asurveyofphishingattacks 3360 their types、vectors、and technical approaches提出了一份调查网络钓鱼攻击类型、运营商及其技术途径的报告
1 .背景(1)刊物/会议expertsystemswithapplicationsccfc
2018年3月27日
)2)作者团队康康长chiew,Kelvin Sheng Chek Yong,Choon Lin Tan
马来西亚萨拉瓦克大学计算机科学与信息技术学院
)3)论文背景网络钓鱼始于1995年获得美国AOL (AMerica在线),网络钓鱼是网络钓鱼获得的变体。 (网络钓鱼就像“钓鱼”一样,通过“饵料”获得受害者信息)
定义:网络钓鱼是一种可扩展得欺骗行为,通过假冒自己来获取目标信息
网络钓鱼的两种方法:
越来越多的人直接欺骗受害者获取个人信息并将其发送到payload,或者获取个人资料对个人信息进行网络钓鱼攻击,经济损失也非常大。 因此,了解网络钓鱼攻击的手段对开发部署网络钓鱼防范技术和系统至关重要。
我们将讨论两者之间的相互关系。 (这些关联是各钓鱼技术的特征)。
网络钓鱼媒体和运营商的相关运营商和技术方法的相关主要内容:
列举目前可用的网络钓鱼方法文献,根据各自的传播媒介和载体对网络钓鱼方法进行分类,并对其具体操作进行说明。 研究复杂钓鱼技术组合的更高级钓鱼攻击2 .主要方法(1)相关文献mohammadetal.) 2015 )将钓鱼策略分为三类。
mimicking attack (前向攻击)前向攻击(pop-up attack )前向攻击和弹出攻击(中介) MITM )方法,即钓鱼者利用代理
dragnet (网络; 拖网(method )邮件、网站和弹匣包含合法组织的徽标、合作伙伴名称等,引导受害者进行某种操作(rod )和reel (method )。这种方法包括通过初次接触识别受害者lobsterpot method :《龙虾笼城法》利用假网站,欺骗受害者传递他们的个人信息。 Gillnet phishing :讨论了利用网站和邮件中的恶意代码感染入侵受害主机的raderandRahman(2013 )现有网络钓鱼攻击载体和新的网络钓鱼攻击载体
Sahooetal.(2017 )不仅介绍了网络钓鱼,还介绍了一种流行的恶意软件攻击方式。 也包括机器学习、特征工程等。
讨论PatilandPatil(2015 )恶意页面上的攻击载体。 这些攻击载体不限于钓鱼攻击。 他们还从文献中探讨了各种恶意网页检测工具,强调了这些工具所使用的特点和机器学习算法。
Almomanietal.(2013 )通过电子邮件回顾钓鱼攻击的主题。 简要概述了网络钓鱼邮件,重点介绍了网络钓鱼攻击的类型、网络钓鱼邮件的生命周期以及网络钓鱼邮件的分类和评估方法。 详细讨论了钓鱼邮件检测的各种特征,将这些特征分为基本特征、潜在主题模型特征、动态马尔可夫链特征三类。 之后,进一步研究了防止网络钓鱼攻击的方法,包括利弊。
Ollmann(2004 )在介绍了网络钓鱼的历史后,详细说明了网络钓鱼威胁的三个方面。
社会工程因素网络钓鱼信息的传播机制网络钓鱼攻击载体他还讨论了三个地方的防御机制:客户端、服务器端和企业级。 虽然这篇论文发表于10多年前,但作者传达的基本信息仍然与今天关于钓鱼攻击的讨论有关。
网络钓鱼攻击最初通过社会工程进行诈骗,伪装成合法的账号区域,欺骗受害者的密码等个人信息。 此后,网络钓鱼产生了许多新的更有力的攻击形式。相比于网络钓鱼本身的研究,学者们的研究工作更加聚焦在反网络钓鱼方法。然而不彻底详尽地了解网络钓鱼技术,又如何去防范网络钓鱼呢?因此本文作者聚焦于研究网络钓鱼技术本身地特点和类型。
)2)网络钓鱼的媒体是网络钓鱼的组成部分)所有网络钓鱼攻击都需要受害者与被钓鱼者的交互,媒体是交互发生的必要条件。 钓鱼者通过这三种媒体传递他们的潜在受害者: 互联网,语音和短消息服务攻击的载体:攻击中的技术方法
)3)网络钓鱼技术途径【1】浏览器漏洞利用浏览器漏洞进行网络钓鱼通常不容易检测防御
【2】点击劫持“点击劫持”(帕蒂尔、Patil、2015 )为用户界面(UI )重定向攻击) Akhawe、He、Li、Moazzezi、Song
【3】云计算云计算是一种在线服务,它包含三种服务模型:软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。随着云服务提供商增加更多的服务,云服务的使用正在增加(Weins, 2016)。云服务的安全成为云服务用户关注的第二大问题,仅次于缺乏资源或专业知识(RightScale, 2016)。由于云服务提供商依赖用户的电子邮件地址作为帐户凭据,钓鱼者可能针对云服务提供商检索用户凭据,并使用这些凭据访问其他帐户使用密码重用攻击(PhishLabs, 2017)。对云服务的入侵可以通过客户端或提供商发生(Nagunwa, 2014)
跨站脚本攻击(XSS)是一种利用网站漏洞的漏洞,允许网络钓鱼者向数据字段注入恶意代码或使用自定义URL到网站(DigiCert, 2009;•奥尔,2004)。此类漏洞产生于一个构造糟糕的网站,未能过滤掉外部提供的内容,可能以恶意脚本的形式(Emigh, 2005;从容的含羞草,哭泣的狗,2013)。XSS攻击是一种规避同源策略(SOP)的方(Ruderman, 2016)。SOP可以防止脚本交互和访问另一个来源的信息。因此,它可以防止恶意网站的脚本在用户访问其他网站时访问个人信息,如登录凭证。
【5】Drive-by-download(挂马,路过式下载)挂马是一种访问一个网站或查看HTML电子邮件就可以把恶意软件,病毒或shellcode注入到目标主机的技术。挂马也可以通过互联网中继聊天(IRC)站点部署(Elledge, 2007)。恶意代码通常是用JavaScript编写的,以攻击浏览器或浏览器插件的漏洞,并驻留在服务器或注入到网站或HTML电子邮件中。
特洛伊木马监视软件僵尸网络 【6】嵌入JavaScript钓鱼者使用JavaScript来掩盖或混淆浏览器窗口的chrome区域。chrome区域包括地址栏、状态栏、工具栏和菜单区,菜单区是内容区周围的区域。使用JavaScript,可以欺骗地址栏或状态栏,使URL看起来合法。此外,钓鱼者还能够欺骗https和锁定图标,使钓鱼网站显示为一个安全的网站。受害者不会意识到,他或她正在访问的网站是一个钓鱼版本的”合法“网站。在地址栏的URL和状态栏的信息的视觉检查将不会标记任何怀疑。这种攻击的形式可以是在钓鱼网站中嵌入JavaScript,受害者访问该网站时执行。也可能是通过一种病毒,在不知情的受害者在地址栏中输入URL后,自动重定向到钓鱼网站,混淆钓鱼网站的真实身份。
【7】恶意广告恶意广告使用在线广告托管服务作为向受害者分发恶意软件的手段(Nagunwa, 2014)。钓鱼者在广告中嵌入了恶意软件。当受害者点击广告时,一个动态恶意软件将感染受害者的机器,利用机器的漏洞,目的是从受害者那里窃取个人信息。在线广告托管服务的可用性和此类服务的简单申请流程(订阅所需信息最少)使得这种技术对钓鱼者具有吸引力。此外,钓鱼者可以通过合法网站使用广告传播恶意软件,而不需要危害网站。这样,用户在访问广告网站时不会产生怀疑,看到广告是托管在一个合法的网站上。用户可能不知道广告实际上是由广告网络提供的(Xing et al., 2015),也不知道广告内容缺乏验证(Sood & Enbody, 2011)。
【8】中间人攻击(MITM)在中间人(MITM)攻击中,钓鱼者将自己置于受害者与基于web的应用程序之间的通信中间。
【9】移动电话由于移动电话市场的快速发展,透过移动电话进行钓鱼攻击在钓鱼者中越来越受欢迎。随着手机数量的增加,潜在的受害者数量也在增加,钓鱼者可以通过钓鱼者获取他们的个人信息。此外,手机的小屏幕限制了用户界面中可以包含的信息的数量,而且缺少应用程序标识的指示器使得区分恶意应用程序和合法应用程序变得困难。
Felt和Wagner(2011)识别了发生在移动电话中的四种控制转移方式,这些方式可能会被网络钓鱼攻击者利用:
【10】网络钓鱼工具钓鱼工具包是使钓鱼者生成钓鱼网站、电子邮件和脚本获取用户输入而不需要任何高级编程技能的工具。这些工具包可以从网络犯罪市场以一定价格(赛门铁克,2016年)获得,也可以由工具包开发人员在地下圈子中免费分发(Cova等人,2010年)。然而,大多数这些免费的钓鱼工具都有后门,会将钓鱼工具用户收集到的个人信息泄露给开发者(Chaudhry等人,2016;Cova等,2010)。网络钓鱼工具在从受害者获取个人信息的网络钓鱼过程中并不起直接作用,但确实有助于部署网络钓鱼攻击。这使得任何具有或不具有编程深度知识的人都可以很容易地发起钓鱼攻击。
钓鱼网站可透过搜索引擎投递给受害者。钓鱼者创建了一个钓鱼网站,并优化它为搜索引擎的索引。潜在的受害者使用搜索引擎搜索某一特定服务或产品供应商的网站时,可能会点击搜索结果中的钓鱼链接,认为该链接将直接指向目标网站。钓鱼者可能会以荒谬的价格提供商品或服务,从而使网络钓鱼攻击更具吸引力和吸引力。Blackhat SEO (Nagunwa, 2014)可能被钓鱼者用来提高钓鱼链接在搜索引擎结果中的页面排名。这是通过在他们的网站中注入流行趋势或事件的关键字来实现的,以确保他们的网站排名作为一个顶级搜索结果。这将进一步增加潜在受害者点击链接的可能性。
【12】Session fixation(Session完成攻击)对于无状态协议,如HTTP和HTTPS,客户端和服务器之间的通信会话不会被保留,一旦数据传输完成,连接就会丢失。这对正在访问他或她的帐户的用户形成了一个问题,这种协议将不会保持用户当前所在的活动会话。例如,当用户登录到购物网站并浏览商品时,服务器需要有一种方法来维护用户的会话并跟踪他或她的活动,例如将商品添加到购物车中并在稍后结账。
实现这一目的的常用方法是使用会话标识符(sid)。当用户通过身份验证并登录到网站后,一个名为SID的唯一密钥被分配给网站内的用户会话。当用户浏览多个网页并在网站中执行某些操作时,此键将识别用户所处的会话。这个SID可以以cookie、表单字段或URL的形式存储。
钓鱼者能够瞄准状态较差的管理系统中的SID漏洞,并执行会话劫持攻击。这种技术称为会话固定或当前会话攻击(Ollmann, 2004)。这种技术要求用户使用钓鱼者指定的SID对会话进行身份验证,钓鱼者然后能够劫持该会话,以代表用户执行某些操作。
社会工程包括钓鱼者利用受害者的信任、同情或恐惧等情感、帮助意愿和轻信来达到他们的目的(Mitnick &西蒙,2002)。社会工程的基础是使受害者不再做出理性的选择,而导致受害者做出情绪化的选择(Goel, Williams, &Dincelli, 2017)。这些情感的例子包括恐惧、贪婪、好奇、愤怒、友谊、爱国主义、虚荣、利他主义、社区归属感、责任感和权威感。通过操纵和利用受害者的情绪,例如灌输失去有价值的东西的恐惧,受害者会做出非理性的行为,例如向骗子透露他或她的个人信息(Kim &jmdmg,2013)。这种行为源于人的保护天性,即立即采取预防性行动(Leventhal, 1970)。例如,一个骗子可能会联系他或她的受害者,询问一个可能导致服务中断或帐户暂停的账单问题,需要立即采取行动来解决这个问题。受害者采取的行动将涉及受害者向钓鱼者透露他或她的个人信息。
【14】Sound-squattingSound-squatting是一种域名抢注技术,钓鱼者通过注册听起来类似于合法网站的域名来使用。这种发音相似的词叫做同音词。例如air和heir, ascent和assent, base和bass。钓鱼者也可能使用一个数字的单词或数字作为同音词。例如www.highfive.com和www.high5。com。钓鱼者利用用户对同音异义词的混淆和输入错误的单词,但在键入URL时却拥有相同的发音。然后用户会被引导到合法网站的钓鱼版本。钓鱼者可以注册几个与合法域名同音的域名。
【15】鱼叉式网络钓鱼鱼叉式网络钓鱼是针对个人、团体或组织的定向攻击。鱼叉式网络钓鱼已经成为网络钓鱼者的流行选择(Nagunwa, 2014),而非传统的网络钓鱼使用大量和随机的电子邮件网络钓鱼。这是因为与传统方法相比,这种方法成功率高(Krombholz et al., 2015)。鱼叉式网络钓鱼使用特别制作的电子邮件,模仿受害者认识的发送者。电子邮件的内容是与受害者相关的,不会引发任何来自受害者的怀疑。
【16】SQL 注入结构化查询语言(Structured Query Language, SQL)注入技术是利用数据库中的漏洞,这些漏洞没有正确执行过滤,允许注入和执行数据库命令,从而导致信息泄漏(Emigh, 2005)。这是通过将SQL命令注入SQL语句或通过网页输入查询来改变语句的原始意图来实现的。注入的代码通过用户输入变量与SQL命令连接,然后执行这个动态SQL命令。可以通过利用当前SQL查询或通过多个查询添加新查询来利用此漏洞。
【17】TabnappingTabnapping(尊敬的小熊猫,托马,&2010年,火狐的创意总监英俊的诺言(Aza Raskin)首次推出。tabnapping这个名字是由Tab(标签)和Kidnapping(绑架)组成的混合词,用来描述在浏览器中劫持标签的攻击形式。这种攻击的操作如图19所示。首先,钓鱼者将钓鱼网站的链接通过电子邮件发送给用户。一旦用户点击该链接,用户浏览器中的一个选项卡将打开,加载钓鱼网站,看起来像一个普通的网站。钓鱼网站内嵌的JavaScript会监控用户的浏览活动。一旦用户导航到浏览器中的其他标签,离开标签与钓鱼网站脱离焦点,标签加载钓鱼登录屏幕,更改favicon和标签的标题来欺骗一个合法的网站,如Gmail。当用户浏览打开的标签页时,注意到钓鱼登录屏幕,用户可能会认为该网站的登录会话已经过期,需要重新登录。因此,用户通过钓鱼登录屏幕提交登录凭证,而不知道这是一个钓鱼网站。Aza Raskin在他的网站上展示了这种攻击(Raskin, 2010)。phisher使用这种技术是因为用户对之前打开的选项卡不那么怀疑,并且不知道之前加载的内容可以使用JavaScript更改,而不是像用户假设的那样保持静态。只有当用户在浏览器中打开多个选项卡时,这种攻击才会成功,并且很容易丢失所有打开的未激活选项卡的内容
【18】Typo-squatting一种域名抢注技术,钓鱼者通过注册合法域名的拼写错误的域名。有五种可能的域名输入错误,可能是用户意外执行的,它们在表3中给出。这种攻击会影响在地址栏中手动输入URL的用户。当用户文件的URL不小心按相邻键或失踪一个字符,输入错误的URL可能直接用户网络钓鱼网站,可能看起来像合法网站用户试图访问或一个网站,加载一个恶意软件到用户的主机。
Whaling(捕鲸)与鱼叉式网络钓鱼在某种意义上是相似的,因为它是一种有针对性的攻击,但目标是由高层管理人员组成(Ollmann, 2004),他们在一个组织内拥有获取信息或资源的高度特权。捕鲸是通过恶意软件完成的,这些恶意软件给钓鱼者后门进入该组织的系统或部署键盘记录程序。由于这是一种有针对性的攻击,钓鱼者将花费更多的时间通过电子邮件或电子传真来设计他或她的攻击载体,以增加受害者点击链接或下载含有恶意软件的附件的成功机会。捕鲸被用作一种先发制人的攻击,进一步的恶意攻击称为商业电子邮件泄漏(BEM)(联邦调查局,2017)。这封泄露的电子邮件来自CEO等高层管理人员,被用来指示CEO的下属进行未经授权的电汇支付。
【20】Wiphishing/evil twin一种使用无线网络的网络钓鱼技术。钓鱼者使用如图20所示的非法AP,将自己置于互联网用户和合法无线接入点(AP)之间。首先,钓鱼者会部署一个非法AP,该AP具有相同的服务集标识符(SSID)或网络名,以及某个区域内现有合法AP的无线电频率。有软件可以使笔记本电脑成为无线网络的接入点(truesofsoftware, 2017)。然后,网络钓鱼对于接近用户可能导致用户连接到AP最强的信号或有计算机自动连接到它。最后,钓鱼者能够窃听用户提交和通过用户机器连接的非法AP接收的信息。钓鱼者通常会将目标锁定在有免费热点的公共场所,如咖啡馆、机场、酒店等(Song et al., 2010)。