网络渗透技术其实就是安全研究员促进计算系统(包括硬件系统、软件系统)安全的技术,也是黑客用来入侵系统的技术。
下面我从入侵者的职业角色划分渗透测试工程师、代码审计工程师、逆向工程师、社会工程学(也是属于渗透一部分)、脚本小子详细说明网络渗透技术。
脚本小子
技能现成工具使用,脚本小子通常只是掌握了网上现有的入侵工具(脚本),不需知道原理对系统进行入侵。
渗透工程师
通过模仿恶意黑客的攻击手法,来评估计算机网络系统。
技能渗透工程师又分为Web渗透、APP渗透。具体需要技能:编程技能(熟悉各种编程方式,擅长两到三门自己擅长的开发语言或脚本语言)、精通常见的漏洞原理具备漏洞复现能力、精通Linux/Windows系统(系统的使用、配置等)、精通常见的渗透工具或自己具备开发工具的能力(burpsuite等工具)、应急响应能力(入侵事件发生之后的清除、恢复、追踪能力等)、精通各种漏洞的防御策略、精通各种安全产品、熟悉《网络安全法》、熟悉网络架构、精通网络协议等。
渗透流程社会工程学
利用人性的漏洞进行入侵攻击,如网络钓鱼、网络诈骗等。这类天马行空。
技能:信息收集能力--通过一切手段收集目标信息,为分析目标做准备。
心理学--掌握心理学,通过分析收集的信息能大致掌握目标。
“欺诈”能力--构建目标容易上当的场景。
一定的开发、工具使用的能力--一些场景需要网络界面的支持。
胆大心细、脸皮厚、沟通能力强--有些是需要和目标直接进行交流的,可参考**《我是谁:没有绝对安全的系统》。
代码审计
属于白盒测试即在代码中分析问题。
技能精通一到两种代码(Java/Php/net等)--代码审计说白了就是看代码,从源代码中发现漏洞。
工具使用能力--常见代码审计工具使用,提高效率。
精通常见漏洞原理及某种代码中常见问题原理--不知道漏洞原理,看代码也白看,只能脑袋大。
逆向分析师
通过逆向分析,还原应用系统或某物体的(如汽车)对应用的编写过程进行还原、对物体的生产过程进行还原。突破原有限制达到绕过或篡改内部数据达到所需目标。这种对技术要求比较高,要掌握底层原理。
分类安卓逆向、ios逆向、windows逆向、linux逆向、mac逆向
技能必须掌握汇编语言、C语言、及各种底层系统精通语言指令
逆向工具使用如IDAPro,OllyDBG等
加固技术--常见的加壳方式、代码混淆方式
脱壳技术--能掌握脱壳原理,对加壳应用进行脱壳
在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本书将带你走进web安全的世界,让你了解web安全的方方面面。黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你能在本书中找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。
《白帽子讲web安全》是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可 *** 作性,深入分析了各种错误的解决方案与误区,对安全工作者有很好的参考价值。安全开发流程与运营的介绍,对同行业的工作具有指导意义。
编辑推荐
“安全是互联网公司的生命,也是每一位网民的最基本需求。
一位天天听到炮声的白帽子和你分享如何呵护生命,满足最基本需求。这是一本能闻到硝烟味道的书。”
——阿里巴巴集团首席架构师 阿里云总裁 王坚
白帽子讲web安全 作译者:
吴翰清,毕业于西安交通大学少年班,从2000年开始研究网络攻防技术。在大学期间创立
了在中国安全圈内极具影响力的组织“幻影”。
2005年加入,负责网络安全。工作期间,对的安全开发流程、应用安全建设做出了杰出的贡献,并多次获得公司的表彰。曾先后帮助淘宝、支付宝建立了应用安全体系,保障公司业务得以快速而安全地发展。
2009年起,加入支计算有限公司,负责云计算安全、反网络欺诈等工作,是集团最具价值的安全专家。长期专注于安全技术的创新与实践,多有建树。同时还是owasp在中国的区域负责人之一,在互联网安全领域有着极其丰富的经验。平时乐于分享,个人博客的访问量迄今超过200万。多年来活跃在安全社区中,有着巨大的影响力。多次受邀在国内、国际安全会议上演讲,是中国安全行业的****之一。
白帽子讲web安全 目录:
第一篇 世界观安全
第1章 我的安全世界观 2
11 web安全简史 2
111 中国黑客简史 2
112 黑客技术的发展历程 3
113 web安全的兴起 5
12 黑帽子,白帽子 6
13 返璞归真,揭秘安全的本质 7
14 破除迷信,没有银d 9
15 安全三要素 10
16 如何实施安全评估 11
161 资产等级划分 12
162 威胁分析 13
163 风险分析 14
164 设计安全方案 15
17 白帽子兵法 16
171 secure by default原则 16
172 纵深防御原则 18
173 数据与代码分离原则 19
174 不可预测性原则 21
18 小结 22
(附)谁来为漏洞买单? 23
第二篇 客户端脚本安全
第2章 浏览器安全 26
21 同源策略 26
22 浏览器沙箱 30
23 恶意网址拦截 33
24 高速发展的浏览器安全 36
25 小结 39
第3章 跨站脚本攻击(xss) 40
31 xss简介 40
32 xss攻击进阶 43
321 初探xss payload 43
322 强大的xss payload 46
323 xss 攻击平台 62
324 终极武器:xss worm 64
325 调试javascript 73
326 xss构造技巧 76
327 变废为宝:mission impossible 82
328 容易被忽视的角落:flash xss 85
329 真的高枕无忧吗:javascript开发框架 87
33 xss的防御 89
331 四两拨千斤:httponly 89
332 输入检查 93
333 输出检查 95
334 正确地防御xss 99
335 处理富文本 102
336 防御dom based xss 103
337 换个角度看xss的风险 107
34 小结 107
第4章 跨站点请求伪造(csrf) 109
41 csrf简介 109
42 csrf进阶 111
421 浏览器的cookie策略 111
422 p3p头的副作用 113
423 get post 116
424 flash csrf 118
425 csrf worm 119
43 csrf的防御 120
431 验证码 120
432 referer check 120
433 anti csrf token 121
44 小结 124
第5章 点击劫持(clickjacking) 125
51 什么是点击劫持 125
52 flash点击劫持 127
53 覆盖攻击 129
54 拖拽劫持与数据窃取 131
55 clickjacking 30:触屏劫持 134
56 防御clickjacking 136
561 frame busting 136
562 x-frame-options 137
57 小结 138
第6章 html 5 安全 139
61 html 5新标签 139
611 新标签的xss 139
612 iframe的sandbox 140
613 link types: noreferrer 141
614 canvas的妙用 141
62 其他安全问题 144
621 cross-origin resource sharing 144
622 postmessage——跨窗口传递消息 146
623 web storage 147
63 小结 150
第三篇 服务器端应用安全
第7章 注入攻击 152
71 sql注入 152
711 盲注(blind injection) 153
712 timing attack 155
72 数据库攻击技巧 157
721 常见的攻击技巧 157
722 命令执行 158
723 攻击存储过程 164
724 编码问题 165
725 sql column truncation 167
73 正确地防御sql注入 170
731 使用预编译语句 171
732 使用存储过程 172
733 检查数据类型 172
734 使用安全函数 172
74 其他注入攻击 173
741 xml注入 173
742 代码注入 174
743 crlf注入 176
75 小结 179
第8章 文件上传漏洞 180
81 文件上传漏洞概述 180
811 从fckeditor文件上传漏洞谈起 181
812 绕过文件上传检查功能 182
82 功能还是漏洞 183
821 apache文件解析问题 184
822 iis文件解析问题 185
823 php cgi路径解析问题 187
824 利用上传文件钓鱼 189
83 设计安全的文件上传功能 190
84 小结 191
第9章 认证与会话管理 192
91 who am i 192
92 密码的那些事儿 193
93 多因素认证 195
94 session与认证 196
95 session fixation攻击 198
96 session保持攻击 199
97 单点登录(sso) 201
98 小结 203
第10章 访问控制 205
101 what can i do 205
102 垂直权限管理 208
103 水平权限管理 211
104 oauth简介 213
105 小结 219
第11章 加密算法与随机数 220
111 概述 220
112 stream cipher attack 222
1121 reused key attack 222
1122 bit-flipping attack 228
1123 弱随机iv问题 230
113 wep破解 232
114 ecb模式的缺陷 236
115 padding oracle attack 239
116 密钥管理 251
117 伪随机数问题 253
1171 弱伪随机数的麻烦 253
1172 时间真的随机吗 256
1173 破解伪随机数算法的种子 257
1174 使用安全的随机数 265
118 小结 265
(附)understanding md5 length extension attack 267
第12章 web框架安全 280
121 mvc框架安全 280
122 模板引擎与xss防御 282
123 web框架与csrf防御 285
124 http headers管理 287
125 数据持久层与sql注入 288
126 还能想到什么 289
127 web框架自身安全 289
1271 struts 2命令执行漏洞 290
1272 struts 2的问题补丁 291
1273 spring mvc命令执行漏洞 292
1274 django命令执行漏洞 293
128 小结 294
第13章 应用层拒绝服务攻击 295
131 ddos简介 295
132 应用层ddos 297
1321 cc攻击 297
1322 限制请求频率 298
1323 道高一尺,魔高一丈 300
133 验证码的那些事儿 301
134 防御应用层ddos 304
135 资源耗尽攻击 306
1351 slowloris攻击 306
1352 http post dos 309
1353 server limit dos 310
136 一个正则引发的血案:redos 311
137 小结 315
第14章 php安全 317
141 文件包含漏洞 317
1411 本地文件包含 319
1412 远程文件包含 323
1413 本地文件包含的利用技巧 323
142 变量覆盖漏洞 331
1421 全局变量覆盖 331
1422 extract()变量覆盖 334
1423 遍历初始化变量 334
1424 import_request_variables变量覆盖 335
1425 parse_str()变量覆盖 335
143 代码执行漏洞 336
1431 “危险函数”执行代码 336
1432 “文件写入”执行代码 343
1433 其他执行代码方式 344
144 定制安全的php环境 348
145 小结 352
第15章 web server配置安全 353
151 apache安全 353
152 nginx安全 354
153 jboss远程命令执行 356
154 tomcat远程命令执行 360
155 http parameter pollution 363
156 小结 364
第四篇 互联网公司安全运营
第16章 互联网业务安全 366
161 产品需要什么样的安全 366
1611 互联网产品对安全的需求 367
1612 什么是好的安全方案 368
162 业务逻辑安全 370
1621 永远改不掉的密码 370
1622 谁是大赢家 371
1623 瞒天过海 372
1624 关于密码取回流程 373
163 账户是如何被盗的 374
1631 账户被盗的途径 374
1632 分析账户被盗的原因 376
164 互联网的垃圾 377
1641 垃圾的危害 377
1642 垃圾处理 379
165 关于网络钓鱼 380
1651 钓鱼网站简介 381
1652 邮件钓鱼 383
1653 钓鱼网站的防控 385
1654 网购流程钓鱼 388
166 用户隐私保护 393
1661 互联网的用户隐私挑战 393
1662 如何保护用户隐私 394
1663 do-not-track 396
167 小结 397
(附)麻烦的终结者 398
第17章 安全开发流程(sdl) 402
171 sdl简介 402
172 敏捷sdl 406
173 sdl实战经验 407
174 需求分析与设计阶段 409
175 开发阶段 415
1751 提供安全的函数 415
1752 代码安全审计工具 417
176 测试阶段 418
177 小结 420
第18章 安全运营 422
181 把安全运营起来 422
182 漏洞修补流程 423
183 安全监控 424
184 入侵检测 425
185 紧急响应流程 428
186 小结 430
(附)谈谈互联网企业安全的发展方向 431
案例:
事主王**在网上与好友聊天,突然发现男朋友张某的QQ发来一条信息,“我这边有急事,需要6000快钱,yhk号是XXXXXX”,王**的男朋友张某正好在外地,心慌意乱的她立刻汇了6000元到指定账户,汇款后回家上网,张某的QQ又发信息让她汇款,一次比一次多,王**先后共将4万元汇入指定账户,直到后来打电话给张某询问情况才得知,他根本没有上网,更没有让她汇钱,才发现被骗了。
一、网络诈骗的表现形式
当前,网络诈骗犯罪呈多发态势,各种诈骗手段层出不穷,给广大人民群众造成了大量的损失。为此,警方提供了一些常见的网络诈骗手段及防范方法,供大家参考,以提高网民反骗防骗意识。网络诈骗是现实生活中各种诈骗活动在网上的“复制”和“翻版”,手段表现主要有两大方面:
(一)发布虚假信息诱人上当
1、在购物网站上,利用信息的不可控制性,发布各类虚假信息,实施诈骗。这类诈骗活动又表现为两个方面:一是“商户”骗“客户”,如犯罪嫌疑人在淘宝网、拍拍网等购物网站上开设商铺,发布超低价商品信息,在游戏网站上发布意外中奖信息,然后通过“场外”交易(指在支付平台外交易)实施诈骗。如2008年9月,杭州的虞某某在购物网上看中一家商户中的一款低价三星手机,商户提出需将定金打入指定的银行账户,然后又提出需支付安全保证金后当面交易等借口,诱导虞某往指定帐户付款。虞某一一照办,共打入3870元后,财、物两空。二是“客户”骗“商户”,犯罪嫌疑人在购物网站向商户购买商品,然后通过聊天工具,给商户发送伪造的支付凭证。诱使商户银讫发货。这类案件多发生在商家销售手机充值卡中,如2008年4月,尚某某在淘宝网上销售手机充值卡,收到客户发来的4000元支付宝已付款截屏,误以为货款已支付,便在客户提供的8个手机号上充值4000元。
2、在互联网上开设虚假网站,发布虚假供货信息、股票**预测信息和高额回报的集资信息,得手后往往“网间蒸发”、“人去网空”。这类诈骗作案的犯罪嫌疑人利用了在互联网上开设、关闭网站手续简便、快捷和隐蔽的特点,有恃无恐。如2008年9月,杭州某服装企业老总江某因受金融危机影响,企业需要贷款资金,登陆到“中国金浩投资公司网站”,该网站声称可以提供低息免担保贷款。于是江某提出贷款500万元并按对方要求在指定账户支付5000元利息、10000元保证金和企业基本信息后,当天下午该网站就被关闭,无法登陆。2007年7月13日,互联网上出现了一个“中国**预测网”,并称该网站隶属国家**管理中心,专门给会员提供中奖率高达80%的**预测信息和“内幕”信息。杭州市民杨某某交纳了1000元入会费、2000元保证金、3800元资料费成为会员后,第三天网站无法登陆,所有联系中断。2006年12月,互联网上出现“美国科技基金网”,专门从事高收益投资项目,投资者投入8800元人民币或者等值美元,即可在网上获取编码,第二天开始返利,日返利人民币440元或美元55元,返利期限为50天。如发展“下线”还可获得投资额的10%作为奖励。三个月后网站失踪,受害人遍及杭州、宁波、绍兴、嘉兴、金华等地1400余人,被骗金额880多万元。
3、利用电子商务交易规则和程序上的漏洞,骗取货款。这类案件较上述犯罪手段智能化程度更高。如2007年8月4日,毛某某在淘宝网上看中一款笔记本,售价5000元。毛某将5000元打入相关付款平台后,商家提出这款笔记本可享受1000元优惠,要求客户点击确认退回了1000元优惠款,按照网站交易流程接受退款即视为交易成功。结果“确认”之后连同4000元一并“确认”打入对方帐户。这样商户就既未发货又获得了4000元的货款,然后逃之夭夭。这一程序和规则上的漏洞案发后,支付平台网站已及时修补杜绝了程序上的缺陷。这类案件的发生反映出犯罪走向深层次智能化水平发展。
4、网上冒充亲戚朋友,通过邮件和聊天工具进行诈骗。在现实生活中玲牙利齿、巧舌如簧的街头骗子、江湖骗子在网上也表现的淋漓尽致。他们通过QQ、MSN和电子邮件等方式与被害人沟通、交往,骗取信任。冒充同学、亲戚,称其遇到诸如钱包被窃、手机停机、交通意外等突发事件要求借钱应急。或者在网聊中称兄道弟,然后兜售低价游戏装备、劣质服装、化妆品、笔记本、手机等等得手后下线逃匿。这类诈骗案年平均发生1000余起。
5、拍卖诈骗:拍卖诈骗在各类网上诈骗中名列榜首,这跟网上交易的模式有关。在网上拍卖,买主和卖主不用直接见面,拍卖的东西也是“虚拟”的,人们主要通过在网上竞价的方式来达成交易。这就给那些心怀叵测的人以可趁之机。他们故意以虚拟的身份注册,并在网上极低的价格拍卖一些贵重物品,受骗者往往中标后付了款却收不到商品。
6、劳务诈骗:余**毕业于某外语学院,工作之余一直想做兼职。一次网上看到一则招聘广告招翻译,她发信应聘,对方先发来一篇文章让她翻译,随后就“正式录用”了。双方通过网络传递文件,约定每月底按工作量付酬。于是余**为对方翻译了不少文件及技术资料,但到了该结算酬劳时,对方却迟迟不将钱汇入她提供的账号。余**发信去询问也再没答复,这才知道是白干了。另有
7、情感诈骗:中国人有扶危救难的传统,一方有难,总会有八方来支援。可惜这良好的传统也正在被某些网上骗子利用。他们往往会写一封感人至深的求助信,通过群发系统在网上到处散发。在信上可能会有一个子虚乌有的患白血病的小女孩在病床上等待你的援手,或者是一个优秀的程序员因种种原因需要您无私的援助。有时他们甚至还会在网上建立一个主页专门来报道这件事,把故事编得好像真的一样。善良的人们往往不加防备,纷纷慷慨解囊,不料却中了骗子的圈套。
8、传销诈骗:网上传销,将传销的把戏搬到了网上,经过重新包装后,以所谓网络营销的模式来骗钱。首先给你发一封电子邮件,介绍他们公司新推出的一个产品质量如何如何,可以包退包换,完全没有风险。当你购买了多少套后,就自动成为他们的销售人员,你可以通过发展自己的下线实现巨额利润。
9、大奖赛诈骗。如果有人发E-mail给你,告诉你中大奖了,你千万不要高兴的太早,这可不是别人电脑出了故障,好运突然降临到你头上,这又是一个精心设置的陷阱。他可能会让你汇几块钱去确认一下,或者让你支付邮资以方便他们出寄。在某个人主页上看到XX征文大赛的通告,征文题目不限、内容自拟,获奖者除了获得很高的奖金外,其作品还会被收入《XXX》,而报名的条件只需你交纳五元的报名费。有的大奖赛不收报名费,可是他却骗取你的稿子,拿到别的地方发表赚钱。
10、邮购诈骗。在某些网站上提供可以邮购某些特殊用品的服务,价格相当优惠。这些特殊用品一般是法律禁止的或不受保护的。为了骗取他人的信任,这些网站甚至会这么说,你可以先寄一半的购物款,等货收到了再付另一半。但当你真的把钱寄了过去,收到的东西往往跟广告上的有很大出入或者根本就收不到邮件。因为你想邮购的东西往往是法律禁止的,所以你即使被骗得再狠也不敢报案。于是这些骗子就是抓住人们这样的心里大肆行骗。
(二)网络钓鱼诈骗
1、诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份z号、xyk号等信息,继而盗窃用户资金。
2、犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站, 引诱用户输入账号、密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金。
3、建立虚假电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就会销声匿迹。
二、网络诈骗的防范措施
1、利用好网络上的各种搜索引擎
网络骗子,只要在网络上行过骗,就肯定会在网络上留下一些蛛丝马迹,网友可以通过搜索引擎查询交易信息里的各个关键词来辨认骗子;另外,网络上的手机与电话查询功能、IP地址查询功能、身份z号码查询功能等等,也可以帮助你防范骗子。
(1)利用搜索引擎,查询信息里的电话、联系人、公司名等关键字,看看网络上有没有其它网友公布的行骗记录。
(2)利用搜索引擎,查询信息里的电话、联系人、公司名等关键字,看看信息发布者有没有在网络上售卖多种不同商品。
(3)利用网络上的手机和IP地址查询功能,查询信息发布者的手机属地和IP属地,如果属地与信息标示地区不同,请停止交易。
(4)用搜索引擎搜索一下这家公司或网店,查看电话、地址、联系人、营业执照等证件之间内容是否相符。
(5)各大银行的网站要从搜索引擎中进行搜索,不要轻易相信各类邮件和网页中的链接。
2、与信息发布者电话沟通前,可详细了解产品信息,然后在沟通时询问产品的详细信息,如果对方不了解产品信息,需加倍小心。
3、永远不要相信“特殊渠道”“海关罚没”的谎言,拒绝“先付订金”的骗局。
4、如果接到中奖、抽奖等信息,应该拨打媒体上曾经公布过的公司对外电话进行咨询,不要轻易相信来自偏远地区的电话、手机等号码提供的信息。
5、不要把自己的网络帐号,xyk帐号和密码泄露给别人,使用公用电脑不应进行购物、支付等此类 *** 作。
6、为了安全起见,最好不要用开通长途电话的线路上网。交易有风险,咨询请细致,选择要慎重,多打几个电话确定一下。
7、只有QQ,EMAIL,手机、没有固定坐机电话和地址的不要交易。
8、尽量去大型知名的有信用制度和安全保障购物网站购买所需的物品。
9、发现不良信息及不法、涉嫌诈骗的网站应该及时的举报和报案,受骗后也应及时报案 。
总之,我们只要提高警惕,不贪小便宜,保持清醒的头脑,不轻易相信网络上发布的信息,一定要通过各种途径对信息进行验证,绝对不轻易透漏自己的yhk号及密码等重要信息。骗子的手段再高明,也只能让他枉费时间。
一、钓鱼短信盯上银行用户
据美国网络安全公司proofpoint《2020 State of the Phish Report》数据显示,受疫情全球大流行影响,2020年全球钓鱼短信攻击的增长率超过300%。而其中,针对金融机构的网络钓鱼攻击占比最大,占所有攻击的225%。而在国内,这一比例更是高达2688%:
近期「假冒银行短信钓鱼」案件频发,中国银保监会也紧急发文,就近期假冒多家银行名义发送服务信息的短信钓鱼诈骗行为进行风险提示:
种种迹象表明,黑产团伙已经盯上各家银行的用户,这将严重威胁到用户的财产安全,并对各大银行的品牌形象造成极为恶劣的影响。
早在2012年,全球每天有将近19亿条文字讯息通过WhatsApp等实时通讯软件传送,而传统短信则仅有176亿条。从那时起,每年都会有人喊出「短信已死」,结果人家非但没死,每天还变着花样,轮番轰炸你的手机:
营销泛滥的当下,流量转化成本越来越高,以槽点最多的开屏广告为例:
这种误点率极高的设计,就是为了让点击率能突破行业12%的上限。而短信则不同:
Mobile Squared的数据称,在所有营销渠道中,近九成的短信会在被收到后的三分钟之内被打开阅读,这一点是其他任何直接营销渠道所无法比拟的。
在独有的紧迫感下,短信催生了新的商机。除常规的短信验证码、服务类短信通知外,越来越多的银行使用文本消息进行新客营销,老客促活。越来越多的银行用户开始习惯,以短信文本消息与银行进行交互。而在不经意间,银行也帮助黑产团伙培养了用户习惯:
完美的钓鱼攻击环境,黑产团伙只需要模仿各大银行定期通过短信与用户互动,便可实施钓鱼短信诈骗。
根据FBI旗下互联网犯罪投诉中心(IC 3)的一份调查报告显示,在过去的三年里,全美因钓鱼攻击所造成的损失,超过260亿美元。而在我国,2020年以来,仅凭拦截下来的钓鱼诈骗信息,就为群众直接避免了将近1200亿元的经济损失。
在美国,摩根大通银行作为金融领域代表,与Netflix、苹果公司入选最受「钓鱼短信」模仿的热门品牌。而「假冒银行钓鱼短信」威胁,早已蔓延全球:
在国内,包括:民生银行、华夏银行、招商银行、众邦银行、贵州银行、嘉兴银行、湖州银行、昆仑银行、郑州银行等在内的多家银行纷纷通过官方渠道向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警:
三、钓鱼攻击背后的黑灰产
钓鱼式攻击(Phishing)作为最早的网络攻击类型之一,其 历史 可以追溯到上个世纪90年代。随着移动互联网的发展,传统钓鱼攻击下又演变出移动钓鱼攻击,其中短信钓鱼攻击(Smishing)就是传统钓鱼式攻击(Phishing)的变种:
作为移动威胁的一部分,「钓鱼短信」攻击已成为当下互联网的重要威胁。而随着各类信息及数据泄露事件的不断发生,包括:姓名、手机号、yhk号与身份z信息等一套完整的公民隐私信息,对黑产而言,已触手可得。
随着 社会 对钓鱼攻击的关注,传统的攻击手段逐渐为用户所熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击:
成本低,风险小,广撒网,多敛鱼的模式已不具备优势,黑产转而向专业化、组织化以及分工细致化发展。一条由包网服务、短信通道、盗刷通道、 游戏 代充等多个黑灰产业链共同参与的钓鱼短信诈骗组织逐渐兴起。
1钓鱼网站:
作为诈骗的关键环节,这块基本也是除了数据外,黑产另一项硬支出。包括:仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后制作拦截程序。搭建一个完整的钓鱼网站下来,五年前的价格大概在上千元。
随着分工越来越细, 包网服务商 出现,他们为黑产提供包括:搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的全套服务。为提升竞争力,服务商还开通了各类后台管理系统,为黑产组织提供「一站式钓鱼攻击服务」:
2精准数据采购
为了提升钓鱼短信转化率,降低运营成本,黑产会向「数据贩子」购买数据。而数据商通过各种渠道,能够拿到各种行业的用户数据,其中以金融行业数据最为热销。通过黑市、暗网论坛以及社交媒体进行交易,优质的一手数据,按照1万条算,单价一般能到上千元。一旦黑产掌握了银行用户的真实信息,如姓名、手机号、身份z、yhk等重要隐私信息后,钓鱼短信的破坏性将得到质的提升。
3伪基站发送钓鱼短信:
为了提升反侦察能力以及机动性,伪基站设备也在不断更新,由固定式变为移动式,由大功率变为小功率,由大体积变为小体积,使得违法犯罪分子携带更加轻便并实现移动攻击模式,比如,以每小时500元左右为酬劳或以合作分成的方式,让人带着设备穿梭于闹市区以及大型社区,「打一q换一个地方」。
现在,国内各大运营商和短信平台的风控机制越来越严格,发送这些钓鱼网站被拦截的概率越来越大,于是有些黑产开始用国际短信通道来发送信息,规避审核。这些国际短信通道也有专门的公司提供,一般5000条起发,每条3-4毛钱。
4出料
当用户上钩后,黑场会将钓鱼网站后台所收到的数据进行筛选整理,利用各个银行的在线快捷支付功能查询余额。然后,直接消费、进行转账或第三方支付消费,而针对无法将余额消费的,将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖),余额巨大的有时还会找人合作进行「洗料」。
5洗料:
黑产通过多种方式将「料」进行变现,一般开通快捷支付充值水电、话费、 游戏 币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将「四大件」变成现金后,通过各种规避追查的手段与合伙人按比例进行分账,日均收入都在6位数以上。
与此同时,钓鱼短信仍保持着快速的技术迭代与策略更新:
利用移动通信、短视频平台、富媒体类等营销场景,钓鱼短信所承载的内容也将愈发丰富。这些消息,用于诱使用户下载欺诈性应用程序或打开指向密码窃取或欺诈性移动站点的链接;
更具欺骗性的文本使用以及短链,向银行用户隐藏实际的欺诈目的。黑产利用合法URL+字符形式+高防域名,让假冒域名在移动设备的小地址栏中仅显示该域的合法部分;
配合强调消息的紧迫性以及很难抗拒的诱惑,进一步提升钓鱼短信转化率;
频繁发生的钓鱼攻击案件,正在造成各大银行线上用户的流失。赛门铁克的一项研究表明,将近三分之一的银行用户表示,由于担心遭遇钓鱼攻击,而被迫放弃对网上银行的使用。
随着钓鱼短信攻击的手段日益复杂,事件持续高发,让银行以及用户蒙受巨大损失,严重影响用户财产安全,并逐渐失去对银行的信心。作为交互安全领域服务商,极验将从企业与用户的交互视角,审视钓鱼短信攻击:
早在5年前的 KCon 黑客大会上,网络安全专家Seeker在《伪基站高级利用技术——彻底攻破短信验证码》中曾明确表示,短信验证码这种安全认证机制可被轻易突破,理应尽快放弃并使用更安全的认证机制。
GSM 伪基站的搭建:硬件:普通 PC、USRP B2X0 + 天线(或Motorola C118/C139 + CP2102)。软件:Ubuntu Linux、OpenBSC。OpenBSC:由Osmocom发起并维护的一套高性能、接口开放的开源GSM/GPRS基站系统。
针对短信验证码存在的缺陷与安全隐患,具体表现为:
显然,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患。对于平台而言,除了短信验证之外,在涉及大额支付及修改用户交易密码等业务场景,增加新的验证手段刻不容缓。
替代方案:脱敏手机号+免短信登录
仔细研究黑产整个钓鱼短信攻击环节,短信是黑产突破银行防线的重要突破口。而在银行金融机构的关键业务关节,极验「无感本机认证」正在替代传统短信验证码:
作为身份校验的升级方案,极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码,全程加密,替代短信验证码。从而让不法分子无短信可嗅探,从根源解决短信嗅探的风险。同时,也大大简化用户 *** 作流程,用户体验更加顺畅,有效提高转化率,帮助银行金融机构优化认证流程,助力拉新、留存、促活。
而对于银行用户,提升隐私安全意识,就能抵御超过一半的安全风险:《2019年数据泄露成本报告》中有一组数据,49%的数据泄露是人为错误和系统故障造成的,而这都让他们成为网络钓鱼攻击的牺牲品。
幸运的是,短信网络钓鱼攻击相对容易防御。你会发现,只要什么都不做,通常可以确保自己的安全。所以当遭遇疑似钓鱼短信的时候,不妨冷静下来思考三个问题:
当然,如果遭遇短信嗅探,则要迅速做出响应,例如:
作为银行用户,提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。一旦遭遇以上情况,提高警惕,必要时可采取关机、启动飞行模式等应对措施应对。
可以预见,在之后数年,移动网络安全依然不容乐观。隐私泄露和移动攻击的泛滥和融合还会进一步加深,并导致网络攻击威胁泛滥进一步加深。对抗还将继续,不论是企业还是消费者,唯有不断强化安全意识,提升自身对抗风险能力,并做到及时排除风险隐患,才是不变的真理,从而让自己远离风险。
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指 *** 作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)