當前位置:
首頁 > 新聞 > 換個角度看看,為什麼釣魚攻擊總能成功?

換個角度看看,為什麼釣魚攻擊總能成功?

新聞 05-28



當我第一次收到銀行發來的「安全」郵件時,我第一反應就是這裡是否有詐?因為在我看來,它實在是太像釣魚郵件了。這封躺在收件箱里的郵件來源於我銀行經理的個人郵箱地址,而非Chase銀行的官方郵箱。郵件中不僅附帶有一個HTML頁面,而且還有文字告訴我「在瀏覽器中打開這個頁面以了解如何進行下一步操作」,這一切瞬間讓我提高了警惕。


首先,本身電子郵件這個東西就是不安全的,更何況是我的銀行還發送了一封帶有附件的「安全」郵件給我。這看起來就像是一次教科書般的釣魚攻擊,所以我趕緊拿起電話直接打給了我的銀行經理。


「不是的,這是合法郵件。我需要你將它列印出來,然後簽署一些文件。」這就是銀行經理給我的回答。


但我說到:「首先,郵件發送人的地址看起來就非常可疑,而且這種郵件不僅要讓我點擊外部鏈接並打開附件,而且還要我在Web表單中填寫我的個人信息,這誰會信啊?」


銀行經理說到:「我完全理解,這確實會讓人懷疑。但這封郵件沒有任何問題,我的確發過這封郵件給你,如果需要的話我還可以再發一次。」


於是乎,他果然又發了一封給我。這封重發的郵件看起來與之前那封完全一樣,但這一次我正在與我的銀行經理通話,所以我按照要求打開了附件。郵件中有一個「點擊讀取信息」的按鈕,點擊之後將我重定向到了Chase銀行的安全郵件門戶網站。但是整個過程讓我感到非常的奇葩,我也將我擔心的地方告訴了我的銀行經理、他的上司、以及Chase的客戶支持部門。

值得一提的是,我們是不可能完完全全地對客戶的行為進行安全培訓的,而銀行所採用的交互方式與釣魚攻擊幾乎沒有區別,這就非常危險了。




01


攻擊分析



近期,我收到了一封真正的釣魚郵件。這封郵件來自chase.online@chasee.com,它很明顯是封偽造的郵件,但如果不仔細的話還是看不出什麼端倪的。這封郵件聲稱我的銀行賬號近期出現了很多錯誤操作,並且跟之前那封真實的郵件一樣,它也讓我在瀏覽器中打開附件HTML文件並按提示進行操作。


但很明顯我不會按它說的做!於是,我把HTML文件下載了下來,然後把它拖到了代碼審查窗口中。我發現,除了正常的HTML代碼之外,文件中還包含一段腳本代碼:


window.location="data:text/html;base64,PCFET0NUWVBFIEhUTUwg...


這個頁面會在地址欄中顯示一大堆Base64編碼的數據,代碼本身包含有Chase銀行官網的腳本、圖片以及指向合法頁面的鏈接,整個頁面看起來和正常的Chase銀行登錄頁面沒什麼區別。但是,代碼中還包含有其他的腳本代碼(經過混淆),這些代碼會在登錄頁面中添加一個自定義的表單:



document.write(unescape("%3C%66%6F%72...


在對代碼進行了反混淆之後,我發現所有的代碼都與Chase銀行的真實登錄頁面一致,只不過表單action屬性指向的是攻擊者所控制的伺服器。





如果不知情的用戶真的在瀏覽器中打開了這個頁面,那麼他們將會看到一個帶有Chase商標的頁面讓他們確認以下信息:



1. 賬號登錄信息


2. 聯繫信息


3. 銀行卡信息


4. 社保號和駕駛證信息等等


上述所有的這些信息都不會提交給Chase,而是提交給了攻擊者自己的伺服器。這台由攻擊者控制的伺服器在成功獲取到了這些數據之後,會將用戶重定向到Chase的在線登錄頁面,所以這會讓用戶完全無法察覺到異常。我認為,之所以用戶會這樣做,完全是因為Chase平時對用戶的「訓練」所導致的(通過郵件附件要求用戶提供身份驗證信息)。



02


如何保護自己



除非Chase銀行不再通過這種帶有附件HTML的郵件來要求用戶登錄並填寫自己的信息,否則廣大Chase銀行的客戶還是免不了遭受釣魚攻擊。但是,我們仍然有很多方法可以避免自己落入這種網路釣魚陷阱之中。


首先,千萬不要直接打開郵件中的附件網頁,除非你能夠百分之百確定這封郵件沒有任何問題。其次,永遠不要輕易在任何網頁中填寫自己的個人信息。第三,如果郵件要求你提供個人信息,而你也不得不這樣做的話,請直接訪問在線服務的官方網站去填寫,千萬不要圖方便直接點擊郵件中的地址。這些方法同樣適用於電話釣魚。永遠不要輕易在電話中給出自己的個人信息,除非那個電話是你打過去的。


最後,請你不要嫌麻煩,一定要將所有不正常的情況上報給自己的服務商。當你遇到了勒索郵件或有人嘗試通過電話來竊取你的信息時,請一定要即使報告。


03


總結



實際上,如果想要保護用戶不受網路釣魚攻擊的侵害,僅僅依靠提高用戶安全意識還是遠遠不夠的,這個過程中廠商也要負起一定的責任。所謂心中無鬼,天下無鬼。很多廠商知道這封郵件是他們自己發的,就不會太在意去證明郵件的安全性與合法性,但對於用戶來說,當他們習慣了這樣的交互方式時,也就給了釣魚攻擊者可乘之機。


* 參考來源:

ttmm

, FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

NSA武器庫之Eternalchampion(永恆冠軍)復現
Intel產品AMT本地及遠程提權漏洞(CVE-2017-5689)復現
如何用掃描儀控制的惡意程序,從隔離的網路中獲取數據(含攻擊演示視頻)
網卡廠商自動識別工具(附源代碼)
一張GIF引發的微信崩潰

TAG:FreeBuf |

您可能感興趣

慘!看了這個,你還敢抓魚、釣魚嗎?
看什麼看,沒見過釣魚嗎
釣魚聽到異響,帶魚籠就沖了過去,差點因貪心釀成大禍!
釣魚打窩很重要,你都了解嗎
棕熊看見有人釣魚想打個劫,轉頭一看是毛子:我去!掉頭就跑!
六個釣魚是可能會用到的小竅門,建議多看幾遍太實用了,不會釣魚了來了看看了!
為啥釣魚高手隨便一找就是好釣位?因為他懂「看塘形」,真的挺准
釣魚高手必會的5項技能,自己看看你掌握了幾項?
釣魚成癮,你覺得是什麼原因呢?
釣魚人不會看水色?那你很可能選了個沒有魚的水,趕緊了解一下吧
釣魚收穫的全是小魚又怎樣?只要是魚,只要不空軍小魚也可以啊!
蚯蚓釣魚技巧全攻略,看懂這篇不怕釣不到魚!
湖面黑壓壓的一片卻只能看不能釣,對於釣魚人來說,真痛苦!
難得能夠釣到這樣漂亮的野生鯽魚,如今釣魚最頭疼的就是找釣點了
這種和白條很像的小魚 只有釣魚老手才認識 來看看你認識嗎?
用泡沫浮力棒包住魚竿後再釣魚,這是為了保護魚竿?看著都覺得累
總是釣大魚其實並不能體現出釣魚的技術!快來看看我釣的小魚吧!
魚腥亂冒就是不上鉤,很讓釣魚人頭疼,怎麼辦?找到原因就能解決
網友釣魚卻釣上一隻龜,一看總覺得哪裡不對,細看更奇怪了!
冬季釣魚最容易犯的四個錯誤,都可能導致空軍,尤其是最後一個!