闽ICP备2020022160号-5
最近发现身边有很多朋友都中过钓鱼木马,从而QQ被盗(其实不是被盗,而是被暂时获取某种权限,可以控制QQ修改网名、发送更多钓鱼链接等行为,QQ被盗指的是骇客通过社会工程学搜集资料,进行QQ账号申诉,申诉成功能修改密保手机,从而完全控制QQ)为了增强网民的网络安全意识,也让更多的小白不再被感到担心,就本次技术话题展开一个专题,本次公开课是一个大的整体了解框架,之后还会有更详细的内容。
网络钓鱼是什么
什么是网络钓鱼?
网络钓鱼是一种攻击手段,在我们安全攻击当中,除了蠕虫攻击、木马病毒、DDOS与CC攻击等,网络钓鱼就是其中一种攻击、表达方式,网络钓鱼的主体就是钓鱼网站。
什么是钓鱼网站?
钓鱼网站是指不法分子利用各种手段,仿冒真实的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某个网页中插入危险的html代码,骗取用户的银行卡信息、密码等。
钓鱼网站的分类与危害
模仿登陆
我们每天都需要用手机登陆QQ、QQ空间、各种论坛账户,钓鱼网站会伪造QQ空间登陆页面、仿造英雄联盟游戏低价领取皮肤页面等,让你输入自己的QQ账号密码,这时候就叫模仿登陆。
虚假中奖
比如说每天会收到某些节目的中奖信息,如:中国新歌声、奔跑吧兄弟等等,这时候你打开短信里面的网址,会对你说恭喜你中奖了,叫你输入自己的个人信息兑奖,我们称为虚假中奖。
虚假购物
最常用在于淘宝、58同城、二手交易网等,下诱饵的方式主要是这件物品低价、抢购的方式叫你登陆购买,模仿这些购物网站,所以我们称为虚假购物
假冒银行
这种危害性比较大,会通过一些方式在你的手机上植入木马,通过木马给你发送一个网址,打开网址看是一个工商银行、建设银行的网址,用户在毫不知情的情况下输入银行账号密码和U盾的验证码。
钓鱼网站的危害
不管是举报钓鱼网站的数量还是人均损失金额,都在逐年呈现上升趋势,已经成为黑色产业链最重要的一块。
钓鱼网站牟利方式
1、通过钓鱼网站设下陷阱,大量收集用户的个人隐私信息,通过贩卖个人信息或敲诈用户
2、通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金。
3、假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户
4、通过假冒产品和广告宣传获取用户信任,骗取用户金钱
5、恶意团购网站或购物网站,直接获取用户输入的个人资料和网银账号密码信息,进而获利
钓鱼网站的传播方式
1、 通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接:比如我们很容易就看到的利用QQ发布短网址链接,这个在我身边很多人就被这样盗过号,安全意识实在太差。你点开后可能会发现需要你登陆QQ空间查看,这时候,你需要检查网址是否是腾讯官方网址:比如QQ空间的官网就是https://qzone.qq.com/,看到其他网址不是qq.com后缀的绝对不要相信,现在盛行的就是伪造英雄联盟低价领取皮肤页面。如果你需要进行游戏充值、腾讯视频会员充值等等,不要打开别人的链接,自己去百度搜官网去充值,官方网站一般会进行百度官网认证,这你就可以放心充值。
2、 通过朋友圈、空间中的短链接散布钓鱼网站链接:
有同学在QQ空间里发了说说@了其他的同学,说请大家看聚会照片,同学情谊难得,很多人都会放松警惕。一个同学不幸中招,然后同学的同学又中了……这些说说是如何出现在我们的空间里的?在我们web安全渗透测试技术中,可以构造xss,获取QQ空间Cookie,其中skey是个关键临时密码。"skey权限代码,也就是说如果可以获得一个QQ号码的Skey代码,也就相应的拿到了对方QQ登陆和管理权限,这意味着你完全可以以主人的身份分分钟进入对方的空间、查看加密的相册,甚至发表说说,删除留言…"造成的后果如图所示:
3、通过仿冒邮件,例如冒充"银行密码重置邮件",来欺骗用户进入钓鱼网站:
这个也是需要注意的地方,我的邮箱就中招了,每天给我发个钓鱼邮件和带有木马病毒的文件,你不需要管他就行了。可以通过黑名单方式阻止钓鱼邮件发送到你的邮箱。还有就是重点,邮箱发信人可以伪造的,不要看到发信人是支付宝就放松警惕,要看看发送地址是否是支付宝官方地址(域名),如果你觉得是真的登陆失败次数过多,请自己去官网查看,不要点击邮件提供给你的地址。上次看到一个假冒QQ安全中心发的邮件,伪造技术垃圾,很多地方都能看出来是伪造的。
4、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站:这个很多网站都会弄个广告弹窗增加收入,但是也是不法分子的犯罪手段。所以看到广告你就忽略他,不要点进去。
5、伪装成用户输入网址时易发生的错误,如gogle. com、sinz. com等,一旦用户写错,就误入钓鱼网站:这个是最容易中钓鱼木马的地方,一些钓鱼网站为了仿真官网,把网址故意混肴,比如说淘宝的官网是:taobao.com,钓鱼网站的网址是:taopao.com或者其他,把b改成了p,所以用户一不小心就会中招。
6、利用"伪基站"假冒银行、购物网站或第三方支付平台等正规机构名义发送短信传播钓鱼网站链接:相信大家对伪基站发送短信并不陌生,跟中奖短信差不多,给你的链接不要点就行了。点了怎么办?点击链接绝对没事的,之前有媒体报道,什么点击链接之后会把你银行卡的钱给套走,现在还没有那个技术会直接盗取金额的。真相就是点击链接之后会让你下载一个软件,这个软件才是有病毒的,你根据软件提示把你银行卡账号密码输入进去,那么才有可能被盗走金额。把那个软件进行反编译分析,发现软件的运行情况,获取你手机的信息什么的,但是这个软件没有经过加壳防御,很容易就被获取到软件开发者的手机号,那么网警也可以通过技术追查到开发者。
7、 利用虚假WiFi盗取用户手机系统、品牌型号、自拍照片、邮箱帐号密码等各类隐私数据:骇客会利用一些技术,伪造钓鱼WIFI的SSID,然后经过洪水攻击等攻击手段,取消目标用户对真实WIFI的连接,从而诱导连接钓鱼WIFI,最好的防御方法就是不要连接公共的WIFI,现在三大运营商不是推出无限流量了吗,那就用无限流量就可以。
钓鱼网站的痛点
1、网民的安全意识不强:对钓鱼网站的变化形式不在意,只是通过新闻、微博等了解,XXX被钓鱼网站诈骗上万,只是看戏并不在乎,可能不知已经深受其害。
2、手段复杂,花样繁多:在我们安全术语中叫挂马,有可能利用漏洞把木马镶嵌在官方的某个网页上,还可以通过社会工程学形式等各种手段。
3、损失不大,嫌麻烦:被骗了50、100并不在乎,金额不大。害怕浪费时间,无所谓态度。
4、取证困难,难以追查:网民报案,网警难以立案求证,因为大部分的钓鱼网站存活期限不会太高,一般开个7、8天,骗几个人就给关了。
5、金额难立案:在我国法律中限制了被骗金额,被骗一两百网警是不会立案受理的,即使达到一定金额立案后,网警很难去追查,因为钓鱼网站的服务器是海外服务器,不能直接动手,说不定会引起国际纠纷。而且一个人被骗金额不大,但上千人被骗,钓鱼网站涉案金额就很大,个人报案就很难把证据穿在一块,不能达到立案条件。
网络钓鱼的趋势
处于起步上升状态
最近几年木马病毒少,挂马几乎绝迹,但网络钓鱼极速上升,因为中国网民不断增加网上操作增加,钓鱼网站也在增加,已成为黑产主要一块,每年几千亿的黑色产业链也会有。
专业团队组织严密
有严密的组织团队,如有人写钓鱼源码,有人推广,有人洗钱,进行运作,整体团队化。
攻防技术不断更新
各大厂商、网民从各个角度不断更新、增加。
更利于多元化结合
如社会工程学,伪基站钓鱼。
未来网络安全主害
整个网络安全害点目前最大的、以后也是最大的以伪基站的形式给你发信息让你点开链接从而受骗。
如何防范网络钓鱼方式
1. 社工防御(信息泄露)
1) 主动泄露:朋友圈;QQ空间,贴吧,交易,个人资料
2) 被动:快递,外卖,火车票,飞机票
3) 弱口令,如123456,5201314
4) 账号密码无分类,所有账户用一个密码
5) 重要网站不使用一键登录
2. 日常防御
6) 不点击扫描陌生网址、二维码
7) 不信天上掉馅饼
8) 不点击短信、电子邮件中的链接
9) 总是使用官方网站
10) 不连接公共wifi,陌生wifi
11) 注意网址URL进行0和o , I和1混淆
12) 注意一般大型网站都是https://开头,经过SSL证书加密处理,现在很多中小型网站也使用了HTTPS加密技术,浏览器一般会提示是否安全。
13) 安装杀毒软件,对于小白来说这个还是有必要的,不过一定要好好看看杀毒软件的设置选项,进行相关设置,不然这玩意比病毒还流氓
14) 浏览器安装Adblock Plus等过滤广告弹窗的插件
15) 钓鱼网站没有身份验证功能,随便输入什么账户和密码都会提示登录成功,这个也是判断是否是钓鱼网站的重要方法,但是需要注意木马编写者还很机智的做了一些判断,第一次输入信息,不管是什么信息,它都会提醒输入账号或密码有无,请重新输入,当我们再次输入信息的时候,自动跳转到了真正的QQ空间页面。让我们真的以为是自己输入了错的信息。
闽ICP备2020022160号-5