了解你的敵人 網絡釣魚攻擊的實現過程(1)

網絡釣魚是通過大量發送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，並獲取收信人在此網站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經濟利益。受害者經常遭受顯著的經濟損失或全部個人信息被竊取並用於犯罪的目的。這篇“了解你的敵人”文章旨在基於德國蜜網項目組和英國蜜網項目組所搜集到的攻擊數據給出網絡釣魚攻擊的一些實際案例分析。這篇文章關注於由蜜網項目組在實際環境中發現的真實存在的網絡釣魚攻擊案例，但不會覆蓋所有可能存在的網絡釣魚攻擊方法和技術。攻擊者也在不斷地進行技術創新和發展，目前也應該有（本文未提及的）新的網絡釣魚技術已經在開發中，甚至使用中。

在給出一個簡要的引言和背景介紹後，我們將回顧釣魚者實際使用的技術和工具，給出使用蜜網技術捕獲真實世界中的網絡釣魚攻擊的三個實驗型研究的案例。這些攻擊案例將詳細地進行描述，包括系統入侵、釣魚網站架設、消息傳播和數據收集等階段。隨後，將對其中普遍應用的技術及網絡釣魚、垃圾郵件和僵屍網絡等技術進行融合的趨勢給出分析。釣魚者使用惡意軟件進行自動化地 Email 地址收集和垃圾郵件發送的案例也將被回顧，同時我們也將展示我們在網絡掃描技術及被攻陷主機如何被用於傳播釣魚郵件和其他垃圾郵件上的發現。最後，我們對本文給出結論，包括我們在最近 6 個月內獲得的經驗，以及我們建議的進一步研究的客體。

這篇文章包括了豐富的支持性信息，提供了包含特定的網絡釣魚攻擊案例更詳細數據的鏈接。最後聲明一下，在研究過程中，我們沒有收集任何機密性的個人數據。在一些案例中，我們與被涉及網絡釣魚攻擊的組織進行了直接聯系，或者將這些攻擊相關的數據轉交給當地的應急響應組織。

引言

欺騙別人給出口令或其他敏感信息的方法在黑客界已經有一個悠久的歷史。傳統上，這種行為一般以社交工程的方式進行。在二十世紀九十年代，隨著互聯網所連接的主機系統和用戶量的飛速增長，攻擊者開始將這個過程自動化，從而攻擊數量巨大的互聯網用戶群體。最早系統性地對這種攻擊行為進行的研究工作在 1998 年由 Gordon 和 Chess 發表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究針對 AOL （美國在線）的惡意軟件，但實際上他們面對的是網絡釣魚的企圖而不是他們所期望的特洛伊木馬攻擊。網絡釣魚 (Phishing) 這個詞 (password harvesting fishing) 描述了通過欺騙手段獲取敏感個人信息如口令、信用卡詳細信息等的攻擊方式，而欺騙手段一般是假冒成確實需要這些信息的可信方。 Gordon 和 Chess 描述的一個釣魚信件如下所示：

Sector 4G 9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made void by loss of data in the Sector 4G 9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click 'Respond' and re-state your password. Failure to comply will result in immediate account deletion.

早期的網絡釣魚攻擊主要目的是獲得受害者的 AOL 賬號的訪問權，偶爾也期望獲取信用卡數據以用於欺詐目的 ( 如非法買賣這些信息 ) 。這些釣魚的信件通常包含一個簡單的詭計從而哄騙一些“菜鳥”用戶，這些欺騙手段很大程度依賴於受害者對“自動化的”系統功能或權威機構的（表面）輪廓的先天性信任，前面的例子中給出一個硬件設備故障或數據庫毀壞的情節，大部分的普通用戶將會重視任何看起來正式的、或看起來向是為他們提供幫助的緊急的技術上的要求，用戶通常會被催促盡快輸入其敏感信息從而避免嚴重後果，如“ … 重新輸入你的口令，如未及時輸入則將導致直接刪除賬號”。為了避免可能潛在的嚴重的後果，受害者通常立即照做，從而不知不覺地將這些使用此社交工程手段的黑客所需要的敏感數據提供給了他們。事後的證據表明這些黑客都是單獨行動，或是以一個小而簡單的組織形式活動。一些文獻也描述了早期的網絡釣魚者大多是一些期望獲得更多賬號數據去惡作劇及打長途電話的青少年，通常沒有很強的組織性和蓄意性。

現在，釣魚者所首選的策略是通過大量散發誘騙郵件，冒充成一個可信的組織機構（通常是那些釣魚者所期望的已經被受害者所信任的機構），去引誘盡可能多的終端用戶。釣魚者會發出一個讓用戶采取緊急動作的請求，而具有諷刺意義的是通常其理由是保護用戶的機密性數據免受惡意活動的侵害，這封欺騙性的電子郵件將會包含一個容易混淆的鏈接，指向一個假冒目標機構公開網站的遠程網頁。釣魚者希望受害者能夠被欺騙，從而向這個假的、但看起來是目標機構的“官方”網站的網頁接口輸入他們的機密信息。被釣魚者所青睐的目標機構包括很多著名的銀行，信用卡公司和涉及日常性支付行為的知名互聯網商務網站（如 eBay 和 Paypal 等 ）。大量針對互聯網用戶的釣魚郵件的實例可以在反網絡釣魚工作組 （ Anti-Phishing Working Group ）的網站上 的 釣魚郵件歸檔 中 可以獲得，其中許多郵件都顯示了釣魚者可以欺騙無知的用戶相信他們正在訪問一個合法的網頁接口的極高精確性。

在這個簡要介紹網絡釣魚概念的引言之後，我們將開始回顧在我們觀察到的真實網絡釣魚攻擊中所實際使用的技術和工具。如果你對網絡釣魚的更深入的背景知識感興趣，我們為你准備了 具體的背景信息這個頁面。

工具和策略

網絡釣魚攻擊一般僅利用一些簡單的工具和技術來欺騙無戒備心的用戶。支撐一次網絡釣魚攻擊的底層基礎設施可以是最基本的簡單地拷貝一個 HTML 頁面，上傳到一個剛剛攻陷的網站服務器，以及一個服務器端的用來處理用戶輸入數據的腳本，，也可能涉及更為復雜的網站及內容重定向，但他們的底層目標是一致的——架設一個假冒可信機構的網站，並部署一些必需的後台腳本處理用戶的輸入數據並讓攻擊者獲取。使用最新的 HTML 編輯工具可以非常容易地構建出模仿目標組織機構的網站，同時如果攻擊者不介意掃描互聯網 IP 地址空間以尋找潛在的有漏洞的主機，缺乏有效的安全防護的網站服務器也能夠非常容易地找到並被攻陷。一旦被攻陷，即使是家庭用的 PC 主機都可以作為釣魚網站的宿主主機，所以釣魚者的攻擊目標不僅僅是知名的企業和學院裡的系統。攻擊者經常不分青紅皂白地去選擇他們的目標主機，而僅僅是在一個大的 IP 地址空間中隨機地掃描，尋找可被利用的特定的安全漏洞。

一旦釣魚者建立起一個模仿可信機構的真實且能夠讓人信以為真的假冒網站後，對他們的重要挑戰是如何將用戶從一個合法的網站轉移到訪問他們所架設的假冒網站。除非釣魚者有能力去改變目標網站的 DNS 解析（稱為 DNS 中毒攻擊 ）或采取其他方式對網絡流量進行重定向（稱為 pharming 的一種技術），他們必須依賴某種形式的內容上的欺騙技巧，去引誘不幸的用戶去訪問假冒的網站。欺騙技巧的質量越高，他們所撒的漁網就越寬，一個無知的用戶錯誤地訪問這個假冒網站（並提供給釣魚者他的機密信息和私人數據）的機會就越大。

對攻擊者不幸的是，當他們假冒一個組織結構（如一個銀行或可信的商務網站），釣魚者通常沒有任何互聯網上哪些用戶屬於他們的客戶此類信息，也就不知道哪些用戶最容易上鉤。即使釣魚者可以將指向假冒網站的鏈接發布到與目標機構相關的一些聊天室或論壇上（如一個技術支持網站或網絡社區談論組），目標機構很可能比較迅速地被通知並做出反應，這個鏈接也會在很多受害者訪問它所指向的內容並提交他們的個人信息前被清除。同時對釣魚者也存在一個顯著的風險，目標機構或法律執行部門可能會追蹤並關閉這些假冒的網站。因此，釣魚者需要一個方法，能夠在盡量減少他們所承擔的風險的同時，在短時間內欺騙盡可能多的潛在受害群體，他們找到了理想的犯罪搭檔——垃圾郵件。

垃圾郵件發送者擁有包括幾百萬使用中電子郵件地址的數據庫，因此最新的垃圾郵件群發技術可以用來幫助一個釣魚者低風險廣泛地發布他們的誘騙郵件。垃圾郵件通常通過一些被攻陷的架設在境外主機上的郵件服務器，或是通過一個全球的傀儡主機網絡 ( botnets ) 進行發送，因此郵件發送者被追蹤的可能性將會很小。如果一個無戒備心的用戶收到一封看起來像是由他們的銀行所發來的，帶有銀行正式標志的電子郵件，要求他們訪問一個看起來與銀行官方網站一摸一樣的網站並由於安全理由更改他們在線的銀行口令，這比起那些介紹新奇產品並鏈接到未知網站的普通垃圾郵件來更可能使得用戶上當。為了增加用戶相信這個郵件是真實的可能性，釣魚者會應用一些另外的技術來進一步提高他們所進行的誘捕手段的質量：

在指向假冒網站的鏈接中使用 IP 地址代替域名。一些無戒備心的用戶將不會檢查（或不知道如何檢查）這個 IP 地址是否來自假冒網站頁面上所聲稱的目標機構。

注冊發音相近或形似的 DNS 域名（如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ），並在上面架設假冒網站，期望用戶不會發現他們之間的差異。

在一個假冒釣魚網站的電子郵件 HTML 內容中嵌入一些指向真實的目標網站的鏈接