿真型與代理型釣魚網站的發現思路合在一起,可以給出下面的具體方案。
網站安全監控平臺可以旁路在網站出口上,主要的工作有兩個:
1、與WAF合作,因為WAF是網站前的必經之路,可以提取所有訪問網站者的IP地址,進行代理型釣魚網站的探測。嘗試訪問該地址,會發現該地址再發來一個用戶請求,請求同樣的頁面;
2、學習自身網站關鍵頁面(容易被釣魚的網頁)的特征,訪問互聯網運營商,或者是搜索門戶的URL數據庫(更新部分),嘗試訪問這些頁面,與關鍵頁面的特征進行比對,發現雷同,立即報警。
該方案也可以由第三方機構建立一個互聯網URL公共數據庫,為每個網站提供釣魚網站的查詢使用。該數據庫可以在互聯網上部署探針,收集最新的URL,更新數據庫。
該方案還有一個好處,就是可以用來抵御DNS攻擊或DNS欺騙:
建立了URL的公共數據庫,可以同時存儲URL的IP地址,當發生DNS欺騙時,用戶可以主動進行相同URL的IP地址比對,發現不同時,可以報警。
下一篇:學linux必知基本知識