网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,
结论
本文中我们展示了一些真实世界发生的网络钓鱼攻击的实际案例,以及在这些案例中攻击者进行的典型的行为。所有这些提供的信息都是使用高交互性的研究型蜜罐所捕获的,这又一次证明了蜜网技术在信息保障和取证分析领域里是一个强有力的工具。我们分析了攻击由德国和英国蜜网研究项目组部署的蜜罐的几次攻击。在两个案例中,钓鱼者攻击并攻陷了蜜罐系统,在攻陷主机后他们的动作开始有所差异。如下的网络钓鱼攻击各阶段的攻击技术被发现:
以著名的一些组织结构为目标,架设其钓鱼网站
发送欺骗性垃圾邮件,引诱受害者访问钓鱼网站
安装重定向服务,将网站流量都转发到已架设的钓鱼网站
通过僵尸网络传播垃圾邮件和钓鱼邮件
这些数据帮助我们了解钓鱼者的典型攻击行为和他们用来引诱和欺骗受害者的一些方法。我们已经学习到网络钓鱼攻击可以非常快地发生,在最初的系统入侵到一个钓鱼网站在线,并发出宣扬此网站的钓鱼垃圾邮件只有相当有限的时间,而这么快的攻击速度使得这些攻击者很难被追踪和阻止。
我们的研究同时显示网络钓鱼攻击正在变得越来越普遍而且具有良好的组织性。我们已经观察到针对主要的几个在线组织机构的预先构建的钓鱼网站的归档,这使得钓鱼者可以在很短的时间内准备好进行钓鱼攻击,这也说明了背后隐藏着一个组织良好的钓鱼攻击团体。这些钓鱼内容可以通过利用端口重定向器或僵尸网络快速地进一步扩散。与批量扫描的证据和钓鱼网站内容中手动形式加入的 IP 地址,我们可以相信在一个时刻会有多个特定钓鱼网站的实例同时存在,在上传的钓鱼网站构建完成之前,到达这个刚被攻陷的服务器的网页浏览流量就已经被发现,而且在某个被攻陷主机上发出的钓鱼垃圾邮件也有可能并不是在引诱受害者访问发送邮件的这台主机,这些现象都说明有良好组织性的钓鱼团队在进行分布式和并行的钓鱼攻击。
我们的研究工作显示了垃圾邮件、僵尸网络和网络钓鱼攻击之间一个清晰的连接关系,以及利用中介来完成最后的隐蔽性资金转账。这些观察到的现象,结合大规模的批量漏洞扫描和两层拓扑结构的钓鱼网络,都证明了钓鱼者所带来的真实威胁,钓鱼活动的组织严密性,以及他们所使用的相当高级的攻击技术。随着钓鱼攻击的技术门槛进一步增高及潜在的回报进一步增加,在未来几年中,网络钓鱼攻击的技术很可能进一步地发展,并且网络钓鱼攻击的数量也将进一步增长。减少可被僵尸网络控制的有漏洞的 PC 机,抑制数量不断增多的垃圾邮件,防止有组织性的犯罪活动,并且教育互联网用户关注来自社交工程的潜在安全风险,所有这些都还充满了挑战。
网友评论