網絡釣魚是壹種攻擊方法,它發送大量聲稱來自銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收件人提供敏感信息(如用戶名、密碼、帳戶ID、ATM PIN碼或信用卡詳細信息)。最典型的釣魚攻擊是通過精心設計,將收件人引誘到與目標組織網站非常相似的釣魚網站,獲取收件人在該網站上輸入的個人敏感信息。通常,這種攻擊過程不會引起受害者的警覺。這些個人信息對黑客非常有吸引力,因為這使他們能夠冒充受害者進行欺詐性金融交易,從而獲得經濟利益。受害者經常遭受重大經濟損失,或者所有個人信息被竊取並用於犯罪目的。本文“了解妳的敵人”旨在根據德國蜜網項目組和英國蜜網項目組收集的攻擊數據,給出壹些釣魚攻擊的實際案例研究。本文重點介紹蜜網項目組在實際環境中發現的真實釣魚攻擊案例,但不會涵蓋所有可能的釣魚攻擊方法和技術。攻擊者也在不斷創新開發技術,應該還有新的釣魚技術(本文未提及)已經在開發甚至在使用。
在簡單介紹和背景之後,我們將回顧釣魚者實際使用的技術和工具,並給出三個在現實世界中使用蜜網技術捕獲釣魚攻擊的實驗研究案例。將詳細描述這些攻擊案例,包括系統入侵、釣魚網站設置、消息傳播和數據收集。然後,分析常用技術與網絡釣魚、垃圾郵件、僵屍網絡等技術融合的趨勢。我們還將回顧使用惡意軟件收集電子郵件地址並自動發送垃圾郵件的網絡釣魚案例,我們還將展示我們在網絡掃描技術方面的發現,以及被入侵的主機如何被用來傳播網絡釣魚電子郵件和其他垃圾郵件。最後,我們給出了本文的結論,包括我們在過去六個月中的經驗和我們建議進壹步研究的對象。
本文包含大量支持信息,並提供了壹些鏈接,其中包含特定網絡釣魚攻擊案例的更詳細數據。最後,在研究過程中,我們沒有收集任何機密的個人數據。在某些情況下,我們會直接聯系參與網絡釣魚攻擊的組織,或將與這些攻擊相關的數據傳輸給當地的應急響應組織。
介紹
欺騙他人提供密碼或其他敏感信息的方法在黑客世界中由來已久。傳統上,這種行為壹般以社會工程的形式進行。在20世紀90年代,隨著連接到互聯網的主機系統和用戶的快速增長,攻擊者開始將這壹過程自動化,從而攻擊了大量的互聯網用戶。對這類攻擊最早的系統研究是Gordon和Chess在1998發表的。(Sarah Gordon,David M. Chess:《無風不起浪:互聯網上關於特洛伊馬的真相》,發表於10月1998日在德國慕尼黑舉行的病毒公告會議上)Gordon和Chess研究了針對AOL的惡意軟件,但事實上他們面臨的是網絡釣魚企圖,而不是他們預期的特洛伊攻擊。“密碼釣魚”壹詞描述了獲取密碼、信用卡詳細信息等敏感個人信息的攻擊模式。通過欺騙,通常假裝是真正需要這些信息的可信方。