作者:Christopher Hadnagy
◆ 引言
这世上没有公平竞争这一回事。要利用一切弱点。
拥有工具并不会使你成为一名建筑师!同样,钓鱼工具和建筑工具没什么区别。仅仅购买工具并不能保证你的安全,也不会让你有能力教导其他人防范钓鱼攻击。
◆ 1.1 网络钓鱼基础
鱼叉式网络钓鱼是一种非常有针对性的攻击方式。攻击者花时间对目标进行研究,然后创建与目标个人信息相关的或者私人化的电子邮件。正因为如此,鱼叉式网络钓鱼非常难以检测,也更加难以防御。
◆ 1.3 示例
尽管这些钓鱼骗局手段更高明,但是仍然有一些蛛丝马迹可以让人判断它们是假的。❑ 问候语通常是模糊的,难道银行不知道客户的名字吗?“尊贵的客户”不算。❑ 拼写、语法和大写字母方面的问题,尽管比之前的好,但是仍然有一些奇怪的地方。❑ 用于验证的链接指向的网址并不属于所谓的发件人。❑ 使用紧迫的语气(“请立即回复,否则您的账户将被冻结”)。
❑ 利用权威。这是一条影响原则。人基本上是社会动物,我们都会对不同形式的权威做出反应。❑ 时间限制。邮件中说你的账户会在48小时后销户!这种话的确增加了紧张感。出于我们的生存本能,任何对获取资源的限制都会让我们感受到威胁。❑ 可能的危害。想到你的银行账户被检测到异常行为,可能是某些不法分子正在试探你的账户,这一点确实让人害怕。毕竟唯一应该在我金币附近徘徊的人是我——也可能是史矛革。
◆ 2.1 决策:观滴水可知沧海
一夜未眠会导致做出更冒险的决策。他们发现,大脑中负责乐观态度的部分会更活跃,同时负责计算可能的负面结果的部分的活动减少了。这意味着当我们疲惫的时候,会高估我们成功的可能性。
◆ 3.6 影响的原则
在人们答应一个请求后,他们很可能继续再答应一个。经验丰富的社会工程人员能够在不显得古怪或者冒犯的同时逐渐提高要求,并克制自己对于持续索取行为的个人反感。
◆ 第4章 保护课程
“学校和真实生活的一个重要区别在于:学校先教你知识然后考试,生活则通过考试来教你知识。”
◆ 4.2 第二课:学会悬停
攻击者可能会购买相近的域名来掩饰他们用来攻击的真实的域名。举例来说,如果一个攻击者购买了http://secure-你的银行.com域名,而你在这个链接上悬停了一会儿,你会以为看到了“正确”的域名,那么这会让你信以为真,然后点击它。
其他攻击者会用注册过的证书来使得网站看起来合法和安全,并且攻击者的确拥有这些证书。这些证书可能会以狡猾的方式命名,使用受信任的(trusted)、安全(secure)或者其他字眼来使你相信点击这些链接是安全的。
黑客会攻击全球范围内的真实的服务器,并用合法服务器来发送钓鱼邮件。他们利用人们对这些服务器的信任来诱使他们点击恶意文件或者链接。
◆ 4.3 第三课:URL解析
你能根据上面所讲的URL知识来判断下列网址中哪些属于微软,而哪些有潜在威胁吗?
❑ http://microsoft.com/file.txt❑ http://secure-microsoft.com/file.txt
❑ https://secure.microsoft.com/file.txt
❑ http://microsoft.com/secure/file.txt
❑ http://rnicrosoft.com/file.txt
你觉得你做得怎么样?下面对每一个网址进行了分析。
❑ 第一个网址是合法的,虽然它缺少了www,但它确实指向了一个真实的微软网址。❑ 要小心对待第二个网址,它可能并不属于微软,因为secure-microsoft.com中的“-”表示它和微软(microsoft.com)的域名完全不同。❑ 第三个网址是安全的。它属于合法公司,并且文件位于安全的https服务器上。secure子域名是隶属于微软的域名的。第二个网址则试图伪装成一个安全网址,但实际上使用了“-”而不是“.”来分割地址。“.”意味着该子域名属于主域名,而“-”指一个全新的域名,因此第二个网址是不可信的。❑ 第四个网址也是合法的。它只是位于下一级域名。❑ 第五个域名很有迷惑性,不是吗?看仔细了,并不是m-i-c-r-o-s-o-f-t,而是r-n-i-c-r-o-s-o-f-t。把小写的R和小写的N放在一起时,如果靠得足够近且字体合适,那么它们看上去就像一个小写的M。
◆ 4.5 第五课:沙盒
把所有收到的邮件集中到沙盒中进行处理。链接可以被自动系统确认,附件可以被扫描,甚至被打开。只有确保安全之后,它们才会被发到指定人员那里。
它自动安装成一个Windows服务,不再只是一个运行程序。❑ 它通过运行一系列的命令连接到国外的服务器来下载有效载荷。❑ 它依赖AppID或者命令行交互,因此它不会被沙盒检测到。
仅仅依靠技术,并不能让你免于社会工程人员的攻击。
◆ 5.1 基本方法
不要做枝头低垂的果子——在钓鱼攻击者把你从树上摘走前就进行训练和教育吧。
媒体/新闻现实世界中这类钓鱼攻击更为常见。这里举一些例子。❑ “有人在对你进行背景调查。”❑ “突发新闻。<插入某个地名>有炸弹爆炸了。”❑ “<插入某种灾难>重大新闻!点击此处查看更多。”❑ “你被邀请接受CNN的采访。请选择一个你方便的时间段。”不管原因是什么,新闻和媒体总是广泛用于钓鱼攻击,这一主题会吸引很多人的兴趣。
社会工程人员知道,你和你的员工更倾向于信任可信的供应商,并更愿意打开来自它们的链接、附件,或者向它们提供信息,而新出现的陌生来源很难做到这一点。
内部邮件看上去是一个很好的主题,可以帮助你的员工理解钓鱼攻击的危险性。让员工接触看起来和你的公司网址相似的URL,或者声称来自人事部门、IT、管理部门或者C级管理者的邮件,都能帮助他们了解钓鱼攻击者的惯用手段。
◆ 5.2 开展培训
一级钓鱼攻击:❑ 非指向性问候和结束语;❑ 拼写错误和糟糕的语法;❑ 简易的信息/不太可能成立的理由(例如“你已经继承了上百万美元”);❑ 引起贪婪、恐惧或者好奇的心理;❑ 文本中出现恶意链接;❑ 奇怪的邮件地址/未知的发件人。
这些邮件之所以有效是因为贪婪和恐惧。对潜在的损失的恐惧、内心的贪婪,以及对“如果……那会怎样”的好奇心超越了逻辑和理性的力量。
❑ 非指向性问候和结束语;❑ 拼写正确但有一些语法问题;❑ 信息更复杂但仍然很基本;❑ 引起贪婪、恐惧或者好奇的心理;❑ 文本中出现恶意链接;❑ 奇怪的邮件地址/未知的发件人。如前所述,它有很多和一级钓鱼攻击类似的地方,但是我们注意到有一点不同,那就是主题。“你中了450万美元大奖”这类主题更少出现,更多的是基于公司信息或个人信息的邮件,它们利用好奇和恐惧作为驱使你采取行动的因素。
这些钓鱼攻击更注重激发好奇和恐惧,尝试让收件人点击链接以获取他的个人信息或者渗透进公司的网络。
三级钓鱼攻击有下面这些指标:❑ 指向性问候和结束语;❑ 正确的拼写;❑ 不错的语法;❑ 复杂的信息,会引起恐惧或好奇的心理;❑ 文本中出现恶意链接;❑ 有时候会出现奇怪的邮件地址,但是发件人看起来是合法的;❑ 很多时候出现商标。
四级钓鱼攻击,或鱼叉式钓鱼攻击这一级别的钓鱼攻击非常高级、非常个人化,而且很多时候非常成功。这一级别的钓鱼攻击的有趣之处在于,它可能具备个人化信息、商标、无拼写错误等特征,但它也有可能是地球上最简单的邮件。
鱼叉式钓鱼攻击中更重要的是OSINT(open-source intelligence,获取开放性情报,或者信息收集)的部分,而不是发送邮件的部分。这一部分可以为攻击者清理出一条通向受害者的途径,以及了解如何对目标进行渗透。
❑ 我们发现了客户的家庭住址,以及他们附近的房子正在出售。在发现他们也打算出售房子时,我们发邮件声称为他们提供免费的房产评估。❑ 发现一位主管喜欢带他的家人度假,而他们最喜欢的地方是巴黎后,我们发送了一封鱼叉式钓鱼邮件,里面是迷人的巴黎春季之旅的打折广告。❑ 发现一位主管24年零10个月前毕业于一所军事院校后,我们发送了一封钓鱼邮件,邀请他担任25周年重聚大会时的重要发言人。❑ 发现一位主管的女儿“讨厌她父亲”后,我们以学校辅导员的名义发送了一封邮件,邮件里包含了一些细节和一份PDF格式的报告。
◆ 第6章 积极的、消极的和丑陋的:公司政策及其他
“受过教育的人并不记忆事实,而是尊重事实。”
◆ 6.2 老板是例外
不要认为自己地位高就可以从规则中豁免。
◆ 6.4 太多训练使人厌倦
只测试员工一次,并只给他们一次培训来告诉他们如何识别钓鱼邮件,这和把他们派往法国的一个月前只给他们上一堂法语课没什么两样——都没有什么效率。
◆ 6.7 眼不见心不烦
你认为自己是安全的,只是因为你看不见那些危险罢了。
◆ 7.1 商业应用
Rapid7 Metasploit Pro(www.rapid7.com/products/metasploit/editions-and-features.jsp)可以通过闭环漏洞验证来显示风险程度并进行风险优先级划分,还能通过模拟钓鱼邮件攻击来对安全意识进行衡量。
ThreatSim(http://threatsim.com/)允许组织机构根据终端用户的行为评估和降低风险。ThreatSim是一个安全意识培训平台,可以帮助培训员工来识别潜在威胁并制定安全决策。
◆ 7.2 开源应用
SET给了组织机构编写可信的钓鱼邮件的能力,使终端用户无从知晓将要发动的潜在的钓鱼攻击。SET将最新的钓鱼攻击技术与快速建立模拟恶意网站的能力相结合。SET使得组织机构可以轻松地进行安全测试,尤其是针对那些处于最险要位置的终端用户。
Phishing Frenzy(www.phishingfrenzy.com)是一款由Ruby on Rails构建的基于Linux的开源应用,也是渗透测试者用于管理钓鱼邮件攻击的工具。
◆ 8.2 总结
保持批判性思维,不要轻信那些链接,让动作慢下来,检查得更仔细一些。如果你能做到这些,那么你“上钩”的概率就会大幅度降低。