search
換個角度看看,為什麼釣魚攻擊總能成功?

換個角度看看,為什麼釣魚攻擊總能成功?

當我第一次收到銀行發來的「安全」郵件時,我第一反應就是這裡是否有詐?因為在我看來,它實在是太像釣魚郵件了。這封躺在收件箱里的郵件來源於我銀行經理的個人郵箱地址,而非Chase銀行的官方郵箱。郵件中不僅附帶有一個HTML頁面,而且還有文字告訴我「在瀏覽器中打開這個頁面以了解如何進行下一步操作」,這一切瞬間讓我提高了警惕。

首先,本身電子郵件這個東西就是不安全的,更何況是我的銀行還發送了一封帶有附件的「安全」郵件給我。這看起來就像是一次教科書般的釣魚攻擊,所以我趕緊拿起電話直接打給了我的銀行經理。

「不是的,這是合法郵件。我需要你將它列印出來,然後簽署一些文件。」這就是銀行經理給我的回答。

但我說到:「首先,郵件發送人的地址看起來就非常可疑,而且這種郵件不僅要讓我點擊外部鏈接並打開附件,而且還要我在Web表單中填寫我的個人信息,這誰會信啊?」

銀行經理說到:「我完全理解,這確實會讓人懷疑。但這封郵件沒有任何問題,我的確發過這封郵件給你,如果需要的話我還可以再發一次。」

於是乎,他果然又發了一封給我。這封重發的郵件看起來與之前那封完全一樣,但這一次我正在與我的銀行經理通話,所以我按照要求打開了附件。郵件中有一個「點擊讀取信息」的按鈕,點擊之後將我重定向到了Chase銀行的安全郵件門戶網站。但是整個過程讓我感到非常的奇葩,我也將我擔心的地方告訴了我的銀行經理、他的上司、以及Chase的客戶支持部門。

值得一提的是,我們是不可能完完全全地對客戶的行為進行安全培訓的,而銀行所採用的交互方式與釣魚攻擊幾乎沒有區別,這就非常危險了。

01

攻擊分析

近期,我收到了一封真正的釣魚郵件。這封郵件來自chase.online@chasee.com,它很明顯是封偽造的郵件,但如果不仔細的話還是看不出什麼端倪的。這封郵件聲稱我的銀行賬號近期出現了很多錯誤操作,並且跟之前那封真實的郵件一樣,它也讓我在瀏覽器中打開附件HTML文件並按提示進行操作。

但很明顯我不會按它說的做!於是,我把HTML文件下載了下來,然後把它拖到了代碼審查窗口中。我發現,除了正常的HTML代碼之外,文件中還包含一段腳本代碼:

window.location="data:text/html;base64,PCFET0NUWVBFIEhUTUwg...

這個頁面會在地址欄中顯示一大堆Base64編碼的數據,代碼本身包含有Chase銀行官網的腳本、圖片以及指向合法頁面的鏈接,整個頁面看起來和正常的Chase銀行登錄頁面沒什麼區別。但是,代碼中還包含有其他的腳本代碼(經過混淆),這些代碼會在登錄頁面中添加一個自定義的表單:

document.write(unescape('%3C%66%6F%72...

在對代碼進行了反混淆之後,我發現所有的代碼都與Chase銀行的真實登錄頁面一致,只不過表單action屬性指向的是攻擊者所控制的伺服器。

如果不知情的用戶真的在瀏覽器中打開了這個頁面,那麼他們將會看到一個帶有Chase商標的頁面讓他們確認以下信息:

1. 賬號登錄信息

2. 聯繫信息

3. 銀行卡信息

4. 社保號和駕駛證信息等等

上述所有的這些信息都不會提交給Chase,而是提交給了攻擊者自己的伺服器。這台由攻擊者控制的伺服器在成功獲取到了這些數據之後,會將用戶重定向到Chase的在線登錄頁面,所以這會讓用戶完全無法察覺到異常。我認為,之所以用戶會這樣做,完全是因為Chase平時對用戶的「訓練」所導致的(通過郵件附件要求用戶提供身份驗證信息)。

02

如何保護自己

除非Chase銀行不再通過這種帶有附件HTML的郵件來要求用戶登錄並填寫自己的信息,否則廣大Chase銀行的客戶還是免不了遭受釣魚攻擊。但是,我們仍然有很多方法可以避免自己落入這種網路釣魚陷阱之中。

首先,千萬不要直接打開郵件中的附件網頁,除非你能夠百分之百確定這封郵件沒有任何問題。其次,永遠不要輕易在任何網頁中填寫自己的個人信息。第三,如果郵件要求你提供個人信息,而你也不得不這樣做的話,請直接訪問在線服務的官方網站去填寫,千萬不要圖方便直接點擊郵件中的地址。這些方法同樣適用於電話釣魚。永遠不要輕易在電話中給出自己的個人信息,除非那個電話是你打過去的。

最後,請你不要嫌麻煩,一定要將所有不正常的情況上報給自己的服務商。當你遇到了勒索郵件或有人嘗試通過電話來竊取你的信息時,請一定要即使報告。

03

總結

實際上,如果想要保護用戶不受網路釣魚攻擊的侵害,僅僅依靠提高用戶安全意識還是遠遠不夠的,這個過程中廠商也要負起一定的責任。所謂心中無鬼,天下無鬼。很多廠商知道這封郵件是他們自己發的,就不會太在意去證明郵件的安全性與合法性,但對於用戶來說,當他們習慣了這樣的交互方式時,也就給了釣魚攻擊者可乘之機。

* 參考來源:ttmm, FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23299次喜歡
留言回覆
回覆
精彩推薦