如何在移動設備上檢測網路釣魚攻擊

一、概述

在2011年發布的一份報告中，IBM指出，與計算機用戶相比，移動用戶遭遇網路釣魚詐騙的可能性要高出3倍。在此前的網路釣魚活動中，研究人員分析了網站Web伺服器上的訪問日誌文件，然後得出了這一結論。

在近10年後，我們繼續看到許多組織發布的報告中明確提出，針對移動市場的網路釣魚攻擊呈現出增長趨勢。令人驚訝的是，網路釣魚者似乎已經有了最新的首選目標——iPhone用戶。移動安全解決方案提供商Wandera發現，與Android用戶相比，iOS用戶遭遇的網路釣魚攻擊次數是其兩倍之多。

二、移動網路釣魚數據

針對移動端網路釣魚，我們針對當前值得關注的一些內容，進行了數據統計，具體如下：

1. 在《移動端網路釣魚2018：當今每個現代企業面臨的神話與事實》白皮書中，Lookout進行了統計，發現自2011年以來，用戶點擊網路釣魚鏈接的速度平均增長了85%。

2. 在最新的《網路釣魚活動趨勢報告》中，反釣魚工作組（Anti-Phishing Working Group）透露，支付行業在2018年第一季度中持續被網路釣魚威脅行為者列為首選的目標行業（36%）。

3. 同樣，在反釣魚工作組的報告中還聲稱，所有的網路釣魚站點中，有35%使用了HTTPS協議和SSL證書。

4. 由於Google現在已經將非HTTPS網站標記為「不安全」，預計會有更多網路釣魚者濫用HTTPS網站「值得信賴、合法」的公認概念。

5. 在《2018年度網路釣魚狀況》中，Wombat Security重點提到了簡訊網路釣魚作為攻擊媒介這一點。隨著2017年媒體報道的增加，他們認為利用簡訊的行為將繼續呈現增長趨勢，特別是在移動端網路釣魚安全意識較低的國家。

6. PhishLabs在《2018年網路釣魚趨勢和情報報告》中表示，電子郵件和在線服務是2017年下半年最易受到攻擊的目標行業（佔比26.1%），其中高度集中於模仿Microsoft Office 365的網路釣魚URL，這也表明針對企業的網路釣魚活動呈現出上升趨勢。

7. 同樣，PhishLab的報告還指出，基於用戶對SaaS（軟體即服務）公司（佔比7.1%）的信任，相應的網路釣魚活動急劇增加。在2015年，針對該目標的攻擊是不存在的，但在接下來的兩年之中增長了一倍以上。

8. Wandera表示，有48%的網路釣魚攻擊都發生在移動設備上。他們還聲稱，iOS用戶遭遇網路釣魚的可能性比下載惡意軟體高出18倍。

三、移動網路釣魚詐騙類型

網路釣魚攻擊不再僅僅局限於電子郵件，特別是在移動設備上的釣魚攻擊。根據移動設備的固有設計和實際功能，網路釣魚者會選擇合適的策略，讓詐騙信息被用戶看到，並且設法竊取個人和業務的相關數據。

儘管許多用戶非常熟悉桌面上的網路釣魚行為，但他們實際上並不熟悉網路釣魚的方法，以及手機上可能遇到的一些新型網路釣魚方式，甚至也不熟悉電子郵件網路釣魚。

3.1 簡訊釣魚

SMiShing是指通過簡訊進行的網路釣魚。Android高級分析專家Nathan Collier撰寫了一篇安全文章，描述了他的同事在Android設備上收到一條釣魚消息的分析過程，這條消息自稱來自於一家人力資源公司，推薦了一個Amazon公司Prime專員的職位。

iOS用戶也不斷遭到簡訊釣魚的攻擊。我們在Reddit上發現了一條公開發布的信息，用於警告其他iPhone用戶提高警惕：

通常情況下，針對iOS的簡訊釣魚中會包含這樣的內容：

在我們收到您的回復之前，您的Apple ID已經被停用。通過點擊確認您的個人信息來重新啟用。——蘋果公司。

3.2 語音網路釣魚

Vishing，或語音信箱釣魚（有時也包含VoIP網路釣魚），是指利用設備的呼叫功能進行網路釣魚。網路釣魚者可能會向目標留下了誘導的留言信息，可能留下一個讓目標回撥的號碼，也可能直接呼叫目標。其中，留下誘導的留言信息正是Ars Technica編輯Sean Gallagher在2018年7月發表的一篇iOS網路釣魚騙局文章中所描述的攻擊者策略。根據Gallagher的說法，攻擊者會發送一封電子郵件，將用戶引導到一個虛假的Apple網站，該網站彈出一個對話框，並開始呼叫一個名為「AppleCare員工Lance Roger」的人員。AppleCare實際上是Apple提供的延長保修期服務。

針對Android環境，我們發現了最新版本的Fakebank，這是一種能夠攔截銀行簡訊、呼入電話和呼出電話的移動木馬。舉例來說，用戶如果打電話到合法的銀行服務熱線，其呼叫請求會被該木馬重定向到偽裝成銀行工作人員的詐騙者那裡。安全研究人員在面向韓國用戶的惡意APP中發現了這種變體。

語音網路釣魚也可以作為更大規模的企業電子郵件攻擊的一部分。

3.3 其他類型：即時通訊、社交網路和廣告釣魚

應用程序（APP）可以改善用戶的移動體驗。假如沒有這些APP，人們可能會覺得這些手機設備是一個昂貴又沒有價值的東西。

這些精彩的程序，可以讓用戶在暫時離開台式計算機的時候訪問個人或工作郵箱，在旅途中通過通訊平台與家人和朋友保持聯繫，實時觀看和分享媒體內容，以及在等待過程中消除無聊。

不幸的是，網路釣魚者也利用了應用程序的強大功能。如今的互聯網上，充斥著通過移動應用程序實現網路釣魚攻擊的事件。

例如，攻擊者將Facebook的消息服務Messenger作為一種途徑，偽裝成「流行視頻」進行網路釣魚攻擊。

如果點擊這個「視頻」，就會將移動用戶引導至虛假的Facebook視頻登錄頁面，然後誘導用戶輸入他們的Facebook憑據。這樣一來，就會進一步向受害者的聯繫人繼續發送類似的視頻誘餌，從而實現攻擊範圍的擴大。

這就是即時通訊釣魚的案例。同樣，針對其他即時通訊服務，也存在相似的網路釣魚攻擊，比如WhatsApp、Instagram、Viber、Skype、Snapchat以及Slack。

其次，是社交網路釣魚，這是一種濫用社交網站功能來傳播網路釣魚活動的方式。以下是我們捕獲到的通過LinkedIn的InMail功能發送網路釣魚郵件的示例：

這是社交網路釣魚的另一個示例，一個Twitter帳戶冒充NatWest銀行，並將釣魚內容插入到NatWest銀行客戶和NatWest官方Twitter帳戶之間的實時對話之中，企圖以銀行官方的名義為用戶「解決問題」。

最後，是廣告網路釣魚。在移動設備上，廣告可以有多種形式：可以是免費應用程序、用戶訪問的網頁、彈出式通知或是橫幅（Banner）廣告。由於應用程序會在後台與其他服務（例如廣告的相應伺服器）進行通信，因此可能會使移動用戶面臨網路釣魚或惡意軟體的風險。

這些假冒的應用程序，都以流行的品牌名稱來命名，並承諾用戶下載和安裝後，將會得到某些特權或福利。Google Play商店發現多個虛假Instagram應用程序收集用戶憑據的事件就是一個例子，這些應用程序已經被下載150萬次，並且這些應用程序承諾能夠提升關注者、評論和點贊的數量。

四、移動網路釣魚的檢測

要檢測移動網路釣魚，無疑是一個巨大的挑戰，對於那些未知的釣魚活動和未知的釣魚方式來說更是如此。無論各位的技術水平或所選擇的檢測方式如何，根據經驗，大部分網路釣魚都有跡可循。我們已經有了一個非常全面的清單，可以指導各位排查一般的網路釣魚行為。但是，針對移動用戶，我們還列出了一些潛在的移動網路釣魚跡象，供大家進行參考：

1. 消息突然出現，聲稱用戶贏得了獎品，或者有帳戶或訂閱服務突然停用（沒有說明具體原因），或者需要用戶迅速進行操作來解決問題。這樣的情況，通常都是社會工程學的伎倆，用戶應該提高警惕。

2. 但考慮到這些通知也有可能是真實的，用戶需要針對真實通知及時做出響應，我們建議用戶應該避免直接點擊這些通知中的鏈接，而是直接訪問合法域名（從瀏覽器書籤中載入，或手動輸入網址），並從合法域名中登錄帳戶查看具體情況。

3. 如果一條消息來自未知的號碼或未知的發件人，同時消息聲稱它來自您實際使用的服務，請加倍謹慎。由於幾乎不可能在移動設備上向服務提供商確認該通知內容是否屬實，因此用戶最好能自行驗證這一通知的真實性，如上面所述，並檢查相關帳戶的可疑活動。如果無法確定，建議聯繫服務提供商的用戶支持部門。

4. 如果消息中包含偽造的超鏈接，對於一些用戶來說是顯而易見的，但對於其他一部分用戶來說則難以甄別。了解您所使用服務的官方網址URL是非常有用的。如果您認為該鏈接與以往訪問的網址不太一致，或者有任何懷疑，都應該謹慎行事，避免點擊該鏈接。

5. 消息使用縮短後的URL（短網址服務）。縮短URL是有效利用字元數有限的消息服務的一種絕佳方法。但不幸的是，這也會掩蓋可能看起來非常明顯的惡意URL。

6. 如果沒有任何說明，消息或來電者要求用戶提供個人信息，則應引起警惕。大多數合法且聲譽良好的企業不會致電或發送消息要求用戶提供敏感信息。在某些情況下，如果銀行懷疑您的帳戶存在潛在的欺詐活動，他們會直接致電。銀行可能會核實用戶的身份，但絕對不會要求用戶提供帳戶密碼或身份證號碼。

7. 如果郵件或來電者不清楚您的姓名，也應該引起警惕。大多數企業，都明確知道他們服務的客戶具體是誰，並且一般會以尊稱的方式直呼其名。

8. 如果訪問的URL沒有綠色掛鎖圖標，這就意味著該網頁沒有使用HTTPS協議。儘管使用HTTPS的不一定都是合法網站，但沒有使用HTTPS的依然需要提高警惕。

9. 如果訪問的URL前面一段是正確的，但後面還包含一些無法解釋的破折號，那麼應該引起注意。網路釣魚這正在使用一些被稱為URL填充的技術，他們創建一些子域名，該子域名由合法的網站地址組成，但後面還帶有連字元，以隱藏真實的域名，並增強假域名的可信度。

在上面的示例中，完整的URL為hxxp://m.facebook.com----------------validate----step1.rickytaylk[dot]com/sign_in.html，其中rickytaylk[dot]com是真正的域名，m.facebook.com----------------validate----step1是一個非常長的子域名。考慮到移動設備的屏幕大小，用戶可能很難直接查看到完整的URL，但實際上用戶可以將URL複製粘貼到記事本等應用程序中，並在其中詳細檢查URL。

同樣，也有一些同形異義詞被用在移動設備上。幸運的是，現在有很多互聯網瀏覽器，已經被改進為能夠顯示包含可混淆的域名的Punycode版本。

如果用戶在移動瀏覽器上訪問Punycode URL，那麼用戶會收到警告，告知他們所訪問網站的風險性。但是，並不能保證瀏覽器已經充分考慮所有的同形異義詞。根據Wandera的研究，在Android和iOS上的許多通信和協作工具都沒有將Punycode URL標記為可疑。

Wandera的內容營銷經理Liarna La Porta在一篇文章中寫道，

只有Facebook Messenger、Instagram和Skype會通過顯示xn前綴的網路預覽的方式，為用戶提供識別PunyCode URL的可能性。在Skype中，不會使用Unicode為域名提供超鏈接，這就意味著用戶無法直接點擊信息中的URL。儘管這些應用程序沒有提供最佳的防禦方法，但它們至少提供了進一步評估可疑鏈接的可能性。

五、移動網路釣魚的防禦

2017年4月，一位在某台灣電子製造公司工作的立陶宛男子，成功對兩家知名企業發起了網路釣魚攻擊，並迫使每家公司都向其支付超過1億美元的「封口費」，而這兩家知名的企業分別是Google和Facebook。

當一個目標具有薄弱的網路釣魚防範意識時，那麼網路釣魚技術已經不再成為一個關鍵的因素。對於桌面用戶來說，防範網路釣魚是一項挑戰。那麼對於具有更多潛在攻擊面的移動設備來說，用戶就面臨著雙重挑戰，特別是在攻擊者已經針對特定用戶發起攻擊，目標就是竊取移動設備中的敏感公司數據的情況下。

實際上，網路釣魚的方法早已不再局限於電子郵件。在移動設備上使用商業的網路釣魚防範軟體，其實並不足以保護用戶免受攻擊。真正要防範網路攻擊，還需要人和設備共同的調整：改進移動設備及其應用程序的安全功能，掌握網路釣魚的甄別方式，並制定措施來應對網路釣魚。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！