南方的早春總是伴著綿綿細雨,難得今天是個晴朗天,某服裝公司的張經理帶著十幾個重要員工來到郊外一個魚塘進行垂釣活動。張經理放置好釣具后,便打開了隨身攜帶的筆記本電腦并連上網絡,他想利用這點時間處理一下最近的一筆生意。秘書見他在這種時候還離不開工作,便勸他:“經理,今天是游玩的日子,難得放松一下,今天還是不要處理公司業務了吧……您不怕釣竿被魚叼走了?”張經理對秘書笑了笑,看著身前的釣竿緩緩說道:“都說姜太公釣魚,愿者上鉤,但是如果不知道提竿的時機,即將到手的魚也會溜走的。等這筆生意談妥,我再休息也不遲。”說罷又繼續低頭敲鍵盤。
生意終于談妥,客戶把貨款轉入張經理的銀行賬戶,張經理笑了:“這條大魚終于被我釣到了。”然后他登上網絡銀行賬戶查看轉賬情況。當頁面上顯示出賬戶剩余金額時,張經理心里一緊,接著有了暈眩的感覺:賬戶里原來的存款不翼而飛,頁面里惟有客戶剛剛轉入的貨款,仿佛在嘲笑著張經理。
張經理做夢也沒想到,這一次,他成了別人釣上的魚,而且是大魚。
釋疑網絡釣魚
網絡釣魚(Phishing),并不是一種新的入侵方法,但是它的危害范圍卻在逐漸擴大,成為近期最嚴重的網絡威脅之一。Phishing就是指入侵者通過處心積慮的技術手段偽造出一些以假亂真的網站和誘惑受害者根據指定方法操作的email等方法,使得受害者“自愿”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)的手段。入侵者并不需要主動攻擊,他只需要靜靜等候這些釣竿的反應并提起一條又一條魚就可以了,就好像是“姜太公釣魚,愿者上鉤”。
看到這里,有些讀者可能會說,這不是社會工程學嗎?兩者都是騙人的手段啊。不錯,網絡釣魚里面的確有社會工程學的影子,但是與后者相比,網絡釣魚更趨向于技術方面,因為它不僅僅是欺騙,里面還必須摻入技術成分,否則如果連“垂釣者”自己都無法控制“釣竿”的話,又怎么可能釣到魚呢?
視覺陷阱:網頁背后的釣竿
警察正在分析張經理那臺筆記本電腦硬盤里的數據,張經理本人在報案時因心臟病發作而住進了醫院。由于無法得知張經理最后一次登錄網絡銀行的時間,而且系統里也沒有感染任何偷盜賬號的后門程序,案件變得有點撲朔迷離起來。一個分析員無意中打開了Foxmail,發現最后一封信件是銀行發送的,主題為“XX網絡銀行關于加強賬戶安全的通告”,分析員預測案件與這封信件有重大關系,馬上打開閱讀。這是一封HTML網頁模板的信件,內容大意為銀行為了加強賬戶安全而升級了系統,請各位客戶盡快重新設置賬戶密碼,末尾還給出了設置密碼的URL鏈接。
幕后黑手果然在這里!分析員馬上查看信件源代碼,很快就找出了其中的貓膩:正如常說的 “說的一套,做的一套”,這個郵件的作者采用了“看的一套,進的一套”這種簡單的欺騙手法,入侵者利用HTML語言里URL標記的特性,把它寫成了這樣:“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉http://www.xxbank.com.cn/account/index.asp〈/A〉”,由于心理作用,受害者潛意識里都會直接點擊那個寫著“http://www.xxbank.com.cn/account/index.asp”的URL鏈接,然而他們并不知道,這個點擊實際上是把他們引向“http://www.xxxbank.com.cn/account/index.asp”這條釣竿!而這個所謂的更改密碼頁面,當然偽造得與真正的銀行頁面完全一致,但是它的“更改密碼”功能卻是把賬號和密碼發送到了幕后的“垂釣者”手上,然后“垂釣者”登錄上真正的網絡銀行改了受害者設置的密碼,并順手牽羊把銀行賬戶里的存款轉移掉。這樣釣來的魚,即使是小魚也會讓“垂釣者”在夢里發出笑聲來了,即使一條太小,積累起來的數目也會變得相當可觀了。在金錢的誘惑下,“垂釣者”一次又一次提竿,殊不知,他自己也是被金錢釣竿釣上的一條魚。
拙劣手段成功的關鍵
為什么如此拙劣的技術卻能頻頻得手呢?在你的實際生活中有沒有遇到類似的情況呢?你會采取什么樣的預防措施呢?
因為網絡釣魚充分利用了人們的心理漏洞,首先,人們收到銀行這類影響力很大的商務郵件時幾乎都會緊張,很多人都不曾懷疑信件的真實性,更會下意識地根據要求打開郵件里面指定的URL進行操作;其次,頁面打開后,我們通常都只會留意頁面內容而不會注意瀏覽器地址欄的顯示,正是這點讓“垂釣者”有了可乘之機。
其實“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像一回事似的,只是現在IE普遍打了補丁,這種情況下還使用這個漏洞就會“不打自招”了,所以只有極少數“垂釣者”會采用這個方法,有的“垂釣者”根本連個看起來“比較正規”的域名都沒有,而是采用IP地址形式甚至直接光明正大把真實地址顯示在瀏覽器的地址欄里——因為他們知道,除非出現意外情況,否則大部分人根本是不會注意瀏覽器的地址欄的。
這里順便提一下那封email,為什么張經理會上當呢?縱然,如果那封email的發件人地址不是銀行網站的,那么白癡都看得出來這是偽造的郵件。但是問題就出在這里,這封email的發件人地址清清楚楚寫著該銀行網站的技術支持信箱地址!“垂釣者”是怎么做到的呢?很簡單,一些未經設置的email服務器并不會驗證用戶信息是否真實,于是騙子用這樣的郵件服務器發送一封偽造了發件人地址的信件簡直是易如反掌。
借竿釣魚:愛恨交加的搜索引擎
由于Internet的迅速發展,信息量大爆炸時代隨著網絡的普及聳立在世人面前,我們可以獲取信息的途徑越來越多,但是查找特定的信息數據也開始變得困難,為此人們急切需要一種能盡量把各種信息統一管理并提供簡便搜索功能的工具,搜索引擎因此而誕生。與此同時,搜索引擎的代表作Google由于技術的強大已經成為病毒和入侵者窺視的焦點。
這次,依舊是Google惹的禍。很早以前,Google就“提供”了一種“搜索入侵”:入侵者通過在Google上查詢某些特定的字符,可以發現甚至直接進入存在該漏洞的計算機,當年有許多存在Unicode漏洞的計算機就是被Google拎了出來——只要搜索諸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此類的關鍵字就能發現很多包含“Directory of”字符串的IP地址,點擊進去,你會發現你已經用Unicode漏洞入侵了該計算機……現在雖然這個方法已經基本失效,但是Google帶來的安全性問題卻更值得引起所有人的重視。面對強大的Google,“垂釣者”已經不滿足于僅靠Web頁面釣魚,他們還看上了Google的桌面搜索工具Desktop Search,這個工具存在一個信息泄漏的漏洞,入侵者能通過腳本程序欺騙Desktop Search提供用戶信息,最常見的就是泄漏磁盤數據。利用這個漏洞提供的信息,“垂釣者”可以偽造相關信件并建立欺騙性的電子商務網站,讓用戶誤以為是大公司發給自己的信函而受欺騙。一些“垂釣者”用假的口令驗證得以竊取用戶信息,另一些則欺騙用戶點擊一些商品信息而被種植木馬程序。
跨站釣魚:真實網站的噩夢
前面提到的偽造頁面欺騙是“垂釣者”利用虛假信函和人們尋求方便的心理,直接點擊信函給出的惡意鏈接而達到釣魚的目的,如今隨著媒體的揭露以及用戶警惕性的提高,這種手段成功率逐漸降低了。于是處心積慮的騙子們開始制造一種新的迷霧:他們同樣是用某種手段把用戶騙到商務網站,但是與以前不同的是,這次用戶訪問到的是真正的商務站點。難道“垂釣者”們改邪歸正了?答案是否定的,這個真正的商務站點依然會把用戶帶到“垂釣者”的惡意頁面——騙子利用一種稱為“跨站攻擊”的技術,在真實網站上插入惡意鏈接,用戶即使再細心也很難想到真實網站也會暗藏殺機。這種被稱為“雞尾酒釣魚術”的手段使商務網站的可信度大大降低。
什么是“跨站攻擊”呢?業界對其定義如下:“跨站攻擊是指入侵者在遠程Web頁面的HTML代碼中插入具有惡意目的的數據,使得用戶認為該頁面是可信賴的,但是當瀏覽器下載該頁面,嵌入其中的腳本將被解釋執行。”
跨站攻擊有多種方式,典型的方式有兩種:其一,由于HTML語言允許使用腳本進行簡單交互,入侵者便通過技術手段在某個頁面里插入一個惡意HTML代碼——例如記錄論壇保存的用戶信息(Cookie),由于Cookie保存了完整的用戶名和密碼資料,用戶就會遭受安全損失。讓我們舉一個例子來說明這種情況:比如某個正規論壇是你經常去的,你當然不會懷疑這個論壇有問題,但是有些無聊的用戶可能在這個論壇發布帶有惡意腳本的帖子,當你瀏覽這個帖子時,就有可能被攻擊。
“垂釣者”自然不會索要用戶的Cookie信息,如今有多少商務網站會允許用戶保存Cookie呢?所以他們只能讓用戶自己送上門來,這就出現了第二種同時也是目前更為流行的跨站攻擊方式:“垂釣者”利用一段特殊的跨站攻擊腳本代碼讓頁面彈出一個設計時根本不曾有的網頁對話框,它要求用戶輸入密碼或者把用戶帶到偽造的站點。因為這些對話框是用戶在正常網站看到的,他們自然不會懷疑它的合法性,然而正是這種心理欺騙法導致了又一場信任危機。
這種方法迫害的不僅僅是用戶,更是無辜的商務站點,因為跨站攻擊并不是入侵服務器,而是在客戶那邊進行篡改,商務站點根本不知道發生了什么事情,直到用戶找上門來,他們才發現自己的信譽被這些騙子給毀了。
危險的HOSTS文件
對網絡了解較多的讀者一般都會知道Windows的系統目錄中有個HOSTS文件,它的作用是把IP地址和網址映射起來。大家都知道,訪問網站時必須通過DNS服務器把域名解析為IP地址,這樣瀏覽器才能知道連接到哪里才是我們要的網站。在Windows的處理邏輯里,它總是先在HOSTS文件里查找這個域名和IP的對應關系,如果對應關系存在,Windows就直接連接HOSTS表里描述的IP地址,只有在找不到的時候才向DNS服務器發送解析域名的請求,這個邏輯關系在某些程度上的確方便了用戶,因為HOSTS表的優先度比任何一個DNS服務器都高,然而可怕的是,正是由于HOSTS表的特性,我們可能再次成為被釣的“魚”。
HOSTS表的原理是更改域名與IP的映射關系,我們能改,“垂釣者”就也能更改。通過利用諸如MIME、EML等下載漏洞,甚至只是簡單的網頁腳本,騙子就能在HOSTS表里添加任何他們想要的映射關系,因為HOSTS藏得太深了,一般用戶很少會留意到這個文件的變化,這就給“垂釣者”鉆了個空子,雖然HOSTS表是為域名和IP地址建立映射關系,但是它并不能判斷這個映射關系的準確性!于是“垂釣者”把用戶訪問幾率較大的商務網站域名和他們偽造的網站IP地址映射起來,以后用戶即使是自己輸入的域名,即使安裝了無數殺毒監視程序也無法扭轉被帶入欺騙站點的厄運——誰讓HOSTS的優先權那么高呢?
HOSTS表映射原理
系統升級補丁:騙子的魚餌
相信每個Windows用戶都會對Windows時不時冒出一個漏洞然后再冒出一個補丁的做法恨得牙齒發癢,也因為漏洞危害的日趨嚴重,一般用戶都會很緊張地留意新的Windows升級補丁,騙子也不例外,不過他們更在意的是如何借用漏洞補丁程序入侵用戶機器。騙子偽造一封貌似Microsoft“好心”主動發送給用戶的“針對某個嚴重安全漏洞而開發的補丁”,然而附件里是個木馬程序。一般用戶難得碰上這種殊遇,自然不會起戒心而運行這個“補丁”。而騙子也夠精明,他們會將運行后出現的界面做得與真正的補丁程序一模一樣,但是最后安裝到用戶機器的是什么呢?這個不用我說了吧。
除了這些涉及技術手段的“網絡釣魚”,還有許多接近社會工程學的手段,如利用QQ騙取信任、發送假冒中獎資訊、買空賣空騙錢術等,騙子們處心積慮用盡一切方法,就是為了侵害你的利益!
跨站攻擊示例
遠離釣魚:一道沉重的難題
網絡釣魚之所以如此猖獗并且能夠頻頻得手,最大的原因就是利用了人們疏于防范的心理以及“貪小便宜”和“貪圖便利”的弱點。“垂釣者”投下足夠吸引獵物上鉤的“美味魚餌”——或恐嚇,或誘惑,用戶的防線在這些因素的干擾下徹底崩潰而咬住了鉤子。這是任何殺毒軟件也無法解決的,因為“毒”在內心,而非軟件。當然這些騙術也涉及了一些技術手段,但是社會工程學的影響卻成了最大的干擾。我們無法阻止全部網絡釣魚攻擊,稍不留意,厄運就會降臨,我們能做的,惟有提高自己的警惕性和降低貪欲,同時學習網絡安全技術,才能盡量減少“上鉤”的幾率。
