瑞星2011年度安全報告
2012-01-11 17:00:28第三節 釣魚網站和社會工程學攻擊
隨著對2011年網絡釣魚案例、黑客攻擊案例的統計分析,瑞星安全專家認為單純地把那些利用社會工程學原理發動的網絡攻擊命名為“釣魚網站”,已經不能準確描述這種攻擊手法的本質,社會工程學攻擊(利用人與人之間的信任、踐踏社會基本的商業準則,夾雜在利益當中)使得國內網民面臨比以往更大的安全風險。
(*社會工程學攻擊是一種利用人的弱點獲取系統口令、關鍵安全信息、金錢利益的攻擊方法,這些弱點包括人的本能反應、好奇心、信任、貪便宜等,在此類攻擊中通常包括了諸如欺騙、傷害等危害手段,采用傳統安全方法無法杜絕社會工程學攻擊。)
盡管目前的“釣魚網站”最終的表現形式仍然是“建立假網站→吸引用戶花錢”,但建立假網站之后如何吸引用戶,怎么讓用戶知道這個假網站,訪問假網站之后如何增加用戶的信任感,如何欺騙搜索引擎從而獲取更好的搜索排名,如何把用戶被騙的錢取走(銀行都是實名制,如有大量的異常資金往來,很難瞞過監管部門),這些環節在以前都讓黑客撓頭,現在他們想出了種種方法來規避。
下面,瑞星安全專家將對2011年的黑客釣魚活動進行深入分析。
從黑客建立網站開始,有四個主要環節,建立網站→推廣→瀏覽(建立信任)→支付。在這四個環節當中,黑客尤其對后三個環節不斷進行創新,加強推廣效果,降低提現難度。
第一、黑客推廣釣魚網站的四大常用手法
根據瑞星研究團隊的分析,2011年黑客主要通過搜索引擎攻擊(SEA)、IM軟件、電子郵件群發、手機短信等四種方式推廣釣魚網站:
(1)搜索引擎攻擊SEA(Search Engine Attack)。作為網民獲取信息的主要途徑,搜索引擎在黑客推廣釣魚網站上起到了不可替代的作用。黑客們會追蹤搜索引擎上的熱門詞匯,針對這些熱門詞匯做出調整和優化,使得網民在搜索的時候,假網站排在前列。有的甚至花費重金,購買搜索引擎廣告。
在搜索引擎攻擊中,常見的攻擊手法包括:
A、病毒點擊。黑客利用自己掌握的“僵尸網絡(*注)”搜索熱門詞,點擊其中的釣魚網站(假網站),讓搜索引擎以為“這個網站具有高質量內容,所以很多用戶喜歡”,提高釣魚網站的權值。這樣當網民搜索熱門詞的時候,這些釣魚網站就會排在正常網站的前面,誤導網民。
(注)“僵尸網絡”:通過各種手段在大量計算機中植入特定的惡意程序,使控制者能夠通過相對集中的若干計算機直接向大量計算機發送指令的攻擊網絡。攻擊者通常利用這樣大規模的僵尸網絡實施各種其他攻擊活動。
B、讓釣魚網站出現在搜索引擎的特定區域。這些特定區域包括:熱門詞的前三頁搜索結果、搜索排行榜、搜索問答的熱門話題等。在這些特定區域中,普通用戶可以插入內容,比如在百度知道的熱門問題中,有關減肥、美容、癌癥等內容的答案里。就有若干詐騙類網站的鏈接;而在排行榜類區域中,除非進行人工干預,否則黑客可以利用病毒、木馬來模擬網民搜索行為,從而使得顯示的結果失真,這也就是所謂的“惡性SEO(Search Engine Optimization)”
C、熱點詞優化。這類行為通常發生在某個“門事件”之后,例如“艷照門”、“X臥底”等媒體爆炒的事件之后,主流搜索引擎的結果中會出現大量的惡意網站結果,包括帶毒網站、詐騙網站、出售假冒偽劣商品的釣魚網站等等。
D、購買搜索引擎廣告。據媒體報道,湖北一網民在搜索“中國移動湖北網上營業廳”時,搜索引擎提供的廣告是釣魚網站,被騙話費100元(http://henan.qq.com/a/20120104/000031.htm)。2011年12月,公安部經濟犯罪偵查局發布警告,列舉了多起用戶在搜索引擎上遭遇釣魚詐騙的案例。(http://www.mps.gov.cn/n16/n80227/n80640/3030065.html)
(網絡圖片:搜索引擎廣告中的釣魚網站)
E、黑客攻擊大型網站,在其中放入釣魚網站的鏈接,欺騙搜索引擎,提升釣魚網站的權值,這樣可以使網民誤以為所進入的釣魚網站是大網站的子站或者分站,從而提升釣魚網站的可信度,使網民更容易受騙。
(2)利用QQ、MSN等IM軟件推廣釣魚網站,或直接詐騙
從瑞星的監測結果來看,2011年下半年,通過QQ、MSN等聊天軟件推廣釣魚網站,或直接進行詐騙的案例有大幅上升。具體表現形式為,黑客登錄竊取的QQ號、MSN賬號等,給其好友發送釣魚網站,或者直接要求好友幫其購買手機充值卡、網游點卡等容易銷臟的數字卡產品。中招者無法統計,數量級可能在數萬到數十萬之間。
2011年12月,MSN中國發表聲明,稱已經注意到部分MSN用戶遇到賬號密碼被盜的問題,MSN中國非常關注,已經向美國總部匯報,并立即展開了調查,但是被盜賬戶數量和事件原委截至發稿時還沒有最終結果。
(騙子利用MSN盜號詐騙圖例)
瑞星安全專家介紹說,這是黑客對國內一些大型互聯網站進行了“拖庫攻擊”,直接竊取大批用戶密碼,或者通過已泄露的密碼去猜測其他網站的密碼,在這波攻擊中,IM軟件未曾幸免。
(3)利用郵件推廣釣魚網址
黑客在網上購買外泄的用戶資料,針對性地向某些用戶發送釣魚郵件,這樣可以極大地提高詐騙成功率。比如網上可以買到“淘寶每個月的活躍賬戶”、“當當高級買家賬戶”等,黑客會向這些已經習慣網購的買家發送釣魚網址,詐騙錢財。
(4)利用手機短信推廣釣魚網址
黑客在網上購買大批用戶資料,利用某些地區對于垃圾短信監管不嚴的漏洞,使用手機短信群發技術,給特定人群定向發動釣魚短信,詐騙錢財,出售假冒偽劣商品等,這種方式相對隱蔽,詐騙成功率很高。
