第 1 章 真实世界的钓鱼攻击

第 1 章 真实世界的钓鱼攻击

拉娜:你认为这是某种陷阱吗?

亚契:什么?不,我不认为这是一个陷阱。尽管我从来都不认为它是陷阱……但它通常就是陷阱。

——《间谍亚契》第四季第13集

因为我们要在一起一段时间,所以我觉得我应该一开始就开诚布公。虽然我认为自己是一个相当聪明的人,但我还是犯过很多愚蠢的错误,其中很多始于我大喊一声“嘿,看这个”或者心想“我想知道如果<这里插入一些危险/愚蠢的情况>会怎么样”。不过大多数时候,我的错误并非源于大呼小叫或思考某事的可能性,而是由于未经思考。未经思考通常导致一个结果——冲动。我过去遇到过骗子和罪犯,很清楚利用人们的冲动是他们成功的关键因素之一。各种形式的网络钓鱼已经成为一种备受关注的攻击手段,因为这是让人们不假思索行事的简单方法。

说明 在正式开始学习之前还有一件事值得一提。你可能注意到,当指代坏人的时候,我用的是“他”。我并不是性别歧视,也不是说所有的骗子都是男性。使用“他”比起为了避免冒犯任何人而使用“他们”或者“他或她”更加简洁,也避免了增加情况的复杂性。因此,当我说“他”做坏事的时候,实际上这个坏人可能是指任何人。

1.1 网络钓鱼基础

让我们从一些基本问题开始:什么是网络钓鱼?我们把它定义为:以对收件人施加影响或获得个人信息为目的,发送看似来自权威来源的电子邮件。简单地说,网络钓鱼就是坏人发送一些鬼鬼祟祟的电子邮件。网络钓鱼结合了社会工程学和诈骗技巧。它可能是一个电子邮件附件,会加载恶意软件到你的计算机,也可能是到非法网站的一个链接,这些网站会诱骗用户下载恶意软件或泄露个人信息。此外,鱼叉式网络钓鱼是一种非常有针对性的攻击方式。攻击者花时间对目标进行研究,然后创建与目标个人信息相关的或者私人化的电子邮件。正因为如此,鱼叉式网络钓鱼非常难以检测,也更加难以防御。

在这个星球上,任何一个拥有电子邮箱的人可能都收到过网络钓鱼邮件。根据报告里的数据来看,许多人都点击过邮件里的链接。不过要明白,点击链接这个行为并不能说明你笨,这只是一个由于你没有考虑周全而犯下的错误,或者是由于你没有足够的信息而做出的一个错误决定。(我有一次开车从密西西比州的比洛克西市出发,一口气开到了亚利桑那州的图森市,才是真的笨。)

可以说网络钓鱼攻击的目标和攻击者都有常见的类型。网络钓鱼者的动机往往相当典型:钱或信息(通常也和钱有关)。如果你曾收到电子邮件,敦促你协助被废黜的王子转移他继承的遗产,那么说明你也是骗局中的一部分。富有的人毕竟是少数,但是当一群普通人捐赠小额的“转账费”以协助王子进行周转时(往往是钓鱼邮件中提出的要求),网络钓鱼者就大发其财了。或许你曾收到过来自银行的电子邮件,让你提供个人信息。如果你的身份被盗,那么可能会导致严重的后果。

其他可能的目标包括任何一家公司的普通职员。虽然职员单独掌握的信息可能有限,但把登录信息误交给黑客,会让黑客得以进入公司网络。如果黑客认为收获足够大,那么攻击可能到此结束;否则这也可能是另一起更大攻击的开始。

除了普通人以外,还有一些高价值目标,包括大公司或者政府的高层人员。在组织中的地位越高,越有可能成为鱼叉式网络钓鱼攻击的目标,因为攻击者所花费的时间和精力将会得到不菲的回报。这时整个经济体而非个人的损失会非常严重。

如果攻击者并非普通犯罪,动机也不是迅速赚钱,那么攻击的理由和攻击者本身就会变得非常可怕。有些人出于政治目的或者个人信仰而让大型组织难堪。举个例子,最近很多案例中都提及了叙利亚电子战部队(Syrian Electronic Army,SEA),他们的钓鱼攻击给一些媒体造成了损失,包括美联社(AP)1、美国有线电视新闻网(CNN)2和福布斯(Forbes)3等。显然,钓鱼攻击也造成了经济损失。举个例子,对美联社的Twitter账号进行攻击,导致美联社的道琼斯指数下跌了143个点(见图1-1)。这可是不小的损失。媒体本身的公信力和声誉也受到了影响。我们可以为哪个后果更严重而争论一整天。不过从积极的方面来说,它确实也让我们反思:社交媒体真的是用来获取可信的爆炸性新闻的最佳途径吗?

1Geoffrey Ingersoll, “Inside the Clever Hack That Fooled the AP and Caused the DOW to Drop 150 Points,” November 22, 2013, http://www.businessinsider.com/inside-the-ingenioushack-that-fooled-the-ap-and-caused-the-dow-to-drop-150-points-2013-11.

2Tim Wilson, “Report: Phishing Attacks Enabled SEA to Crack CNSS's Social Media,” January 1, 2014, http://www.darkreading.com/attacks-breaches/report-phishing-attacks-enabled-seato-crack-cnns-social-media/d/d-id/1141215?.

3Andy Greenberg, “How the Syrian Electronic Army Hacked Us: A Detailed Timeline,” February 20, 2014, http://www.forbes.com/sites/andygreenberg/2014/02/20/how-the-syrian-electronic-army-hacked-us-a-detailed-timeline/.

{%}

图 1-1 美联社被黑客攻击后所发的消息

往更深处说,让我们从公司或者国家层面谈谈网络间谍活动。这里我们讨论的是商业秘密、全球经济和国家安全。在这一点上,即使是最无知的公民都清楚后果。

我想说,网络钓鱼其实与每个人都息息相关,而不仅仅是与安全人员相关。你可能不会每天都思考网络间谍的问题,但是你肯定关心自己的银行账户和信用卡积分。我的母亲仍然没有搞清楚如何在她的电话上查看语音邮箱(真事),但她的确知道不应该打开来自陌生人的电子邮件。你的母亲也应该遵循这条规则。

你现在知道什么是网络钓鱼、是谁发动的钓鱼攻击以及他们为什么要发动钓鱼攻击了。接下来看看他们是怎样进行网络钓鱼攻击的吧。

1.2 人们是如何进行网络钓鱼的

如果发件人一栏中写的是“把你的钱给我”这样的信息,那么辨别一封可疑的电子邮件就会变得很容易。骗子使用的最简单的诈骗手段之一就是邮件诈骗,指将发件人一栏信息伪造为你认识的人或者其他合理来源(比如电信公司)。在第4章中,我和克里斯概括了一些简单的步骤来帮助你识别发件人是否合法。同时这也能让你意识到,邮件来自你认识的人并不代表邮件就是安全的。

骗子为他们的故事增加可信度的另一种方法是网站克隆。具体说来,骗子对合法网站进行克隆以欺骗你输入个人可识别信息(personally identifiable information,PII)或登录凭据。这些虚假网站也可以用来直接攻击你的电脑。克里斯亲身经历的一个例子就是假的亚马逊网站。从很多方面来讲,这都是一个很好的例子。首先,这是一个很常见的骗局,因为我们中的很多人都在亚马逊网站上买过东西。我们多次看过该公司的网站和电子邮件,以至于可能不会认真地看它的邮件。其次,它伪造得很好,甚至那些对这类骗局很有经验的人也可能上当受骗。

克里斯对客户进行钓鱼攻击已经好些年了(当然是经过客户许可)。他发送了数十万封钓鱼邮件,了解这些邮件的写作方式以及为什么有效。但是在去年,他收到了一封电子邮件,里面说他的亚马逊账户要被冻结了。这封电子邮件碰巧赶上了我们准备DEF CON年度竞赛的时间。克里斯一直都很忙碌,但在DEF CON召开前的那个月里,身处办公室的他基本上就是在但丁笔下的九层地狱里打转。我不知道当他收到那封伪造的亚马逊网站邮件时想了什么或说了什么,但是你大概可以想到这个故事是怎么发展的。图1-2展示了他收到的那封电子邮件。

{%}

图 1-2 臭名昭著的“亚马逊网站”钓鱼邮件

仔细阅读这封邮件,你会注意到它的语言水平并不达标,甚至有点奇怪,比如单词字母随机大写。这些特性是网络钓鱼的共同特点,因为很多发件人并不是以英语为母语的。关键是,对于一个匆匆一扫邮件内容的人来说它的质量已经够好的了。

克里斯点击了邮件里的链接,然后进入了一个看起来像是亚马逊网站的网页,如图1-3所示。即使经过细致的检查也无法发现这是一个假冒的网站,因为它就是原网站的克隆版。

{%}

图 1-3 假的亚马逊网站

这个时候,克里斯受过的多年训练起作用了。他看了看网站的链接(地址),然后发现这是一个非法网站。如果他输入登录信息,那么账户里包含的个人可识别信息和他的信用卡信息就会被劫持。这封邮件差点成功骗过克里斯,因为网站本身是原网站的克隆,再加上电子邮件发来时克里斯非常忙碌、疲倦、注意力分散,这一切都会阻碍他的批判性思维(详见第4章)。网站克隆的确是一种非常有说服力的方式,能让人们相信钓鱼邮件的内容是真的。

最后说一种诡计:骗子会给刚收到钓鱼邮件的人打电话。这也被称为语音钓鱼(vishing)或电话钓鱼。语音钓鱼有多种恶意目的,从增加邮件的真实性和可信度到直接请求保密信息等。这种诡计从反面强调了保护个人可识别信息的重要性。在我成长的年代,人们的社保号码和电话号码会被印在自己的支票上,就在地址下方。这简直是在说:“请来偷我的身份信息吧,罪犯先生。”想象一下,你收到了一封来自“银行”的电子邮件,随后又接到了他们的电话,要求你点击某个链接访问一个网站,然后更新你的账户信息。这件事是多么让人深信不疑啊。

最近发生了一起被称为Francophoning的企业级钓鱼攻击,之所以这么称呼是因为目标公司主要在法国。4这是一起精心策划的钓鱼攻击。一位行政助理收到一封关于发票问题的邮件,随后有电话打过来,电话的另一头是一个自称公司副总裁的人,要求她立即处理刚刚邮件中提到的发票问题。助理随后点击了邮件中的链接,导致后台加载了一个恶意软件。该恶意软件使得攻击者可以控制她的电脑并窃取信息。这个例子很有趣,因为其中有很多要素在起作用,例如利用权威和性别差异。不过这里主要想说的是,如果你从多个渠道听到同一个故事,那么这个故事就会听起来更加可信。

4Symantec Official Blog, “Francophoned — A Sophisticated Social Engineering Attack,” August 28, 2013, http://www.symantec.com/connect/blogs/francophoned-sophisticated-socialengineering-attack.

1.3 示例

我不太清楚你们的情况,但我和克里斯都善于从例子中学习。本节涵盖了一些因钓鱼攻击而受到重大损失的例子,并介绍了一些如今仍在使用的钓鱼手段。我们也会讨论为什么它们如此奏效。

首先,有必要提到反钓鱼工作组(APWG,www.apwg.org)。我们可以用好几页来介绍这些人,但是没有必要,你需要知道的就是反钓鱼工作组是一个全球安全爱好者联盟,他们对全球的钓鱼攻击进行研究、定义和报道。

根据反钓鱼工作组2014年8月的报告来看,钓鱼攻击仍旧数量惊人。2014年第二季度,消费者向反钓鱼工作组报告了128 378个不同的钓鱼站点和171 801封不同的钓鱼邮件。5这是自反钓鱼工作组开始追踪这些数据以来第二高的季度报告数值。交易服务和金融机构是主要攻击目标,占总体的60%。同时也呈现出了一个新趋势:针对在线支付和加密货币(crypto-currency)的攻击有所增加。

5Anti-Phishing Working Group, “Phishing Activity Trends Report, 2nd Quarter 2014,” August 29, 2014,http://docs.apwg.org/reports/apwg_trends_report_q2_2014.pdf.

现在你已经总览了这些数据,是时候谈谈其中的细节了。

1.3.1 重大攻击

目前为止,塔吉特公司(Target Corporation)受到的攻击可能是最著名的案例之一。它影响了近1.1亿消费者——估计大约有4000万信用卡信息和7000万个人可识别信息遭到泄露;你的个人数据可能就在其中。6这个事件中一个有趣的地方在于,攻击者似乎并非特意针对塔吉特公司。7这是一起攻击升级的例子。塔吉特公司在开始的攻击成功后变成了一个潜在受害者。在这个案例中,最初的受害者是塔吉特公司的一家暖通空调(HAVC)供应商,它拥有塔吉特公司的网络证书。该供应商的一位员工收到了一封钓鱼邮件,然后他点击了邮件中会导致恶意软件加载的链接,恶意软件随后从承包商处窃取了他的登录信息。该承包商的网络和塔吉特公司的网络相连,用于账单和合同的递交等。现在还不清楚所有的攻击细节,但是攻击者最后进入了塔吉特公司的服务器,并攻陷了交易系统。

6Michael Riley, “Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It,” March 13, 2014, http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p1.

7Brian Krebs, “Email Attack on Vendor Set Up Breach at Target,” February 12, 2014, http://krebsonsecurity.com/2014/02/email-attack-on-vendor-set-up-breach-at-target/.

虽然对消费者造成的最终损失仍有待评估,但是塔吉特公司已经花费了2亿多美元以重印被盗取的信用卡——这还没有考虑日后可能发生的欺诈行为。总之,对于帮助人们意识到钓鱼攻击的危险性来说,这是生动而昂贵的一课。

另一起值得注意的攻击是关于RSA公司的,你可能都不记得那件事了。现在提起RSA,人们首先想起的是始于2013年年底的与国家安全局有关的加密算法的事情。此事的影响远超过2011年RSA公司经历的攻击事件。8不同于塔吉特公司遭受的偶然性攻击,RSA公司所经历的看起来是一起针对RSA员工发动的攻击。显然,一封发给RSA低层员工的电子邮件中包含的恶意Excel附件导致了这一切(见图1-4)。

8Aviva Litan, “RSA SecurID Attack Details Unveiled—Lessons Learned,” April 1, 2011, http://blogs.gartner.com/avivahlitan/2011/04/01/rsa-securid-attack-details-unveiledthey-should-have-known-better/.

{%}

图 1-4 RSA公司经历的钓鱼攻击

RSA公司的垃圾邮件过滤系统发现了这封邮件,并把它放进了用户的垃圾邮件文件夹内。令人感兴趣的地方就在这里:总有人要摆脱原本设计好的技术控制,做出一些不该做的事。至少有一位员工打开了那封邮件,并且点击了附件。这给了攻击者进入内部网络的机会,也最终使得他们有机会窃取RSA公司的一些产品信息。有报道称事件发生后的一个季度内,RSA的母公司EMC花费了6600万美元进行善后工作,包括业务监控和密钥更换。

另一起基于产品的攻击也值得注意,那就是2009年可口可乐公司遭受的攻击。9这是一次非常有针对性的鱼叉式钓鱼攻击,攻击目标直指可口可乐公司高管。高管收到的邮件标题是“省电就是省钱!(来自CEO)”。这封电子邮件的标题显然很烂,但是还需要考虑一些因素。首先,这封邮件似乎来自于可口可乐公司法律部门的高管;其次,在受到攻击时,可口可乐公司恰好在推广节能运动(这证明攻击者事先做足了功课)。高管打开了邮件,然后点击了链接。这个链接看起来应该指向关于节能项目的更多信息,但实际上指向了一个恶意网站。网站后台加载了一系列的恶意程序,包括键盘记录等。这使得攻击者获得了企业内部网络和数据的访问权限,直到几周后才被发现。

9Nicole Perlroth, “Study May Offer Insight into Coca-Cola Breach,” November 30, 2012, http://bits.blogs.nytimes.com/2012/11/30/study-may-offer-insight-into-coca-cola-breach/.

这一攻击发生在2009年2月,在3月接到FBI(联邦调查局)的通知前,可口可乐公司并没有意识到有大量的敏感数据被盗。当时可口可乐公司正试图用24亿美元收购一家软饮料制造商,而收购最后失败了。失败的原因众说纷纭,但至少有一家安全组织声称,是由于谈判策略和收购价格等关键信息泄露给了对方才导致了谈判的失败。

正如之前提到的,对美联社的黑客攻击之所以令人印象深刻,是因为一条Twitter消息就对股票市场产生了巨大的影响。10黑客只是通过简单的鱼叉式钓鱼攻击,让美联社的员工误以为邮件是同事发来的(如图1-5所示)。

10Sarah Perez, “AP Twitter Hack Preceded by a Phishing Attempt, News Org Says,” April 23, 2013, http://techcrunch.com/2013/04/23/ap-twitter-hack-preceded-by-a-phishingattempt-news-org-says/.

图 1-5 美联社受到的鱼叉式钓鱼攻击

尽管这封邮件含糊其辞,但它来自“已知”的来源,而且似乎指向了《华盛顿邮报》网站上的一个合法的页面。实际上受害者点击的链接指向了一个仿冒网站,这个网站是用来收集他们的登录信息的。该仿冒网站允许用户使用他们的Twitter账户进行授权登录,这就导致了后面的Twitter账户被盗。

显然,无论采取怎样的技术控制和安全策略,公司仍然和普通人一样容易受到网络钓鱼攻击。那么普通人会遇到的钓鱼攻击的例子是怎样的呢?下面一节将会介绍一些你可能已经见过的常见例子。

1.3.2 常见的钓鱼手段

如果不首先介绍“尼日利亚419”骗局,那么我们关于网络钓鱼这一主题的讨论注定会留下遗憾。这一骗局也称为预付款骗局,实际上它的历史已经有200多年了(可以想象,在平邮信的时代,这种骗局需要花很长的时间才能生效,但是它仍旧生效了)。它现在之所以被称为“尼日利亚骗局”是因为这种骗局很多都来源于尼日利亚,数字419指的是尼日利亚刑法中的欺诈类犯罪的编号。

你可能已经见过这类骗局。例如,一位富有的王子声称自己被废黜了,需要你帮助他转移他的大笔财富;或者一个快要死去的人后悔自己以前吝啬,需要你帮助他把财产捐给慈善机构。无论故事情节如何,这类骗局有几个不变的基本特征。

  • 金钱的数额巨大。

  • 他们相信,一个对他们而言完全陌生的人,让你去转账、付款或者持有这笔钱。

  • 你会获得一定的报酬,但你需要做下面这些事:

    • 为他们提供你的银行账户信息以便他们给你转账;

    • 协助他们付转账费用,主要是由于不稳定的政治局势或个人原因而导致他们无法自己支付转账费用。

图1-6展示了一个真实的例子,这是我最近收到的一封邮件。这封邮件来自加纳而非尼日利亚,但是你懂得意思就好。

{%}

图 1-6 米歇尔收到的尼日利亚419网络钓鱼邮件

对于大多数人来说这是一个很明显的骗局,那么究竟是什么让我确定这并不是来自非洲王室的正当请求呢?

  • 我并不认识任何非洲皇室的人,或者任何来自加纳矿业和能源部门的人,我甚至连任何叫约翰逊·艾迪约亚(Johnson Adiyah)的人都不认识。

  • 约翰逊·艾迪约亚也没理由认识我,这是很显然的,因为他在邮件开头没提我的名字。这么大的一笔交易,他居然连对方的名字都不知道?

  • 虽然我明白有些事会自然发生,但是这个请求实在是太突然了。

  • 他们实在太信任我了(比起一家银行、一位熟人,甚至一家法律事务所),让我一个陌生人处理850万美元。虽然我认为自己的确是一个值得信任的人,但是你知道用850万美元我可以买多少蟹肉饼吗?

  • 最后,尽管我相信发送者使用了拼写检查,但是他的英语很奇怪,似乎英语并不是他的母语。假如我真的在加纳认识一位约翰逊·艾迪约亚的话,这一点当然不成问题。

尼日利亚419骗局只是一个入门级别的骗局,很容易辨别。你可能会想,既然如此,为什么200年后这个骗局仍然存在而且依旧会有人上当受骗呢?可能你自己也收到过这类邮件,那么为什么它仍然有效呢?

  • 贪婪。这是第一原因,也是最基本的原因。大多数人永远不会有机会见到像419钓鱼骗局中那么多的钱,这一点会让很多人思维短路。这个故事有可能是真的,对不对?其实不是这样。但如果你可以说服自己总有一天会中彩票的话,那么进一步说服自己真会有陌生人让你拿着他的钱,可能也不是那么困难。

  • 缺乏教育。在本书后面的部分,我们将会从不同的方面来谈这个因素。有很多人(直到现在,包括我母亲)对于有人想通过电子邮件窃取他们的身份信息或钱财这一点一无所知。

  • 过于轻信。这个世界上有人完全信任其他人。如果说我们生活在一个轻信他人并不会给自己带来危险的世界,那真是太棒了。

除了为你提供巨额财富以外,坏人还喜欢使用一些常见的主题。有的主题至少能让你停下来怀疑它的真实性。

1. 金融类主题

金融类主题是钓鱼攻击者的最爱。我们大部分人都会把钱存起来、转账、交税,因此当收到一封来自金融机构的通知时,人们通常是会打开邮件的。钓鱼攻击的方式无穷无尽,他们通常要求你在线提交账户信息细节以验证你的身份。最常见的金融钓鱼攻击包括下面这些类型。

  • 账户有异常的登录请求。

  • 银行升级了在线安全措施。

  • 未按时还贷或者纳税。

图1-7到图1-10展示了一些例子。这些钓鱼攻击大部分都比尼日利亚骗局要复杂和完善,它们可能包括了商标和图片,看起来更正规一些。我们把这些骗局归类为中级钓鱼骗局。

图 1-7 伪装成美国富国银行(Wells Fargo)邮件的钓鱼邮件

{%}

图 1-8 伪装成美国银行(Bank of America)邮件的钓鱼邮件

图 1-9 伪装成要求申报纳税邮件的钓鱼邮件

图 1-10 伪装成贝宝公司(Paypal)邮件的钓鱼邮件

尽管这些钓鱼骗局手段更高明,但是仍然有一些蛛丝马迹可以让人判断它们是假的。

  • 问候语通常是模糊的,难道银行不知道客户的名字吗?“尊贵的客户”不算。

  • 拼写、语法和大写字母方面的问题,尽管比之前的好,但是仍然有一些奇怪的地方。

  • 用于验证的链接指向的网址并不属于所谓的发件人。

  • 使用紧迫的语气(“请立即回复,否则您的账户将被冻结”)。

这些邮件主要通过利用人们恐惧或焦虑的心理来迫使其采取行动。任何威胁到金钱的事情都是可怕的。实际上,本节中大多数例子都有很多共性,特别是让人们采取行动的方法。

  • 利用权威。这是一条影响原则,第3章会详细谈到。人基本上是社会动物,我们都会对不同形式的权威做出反应。

  • 时间限制。邮件中说你的账户会在48小时后销户!这种话的确增加了紧张感。出于我们的生存本能,任何对获取资源的限制都会让我们感受到威胁。

  • 可能的危害。想到你的银行账户被检测到异常行为,可能是某些不法分子正在试探你的账户,这一点确实让人害怕。毕竟唯一应该在我金币附近徘徊的人是我——也可能是史矛革。

2. 社交媒体威胁

另外一个你可能见过的常见主题是通过社交媒体进行的网络钓鱼。社交媒体的核心当然就是交际,因此如果你使用的社交媒体服务用邮件通知你有新的好友请求或者要求你点击某个链接,那么你通常不会怀疑。一般而言,这类邮件和金融类邮件的难度等级差不多,也可以通过相同的细节来进行识别。然而在我看来,这类邮件反而更容易让你中招,因为你既然加入了社交媒体,那么收到一些邀请就是很正常的,更重要的是,也是你期盼的。另外,这类邮件可能不会像银行邮件那样引起你的警觉,这会降低你的防范意识。

和金融服务钓鱼一样,这类邮件有时候也会利用恐惧来驱使某类行为,如图1-11所示。

{%}

图 1-11 伪装成YouTube邮件的钓鱼邮件

恐惧是普遍的行为激发因素,但是失去社交媒体账号不只是紧要的事件,而且很不方便(对大多数人来说)。然而,社交媒体鼓励用户参与和相互联系,所以也给了攻击者其他的可乘之机。这些攻击也依赖于人们的责任感。社交媒体网站通过人们的相互联系而发展壮大,它们让参与社交变得有趣,让你成为某个小组的一员。钓鱼攻击者也使用相同的把戏。很多人点击链接是因为他们不想因为拒绝他人的好友请求而伤害他们的感情,或者他们不想因为不回应而显得粗鲁——即使是对他们不认识的人(见图1-12和图1-13)。

{%}

图 1-12 伪装成Facebook邮件的钓鱼邮件

{%}

图 1-13 伪装成LinkedIn邮件的钓鱼邮件

说明 小时候,我也有某种虚拟的关系,那就是我的女笔友。我清楚地记得,那时候虚拟关系的建立不像今天这样迅速直接。社交媒体对我来说依旧是一个有趣的东西。它为人们提供了一种简单快速的结交朋友的方式,不再局限于传统的社交圈和职场圈。不幸的是,这也导致了那些愿意结交朋友和扩大社交网络的人特别容易受到钓鱼攻击。从这一点来说,做个“与世隔绝”的人要安全得多。就在此刻,我的账户里大约有34个邀请(并非钓鱼)等待我处理。也许我应该尽快处理它们,否则人们可能会认为我不需要朋友。

3. 公共事件诈骗

最后一类你可能见过的钓鱼欺诈真是令人发指。骗子在一起公共事件发生后直接进行钓鱼攻击,例如自然灾害、飞机坠毁或者恐怖袭击——基本上任何受到大量媒体关注的事情,同时也是大多数人重点关注的事情。他们利用了我们自然产生的恐惧、好奇和同情。用挑剔的眼光来看,这些攻击大都处于中级水平。它们包含了明显的非法标志。尽管如此,有些人很容易成为这类钓鱼攻击的受害者,因为他们仅凭情绪反应来处理这些事件。怎样让人们不经大脑就做出决定?激起强烈的情绪。第2章会讨论这种叫作“杏仁核劫持”(amygdala hijacking)的有趣现象。

在塔吉特公司宣布其系统漏洞后的24小时内,骗子就开始利用人们对于个人身份信息和财务状况的担忧心理。在已知的至少12种欺诈方法中,有一种是给塔吉特公司的顾客发邮件解释这件事,然后表示可以提供免费的信用卡监控服务。11这种钓鱼攻击对任何人来说都很难识别,因为这封邮件就是塔吉特公司邮件的克隆版,如图1-14所示。你可能不得不检查发件人的邮件地址或者邮件中的链接来辨别真假。另外一点使得这封邮件非常具有欺骗性:真正的塔吉特公司邮件的发送者是TargetNew@target.bfi0.com,这个地址无论是谁都会觉得可疑。在迷惑和恐惧的影响下,塔吉特公司漏洞事件确实被坏人滥用了。

11Casey Hill, “Email ‘from Target’ to Customers Is a Phishing Scam,” December 20, 2013, http://www.market-watch.com/story/scammers-pounce-on-target-fiasco-2013-12-20.

{%}

图 1-14 是真的邮件还是钓鱼邮件

显然有塔吉特账户的人最容易受到这类欺诈。塔吉特公司是一家规模庞大的零售商,它的漏洞足以让每个人紧张不已。难道有人从未在塔吉特买过东西吗?

我和克里斯在这里谈这些并不是为了评判这件事,而是想要通过这件事来给大家提个醒。这种公共事件欺诈的灾后变体无疑是非常可怕的。这些钓鱼邮件并没有进行恐吓(这样已经很坏了),而是利用了你和其他人的关系。在波士顿马拉松爆炸案发生后的几小时内,骗子就开始行动了。12很多钓鱼邮件只是简单地提供了一个似乎是指向爆炸视频的链接。它们利用人们天生的好奇心,而这些链接实际指向了一些会下载恶意软件的网站。此类钓鱼攻击的变种之一如图1-15所示,是一封伪造的来自CNN的邮件,它利用了人们对权威的盲从和天生的好奇心。

12Jovi Umawing, “Fake CNN Spam Use Boston Marathon Bombing as Lure,” April 18, 2013, http://www.threattracksecurity.com/it-blog/fake-cnn-spam-use-boston-marathon-bombing-as-lure/.

图 1-15 波士顿马拉松钓鱼邮件的变种

最糟糕的是那些利用了人们想要帮助他人的愿望的钓鱼攻击。在悲剧事件发生后的几小时内,骗子会发送一些请求帮助的邮件。图1-16展示了一封在2011年日本发生海啸和地震后流传的邮件。报道指出,这类诈骗在第一次地震发生3小时后就开始出现了。

{%}

图 1-16 日本海啸期间流传的钓鱼邮件

很容易判断图1-16中的邮件是一封钓鱼邮件,因为红十字会是直接通过它的网站接受募捐的,而不是通过像MoneyBookers这样的服务给一个雅虎邮箱汇款。但是在这次令人悲伤的公共事件后,又有很多人迫切地想要帮助其他人,于是不幸被骗。这类通过灾难进行的欺诈会通过打电话甚至是上门恳求的方式来使得他们的表现更逼真一些。

4. 网络钓鱼小结

总结一下本节的内容,现实中的网络钓鱼有很多不同的形式,但是有一些共同的主题:

  • 尼日利亚419骗局(提前预支费用或者窃取身份信息的变种)

  • 金融/支付服务

  • 社交媒体

  • 利用公共事件

这个列表实际上还可以扩展,可以包括任何能进行在线沟通的实体[想想eBay、Netflix、软件升级和USPS(美国邮政)]。大多数钓鱼欺诈都可以归类为初级至中级难度,并且它们都有很多共性。举例来说,它们都用到了下面这些要素来迫使人们采取行动:

  • 贪婪

  • 恐惧

  • 敬畏权威

  • 渴望交流

  • 好奇

  • 同情

大多数网络钓鱼都有一些特征可供判断。然而,随着钓鱼攻击的手段变得高明,很多特征正在变得不明显:

  • 含糊的称呼/签名

  • 未知的/令人怀疑的发送者

  • 未知的/令人怀疑的网址链接

  • 错别字,以及语法、拼写和标点符号错误

  • 不合情理的借口(特别是419骗局)

  • 急迫的语气

1.3.3 更强大的钓鱼手段

你是不是觉得自己像是在用消防水带喝水?信息量大得要将你淹没。人们用来窃取信息的手段之巧妙和过程之离奇真是让人难以招架。更糟的是,前面的例子只是涉及了最基本的钓鱼攻击方式,还有更复杂(和令人沮丧)的方式。

我和克里斯把这些攻击方式按难度分类,是为了帮助客户理解他们所看到的东西,也是为了追踪客户的进步——能够识别越来越复杂的钓鱼攻击。第6章将会详细描述那些复杂的钓鱼攻击。

1. 中级钓鱼攻击

你看到的例子大都是初中级难度,但是也有一些例子介于中级和高级之间。例如,塔吉特公司例子中的邮件是真的,只是链接指向了恶意网站。让我们对这些棘手的情况进行一些更深入的分析。

第一个例子是另外一起银行钓鱼欺诈事件,如图1-17所示。

{%}

图 1-17 中级银行钓鱼攻击

让我们先谈谈骗子高明的部分。哪些因素可能会导致人们点击邮件中的链接呢?

  • 银行商标。你可能早就注意到了这一点,但是很多比较高明的钓鱼攻击都会插入真正的商标和图片,这使得它们看起来更正规。因为我们已经习惯了各个公司给我们发邮件时显示的公司商标,所以加入商标是掩饰恶意信息并让我们放松警惕的一种方法。

  • 利用恐惧/紧张心理。邮件声称如果你不采取行动,你的账户就可能会被冻结。

  • 使用急迫语气。尽管这种信息不会规定你采取行动的时间,但是你也会被驱使迅速采取行动。

基于到目前已经谈到的那些问题,我希望你能够轻松地识别图1-17中提到的钓鱼攻击。抓住要点了吗?

  • 没有个人化的问候。

  • 发送者无从识别。

  • 奇怪的语法,包括看上去不自然的主题。

  • 链接重定向。如果你对链接进行调查,很可能会发现它并不是指向真正的银行站点(举例来说,不是访问www.citizensedmond.com,而是访问www.unknownandlikelyillegitimateperson.com)。

警告 这里“调查”的意思是指把鼠标悬停在链接上,这样你就可以看到真实的网络链接了。除非你是安全专家或者你的电脑防护性能很好,否则不要点击链接或者复制网址到浏览器地址栏中来访问它。

表面上看,图1-18中所展示的例子很像前面的银行邮件,但是有几个因素使得人们更难识别出它是一封欺诈性邮件。仔细看看这封邮件,然后思考一下。

{%}

图 1-18 中级钓鱼攻击:伪装成BBB公司邮件的钓鱼邮件

仔细观察这封邮件后,你可能会捕捉到一些更为复杂的细节,这些细节使得图1-18中的钓鱼比普通的钓鱼攻击更高明。

  • 更个人化的问候。这封邮件很显然是发给具体的某个人的,邮件中谈到了那个人的公司。尽管没有使用图片或者商标,但是BBB(Better Business Bureau)公司本身是一家知名机构。

  • 更好地利用了恐惧/紧张心理。这是一封投诉邮件,来自BBB公司,特别提到了合同的事以及公司并没有回复投诉者的事。这些足够让一个公司所有者大吃一惊。

  • 利用权威。邮件中谈到了参考编号、案件编号、OMB(美国预算管理局)号码,看起来非常正式。

  • 邮件地址。发件者的邮箱看起来可信,因为看起来是来自@bbb.org域名的。

幸运的是,这封邮件仍然有一些漏洞,你注意到了吗?

  • 邮件主题中的案件编号和邮件正文中的案件编号并不相同。

  • 没有发件者的身份信息。虽然邮件来自BBB公司,但是你可能会想到这种事应该有专人负责联系你。

  • 同样,如果调查邮件中链接到投诉信息的链接,会发现它并不指向BBB公司所拥有的域名。

  • 仍然有轻微的语法错误。

  • 我查了一下,BBB公司并没有消费者权益部门。

2. 高级钓鱼攻击

是时候看一些更难识别的例子了。图1-19所示的是高级钓鱼攻击的例子。不像图1-13中LinkedIn的邮件,这封邮件更狡猾、更难识别。我怀疑这是一封邀请你与其他人关联的克隆邮件,就像图1-14中塔吉特公司的那封邮件一样。

图 1-19 高级钓鱼攻击:伪装成LinkedIn公司邮件的钓鱼邮件

这封邮件为什么有效?

  • 它发自一个“真实”的人。因为他有LinkedIn账户,所以他肯定是真的,不是吗?

  • LinkedIn是社交媒体,所以你会期待有陌生人来邀请你。

  • 邮件中有LinkedIn的商标,而且它和你之前收到的邀请邮件一样。

的确,图1-19中的钓鱼攻击做得很好。如果这是一封克隆邮件,那么它就不会在语言、格式或者商标上存在问题,所以你需要做更多的调查。

  • 检查链接,看它们指向哪里。(再次提醒,检查并不是点击!)

  • 确认发件人的邮箱地址是否与想要关联你的LinkedIn账户邮件地址一样。(要有批判性思维。)

  • 如果你仍然不放心,那就忽略这封邮件,登录你的LinkedIn账户看看是否有邀请请求。

图1-20展示的是我的一位朋友收到的一封邮件。他收到AT&T(美国电话电报公司)的邮件是很寻常的一件事,因为他是AT&T的手机用户。幸运的是,他是极其注意安全的一类人,想在回复这封邮件之前仔细检查一下。我十分确信这是一次高级钓鱼攻击。

{%}

图 1-20 高级钓鱼攻击:伪装成AT&T邮件的钓鱼邮件

我不知道图1-20中的那封邮件是否是AT&T公司邮件的克隆;如果不是,那么这封邮件的确很逼真。它会让大部分普通用户信以为真,原因如下。

  • 使用AT&T的商标、颜色和图片。

  • 没有明显的语法、拼写和标点符号问题。

  • 以语音邮箱无法访问为借口,会让大部分人立即采取行动。

那么是什么让我的朋友避开了这次钓鱼攻击呢?

  • 他花了一点时间才意识到他收到这封邮件的邮箱并不是与AT&T绑定的邮箱,这一点真是帮了他一把。

  • 这封邮件没有个人问候。

  • 邮件地址包含了一个恶意网址。我的朋友检查了所有的链接,发现了一件有趣的事情。整个邮件中除了一个网址是恶意的以外,其余的都是正常的网址。如果不是他非常彻底地检查了邮件,那么这看起来就像是一封真的邮件。

显然AT&T这封钓鱼邮件很难识别,因为它确实通过了基础的嗅探测试。幸运的是,我的朋友从来不通过邮件中的链接访问任何账户。希望你读完本书之后,至少能反思一下自己收发邮件的习惯。

1.3.4 鱼叉式网络钓鱼

在本章的最后,让我们谈谈鱼叉式网络钓鱼攻击。这是一种针对特定目标进行个人定制的钓鱼攻击。攻击者会花时间了解你,至少知道你的姓名和邮箱地址。他对你的了解会依据你的重要程度而定。通过搜索引擎,他可以在社交媒体上找到你的账户、网站,或者任何你在网上参与过的内容。如果你真的很重要,那么他可能会知道你的兴趣爱好和拥有的资产,甚至可能了解你的家庭情况。如果发现了你的一些丑闻或者尴尬的事,那么他甚至不用掩饰对你拥有的东西的企图。在这种情况下,他可能会用这些信息来敲诈你或者让你帮他获得更多信息。我跑题了,下面继续讨论网络钓鱼。

令人毛骨悚然的是,这种程度的调查可以制造出让人难以抵御的钓鱼攻击。一个非常想要从你手中拿走某些东西的攻击者会不择手段。他会知道你是否曾经得到严重的疾病而且现在是慈善机构的支持者。他会知道你是否喜欢在网上赌博,或者你是否有超出偿还能力的抵押贷款。这些都是鱼叉式网络钓鱼的核心,它是个人定制的。

图1-21是一起最近发生的鱼叉式网络钓鱼,它针对的是高层管理人员。13你能想象你的邮箱收到一封这样的邮件吗?

13John Markoff, “Larger Prey Are Targets of Phishing,” April 16, 2008, http://www.nytimes.com/2008/04/16/technology/16whale.html?_r=0.

{%}

图 1-21 鱼叉式网络钓鱼

让我们来分析图1-21中的这封邮件,看看是什么让这封邮件充满说服力?

  • 邮件中使用了美国地方法院的徽标。

  • 邮件利用了恐惧和对权威的敬畏。有人曾经因为被传唤或者被命令出席审判而高兴吗?

  • 个人化程度高,有全名、邮件地址、公司和电话号码。

  • 邮件中包含了时间限制,有出席的时间以及不出席的后果。

  • 没有任何明显的拼写或者语法错误。

  • 发送者看起来似乎可信:subpoena@uscourts.com。

说实话,我认为对任何人来说这封邮件都很难判断真假。下面是我能找到的两个漏洞。

  • 链接到传票的网站是恶意网站。这个例子中,它链接到了一个下载密码记录软件的网站。

  • 发件人的邮件地址是@uscourts.com,看起来可信,但是实际上所有的法院邮箱地址都在顶级域名.gov下。

就是这样,你有两个机会判断出这封给你带来压力和紧张的邮件是假的。再次强调,除非你有一个根深蒂固的好习惯,否则你就会中招。

1.4 总结

现在你已经初步了解了网络钓鱼的世界。在本章中,你应该知道下面这些要点:

  • 网络钓鱼的定义

  • 常见的目标/攻击者

  • 网络钓鱼的理由

  • 骗子所使用的技术

  • 利用网络钓鱼攻击的公共事件诈骗示例

  • 日常生活中常见的网络钓鱼

  • 难度概览

我希望你对网络钓鱼有了更深入的了解:它的定义、范围,以及为什么对所有人来说它都是一个越来越严重的问题。

让我用一些冷冰冰的数字来总结一下本章。从2012年5月到2013年4月的短短几个月内,有超过3700万用户声称遭受了钓鱼攻击。这还只是来自一个消息来源,是我们碰巧知道的部分。据估计,每天大约有3000亿封电子邮件被发送,其中90%是垃圾邮件和病毒邮件。14这些数字肯定让你大吃一惊。它们确实也说明了一件事:如果你有电子邮箱,那么你总有一天会收到钓鱼邮件。

14Social-Engineer Infographic, April 28, 2014, http://www.socialengineer.org/resources/social-engineering-infographic/.

放轻松点儿,因为我们从这里开始要深入黑暗水域了。网络钓鱼并不只是关于你点击了什么,而是关于你为什么会点击它。让我们深入人类操作系统,看看是什么让它叮咚作响。听起来很有趣吧?让我们出发吧。

目录

  • 版权声明
  • 献词
  • 致谢
  • 引言
  • 第 1 章 真实世界的钓鱼攻击
  • 第 2 章 决策背后的心理学原则
  • 第 3 章 影响与操控
  • 第 4 章 保护课程
  • 第 5 章 规划钓鱼攻击旅程:开展企业钓鱼攻击项目
  • 第 6 章 积极的、消极的和丑陋的:公司政策及其他
  • 第 7 章 专业钓鱼攻击者的工具包
  • 第 8 章 像老板一样进行钓鱼攻击