基于魚叉式網(wǎng)絡(luò)釣魚攻擊的防御研究

王喚

摘要：網(wǎng)絡(luò)釣魚攻擊，特別是針對(duì)大型企業(yè)的網(wǎng)絡(luò)釣魚攻擊正在崛起，魚叉式網(wǎng)絡(luò)釣魚攻擊，這也是針對(duì)性攻擊最常用的手段，它最主要的方法是向目標(biāo)群體發(fā)送電子郵件，通過電子郵件里面附帶的惡意程序，感染和實(shí)施攻擊。企業(yè)需尋求更多更好的解決方案，保持強(qiáng)大的安全態(tài)勢(shì)，幫助用戶及時(shí)發(fā)現(xiàn)入侵信號(hào)并做出快速響應(yīng)。

關(guān)鍵詞：魚叉式；網(wǎng)絡(luò)釣魚；防御

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）08-0051-01

網(wǎng)絡(luò)釣魚攻擊通常是電子郵件釣魚，然后騙取受害者點(diǎn)擊惡意鏈接，最后使用惡意的漏洞Payload攻擊受害者計(jì)算機(jī)。換句話說，如果一個(gè)員工誤點(diǎn)擊惡意鏈接，可能被黑客盜取賬戶信息，或者電腦被人種上木馬，導(dǎo)致企業(yè)內(nèi)網(wǎng)因此淪陷，業(yè)務(wù)數(shù)據(jù)和敏感信息也會(huì)陷入巨大風(fēng)險(xiǎn)之中。目前，反安全領(lǐng)域中最有效的網(wǎng)絡(luò)釣魚攻擊就是魚叉式網(wǎng)絡(luò)釣魚，該攻擊可以侵入所有的防御層。據(jù)統(tǒng)計(jì)，約92%的數(shù)據(jù)泄露事件與社會(huì)工程學(xué)事件和魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)。

1 魚叉式網(wǎng)絡(luò)釣魚攻擊

對(duì)于魚叉式釣魚攻擊，鎖定特定目標(biāo)的攻擊，被正式攻擊效果很好，可以打敗經(jīng)驗(yàn)豐富的安全專家，因?yàn)?，這些攻擊都來自準(zhǔn)備充分，對(duì)你的業(yè)務(wù)很了解的專業(yè)攻擊者，他們知道你的公司業(yè)務(wù)，知道你現(xiàn)在所從事的項(xiàng)目，還有你關(guān)注的利益，和興趣，這種攻擊比簡(jiǎn)單的金融偷盜，帶來的危害更嚴(yán)重，也更持久。

首先，攻擊者會(huì)選擇一個(gè)受害者，比如www.contoso.com。然后，攻擊者利用動(dòng)態(tài)DNS服務(wù)和虛擬服務(wù)器來發(fā)布類似的網(wǎng)站。以下就是一個(gè)名稱相似的網(wǎng)站www.comtoso.com，攻擊是基于假設(shè)用戶不會(huì)注意到URL中的細(xì)微變化。

接下來，攻擊者會(huì)利用Automation Anywhere或Ion等抓取工具或數(shù)據(jù)采集工具來復(fù)制www.contoso.com網(wǎng)站中的內(nèi)容。現(xiàn)在，攻擊者就擁有了一個(gè)名為www.comtoso.com的相似網(wǎng)站。下一步攻擊者要做的就是將受害用戶吸引到虛假網(wǎng)站，以便獲取受害者輸入的憑證。接下來，攻擊者要做的就是利用Foca和Maltego等指紋識(shí)別工具采集盡可能多的電子郵件地址。

現(xiàn)在，攻擊者要做的就是等待使用合法Contoso憑證的用戶登錄到虛假網(wǎng)站，以便他們進(jìn)行采集，攻擊者采集到憑證之后，攻擊就結(jié)束了。

2 魚叉式網(wǎng)絡(luò)釣魚防御措施

1）防網(wǎng)絡(luò)釣魚技術(shù)

作為網(wǎng)絡(luò)安全行業(yè)的一個(gè)重要領(lǐng)域，防網(wǎng)絡(luò)釣魚產(chǎn)品和服務(wù)在很久之前就已經(jīng)面市?，F(xiàn)在的殺毒軟件通常都包括防網(wǎng)絡(luò)釣魚功能，而且多數(shù)瀏覽器都自動(dòng)配備了Google Safe Browsing功能，這樣的整合可以提供中等水平的網(wǎng)絡(luò)釣魚防護(hù)措施，但卻遠(yuǎn)不能幫助企業(yè)應(yīng)對(duì)復(fù)雜攻擊。

防網(wǎng)絡(luò)釣魚解決方案可以集成到Web瀏覽器或以單機(jī)方式運(yùn)行，這兩種方法采用了相似的方法來檢測(cè)網(wǎng)絡(luò)釣魚攻擊。

2）SSL站點(diǎn)搜索保護(hù)

由于多數(shù)用戶認(rèn)為有效的SSL證書可以實(shí)現(xiàn)更好的安全保障，因此，利用SSL證書的網(wǎng)絡(luò)釣魚攻擊尤其危險(xiǎn)。有些防網(wǎng)絡(luò)釣魚產(chǎn)品能夠檢索超過五百萬的SSL證書，以便查找偽造證書。

3）DNS搜索保護(hù)

利用這一防護(hù)方法，看似與合法網(wǎng)站相似的域名就可以記錄到代碼倉庫。軟件每天都會(huì)監(jiān)控DNS注冊(cè)，以發(fā)現(xiàn)特定的警報(bào)模式，也可以在通用TLD和.com、.net、.free.fr等注冊(cè)點(diǎn)探查潛在域名。

4）域名信譽(yù)

所有的防網(wǎng)絡(luò)釣魚廠商都會(huì)收集有關(guān)URL黑名單的情報(bào)。他們利用信譽(yù)分析技術(shù)對(duì)域名信譽(yù)和列入黑名單的一級(jí)域名（TLDs）等數(shù)據(jù)信息進(jìn)行分析。有些網(wǎng)站可以免費(fèi)為用戶提供此類信息，http：//www.borderware.com/就是其中之一。從這些服務(wù)中得到的信息也可以從郵件攔截列表和上報(bào)站點(diǎn)中獲取。

這種方法的缺點(diǎn)就是，多數(shù)的攻擊者會(huì)利用‘用后即丟棄技術(shù)獲得域名，用于惡意URL，但是時(shí)間很短。因此可以躲過URL黑名單和信息分析技術(shù)的分析檢測(cè)。

5）針對(duì)注冊(cè)商和托管服務(wù)供應(yīng)商的網(wǎng)絡(luò)釣魚提示

注冊(cè)商、托管服務(wù)供應(yīng)商和互聯(lián)網(wǎng)服務(wù)提供商（ISP）能夠持續(xù)追蹤IP地址、名稱服務(wù)器和域名查詢服務(wù)器。他們的防釣魚軟件不斷更新，并根據(jù)上述信息為用戶提供警報(bào)。

6）工具欄

目前，各種不同的工具欄都可以安裝在當(dāng)前最流行的瀏覽器中。這些工具欄會(huì)持續(xù)監(jiān)控URL檢索，并向軟件發(fā)送報(bào)告，以便匹配基于規(guī)則的策略。

7）安全培訓(xùn)防御網(wǎng)絡(luò)釣魚攻擊最重要也最有效的方式就是進(jìn)行員工安全教育，提高他們對(duì)社會(huì)工程攻擊的認(rèn)知。提供長(zhǎng)期且持續(xù)的教育和培訓(xùn)：創(chuàng)建指導(dǎo)方針及公司策略及程序，以保護(hù)個(gè)人和公司設(shè)備上的敏感數(shù)據(jù)。定期評(píng)估內(nèi)部調(diào)查團(tuán)隊(duì)，進(jìn)行實(shí)踐演練，確保用戶擁有有效對(duì)抗網(wǎng)絡(luò)威脅的必要技能。

說到底，用戶是最終的安全決定者。安全的好壞最終取決于用戶能否以鑒定的眼光閱讀所有郵件和警報(bào)，并判斷信息或鏈接是否安全。只要決策權(quán)在用戶手中，網(wǎng)絡(luò)釣魚攻擊的成功率就會(huì)居高不下，這也正是防網(wǎng)絡(luò)釣魚行業(yè)能夠保持持續(xù)增長(zhǎng)的原因。企業(yè)還將繼續(xù)尋求更多更好的解決方案，保持強(qiáng)大的安全態(tài)勢(shì)：部署多層端點(diǎn)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、加密、強(qiáng)大有效身份的驗(yàn)證和采取擁有高信譽(yù)的技術(shù)，幫助用戶及時(shí)發(fā)現(xiàn)入侵信號(hào)并做出快速響應(yīng)，增強(qiáng)企業(yè)團(tuán)隊(duì)的安全防范能力。

參考文獻(xiàn)：

[1] 黃文.淺談網(wǎng)絡(luò)信息的安全保密工作[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2010（15）.

[2] 倪天華，朱程榮.網(wǎng)絡(luò)釣魚防御方法研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2008（9）.

[3] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站uRL檢測(cè)技術(shù)[J].信息網(wǎng)絡(luò)安全，2012（23）.