网络安全科普知识-那些年你“听不懂”的安全名词
来源: 发布时间:2017-09-13
本期主题:
那些年你“听不懂”的安全名词
也许你已经对网络钓鱼耳熟能详了,也许你也遇到过一些勒索软件或者病毒的攻击。但 catfishing 是什么?水坑攻击为什么叫水坑攻击?51% 攻击又是什么?边信道攻击可以预防么?近几年,各种攻击层出不穷,名字也千奇百怪。本文中,笔者就来说说几个比较好玩的安全名词。也许不够全面,欢迎补充。
不同的钓鱼方式
Spear Phishing 鱼叉式网络钓鱼
鱼叉式网络钓鱼指的是一种源于亚洲与东欧,只针对特定目标进行攻击的网络钓鱼攻击。
鱼叉式钓鱼攻击一般通过电子邮件等电子通信方式进行,针对特定个人、组织或企业。通常来说,攻击者会花时间了解攻击目标的姓名、邮箱地址、社交媒体张海等网络信息,进而假冒公司、组织甚至政府机构等权威机构的名义,发送虚假内容、恶意文件或恶意链接,诱使受害者点击或者登陆账号密码等。一旦受害者点击链接或输入账号密码,相关信息就会被窃取,黑客甚至会借机安装木马等恶意程序,持续破坏目标计算机。
由于鱼叉式网络钓鱼攻击的目标一般而言并非普通个人,而是特定公司、组织之成员,因此被窃取的也并非一般的个人资料,而是其他高度敏感性资料,如知识产权及商业机密等。鱼叉式钓鱼的发起者很多时候是政府资助的黑客和黑客活动分子。还有人利用鱼叉式钓鱼向政府和私私营企业转售机密数据。他们针对不同人设计不同的方法和社会工程技术,有效地将钓鱼消息和钓鱼网站做得个性化,更易于骗取信任。 因此,即便是组织内部的高层管理人员也有可能被欺骗去打开他们认为安全的邮件而被钓鱼。 网络犯罪分子借此可以窃取所需的数据,进一步攻击目标人士所在的网络。
鱼叉式钓鱼具有定制化、精准化的特性,传统的安全措施通常无法阻止这些攻击。 因此,鱼叉式钓鱼越来越难以被检测到。 一个员工失手点击了钓鱼邮件,可能会对企业、政府乃至非营利组织带来严重后果。 利用窃取到的数据,欺诈者可以透露商业敏感信息、操纵股票价格或进行各种间谍活动。 此外,鱼叉式钓鱼攻击还可以部署恶意软件来劫持计算机,将该计算机所在的网络变成可用于 DoS 的庞大僵尸网络。
要想避免鱼叉式钓鱼的攻击,各公司应当为员工提供教育,科普鱼叉式钓鱼攻击的严重后果并提升员工安全意识。此外,还有必要使用更高级技术保护电子邮件安全。
Catfishing 网络交友诈骗
Catfishing 是另外一种特殊的网络钓鱼攻击方式,主要针对的是利用社交网站交友、婚恋的人群。攻击者在社交网站上创建虚假个人资料,欺骗交友者,进而骗财骗色骗感情,甚至窃取个人信息进行更多恶意活动。
Catfishing 描述网络钓鱼的案例最早出现于 2010 年。当时,有一篇名为 “Catfish” 的文章讲述了一个故事:名为 Nev Schulman 的男子发现他在网上深爱的那名妙龄女子竟然是个中年已婚且有孩子的妇女。在发现事情真相后,他讲了一个比喻:为了让活鳕鱼在运输过程中保持新鲜和活力,人们一般会在鳕鱼群中放入一条鲶鱼(catfish)。因为鲶鱼是鳕鱼的天敌,为了躲避鲶鱼,鳕鱼会一直保持警惕,不会在死水中纹丝不动。借这个比喻,Nev 提醒人们在社交网站交友时也要保持警惕,不能掉以轻心。自此,人们便用 “catfishing” 来形容那些利用社交网站和网络交友进行欺诈的行为。
近些年电信诈骗手段也是花样百出,利用 Catfishing 的诈骗也不在少数。有新闻报告,诈骗团伙会在微信朋友圈以及其他社交网站搜集美女图片,然后开设微信号,随机加男性,逐步聊天最后实施诈骗。诈骗金额从几百到几万不等。
前段时间伊朗 TG-2889 黑客团体成员伪装成名为 Mia Ash 的女性进行钓鱼攻击的例子也可以说是属于catfishing了。他们还给 Mia Ash 这个身份设置了一套完整的社交媒体形象资料,展开行动。据说 Mia Ash 会去动联系目标机构的员工,在接触几个月后就会给目标发送恶意Excel文档。当然,这个组织经验老道,攻击手法不会单一,所以利用 Mia Ash 展开攻击的过程其实还涉及鱼叉式钓鱼和其他社工攻击手段。
[参考来源:thesun]
Punycode Phishing 同形异义字钓鱼攻击
2017 年 4 月,国内安全专家 Xudong Zheng 发现了一种新型“几乎无法检测”的钓鱼攻击,即便平时十分谨慎的用户也可能无法逃过欺骗。黑客可利用 Chrome、Firefox 和 Opera 浏览器中的已知漏洞,将虚假的域名伪装成苹果、谷歌或者亚马逊网站,以窃取用户的登录凭证、金融凭证或其他敏感信息。在这里,黑客其实利用的就是 Punycode Phishing (同形异义字攻击)。
同形异义字攻击自2001年以来就已为人所知,但是浏览器厂商修复该问题的过程却很艰难。这种欺骗攻击就是网址看起来是合法的,但实际上不是,因为其中的一个字符或者多个字符已经被Unicode字符代替了。在默认情况下,许多web浏览器使用“Punycode”编码来表示URL中的Unicode字符,以防止同形异义字钓鱼攻击。Punycode是浏览器使用的特殊编码系统,可以将古希腊语等无法使用 ASCII(美国信息交换标准代码)表达的字符转换为可以用 ASCII 表达的字符。例如, ΓΝΩΘΙΣΕΑΥΤΟΝ (“know yourself”) 转译程 ASCII 字符就变成这样: xn—mxadglfwep7amk6b 。
而 Punycode Phishing 所依赖的基础则是:浏览器只将单一语言采用的 Unicode 编码转换为Ponycode URL (比如汉语或者日语),但是如果一个域名当中包含来自多个语言的字符,浏览器就无法分辨了。因此,攻击者就可以利用这个特点,发起 Punycode Phishing。例如罗马字母中的 I, E, A,Y, T, O 等与希腊字母、西里尔字母的外形一样,它们会被浏览器处理成不同的字符,但是最终在地址栏里显示的结果却是一样的。
当时,研究人员利用 Punycode 的上出特点注册了域名,进行攻击演示,最后发现 Chrome、Firefox和 Opera 浏览器都中招。这些浏览器在收到漏洞预警后先后都进行了修复。同时也提醒用户在手动输入重要网站 URL 时(包括Gmail、Facebook、Twitter、Yahoo 及银行网站)不要点击某些网站或者邮件当中的上述网站链接,以免遭受类似钓鱼攻击。
钓鱼攻击在网络攻击中实在太常见,以至于衍生出不同种类、区分特别细致的多种比较特别的钓鱼攻击。在 BlackHat USA 2017 大会上,有研究人员分析了网络钓鱼中的心理学原理,最后得出的结论是,不论一个人自身技术水平有多高,都难免受到钓鱼攻击的影响,因为钓鱼攻击深深利用了人们的心理和思维弱点。 不得不说,这真的有些悲观。
Watering Hole Attack 水坑攻击
水坑攻击时一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
早在 2012 年,国外就有研究人员提出了“水坑攻击”的概念。这种攻击方式的命名受狮子等猛兽的狩猎方式启发。在捕猎时,狮子并不总是会主动出击,他们有时会埋伏水坑边上,等目标路过水坑停下来喝水的时候,就抓住时机展开攻击。这样的攻击成功率就很高,因为目标总是要到水坑“喝水”的。
水坑攻击主要呈现出两个特征:
1.多属于 APT 攻击,目标多为是大型、重要企业的员工或网站;
2. 多利用 0-day 漏洞。
水坑攻击的案例不时会有出现。2012 年底,美国外交关系委员会的网站遭遇水坑攻击;2013 年初,苹果、微软、纽约时报、Facebook、Twitter 等知名大流量网站也相继中招。国内网站也难以幸免:2013 年,西藏政府网站遭遇水坑攻击;2015 年,百度、阿里等国内知名网站也因为 JSONP 漏洞而遭受水坑攻击。
针对这类攻击,重要的一点也是对用户进行教育,让他们意识到这类攻击及其危害性,遇到点击链接的要求时越谨慎越好。其次企业组织本身也要提高警惕,采取更高级的手段检测并对抗攻击。[参考来源:threatpost]
Drive-by Download 路过式下载
路过式下载(Drive-by download)常常用于网络攻击。大多指不希望用户知晓、暗中进行的下载行为。在网络攻击中,路过式下载会在用户不知道的情况下,下载间谍软件、计算机病毒等恶意软件。当用户访问一个网站、阅读一封电子邮件、或者点击一个欺骗性弹窗的时候,都有可能触发路过式下载。
路过式下载攻击通常会利用老旧的或者有漏洞的浏览器、APP 或操作系统。下载的初始恶意代码通常较小,不容易被注意到。下载之后,这种体积较小的代码会连接到其他电脑上,再继续将剩下的代码下载到手机、平板或计算机上。遭受路过式下载攻击的网页中通常包含多种不同类型的恶意代码,这样,代码利用计算机漏洞的可能性会高一些。
一般成人网站或者文件分享网页比较容易遭受路过式下载攻击,邮件正文的链接中也容易隐藏此类代码。专家建议可以采取以下三点措施进行预防:
1. 及时更新浏览器和操作系统;
2. 使用安全搜索引擎,安全搜索引擎在你不小心访问恶意网站时会给出警告;
3. 安装功能较为全面的安全软件,并及时更新。