瑞星2011年度安全报告
2012-01-11 17:00:28第三节 钓鱼网站和社会工程学攻击
随着对2011年网络钓鱼案例、黑客攻击案例的统计分析,瑞星安全专家认为单纯地把那些利用社会工程学原理发动的网络攻击命名为“钓鱼网站”,已经不能准确描述这种攻击手法的本质,社会工程学攻击(利用人与人之间的信任、践踏社会基本的商业准则,夹杂在利益当中)使得国内网民面临比以往更大的安全风险。
(*社会工程学攻击是一种利用人的弱点获取系统口令、关键安全信息、金钱利益的攻击方法,这些弱点包括人的本能反应、好奇心、信任、贪便宜等,在此类攻击中通常包括了诸如欺骗、伤害等危害手段,采用传统安全方法无法杜绝社会工程学攻击。)
尽管目前的“钓鱼网站”最终的表现形式仍然是“建立假网站→吸引用户花钱”,但建立假网站之后如何吸引用户,怎么让用户知道这个假网站,访问假网站之后如何增加用户的信任感,如何欺骗搜索引擎从而获取更好的搜索排名,如何把用户被骗的钱取走(银行都是实名制,如有大量的异常资金往来,很难瞒过监管部门),这些环节在以前都让黑客挠头,现在他们想出了种种方法来规避。
下面,瑞星安全专家将对2011年的黑客钓鱼活动进行深入分析。
从黑客建立网站开始,有四个主要环节,建立网站→推广→浏览(建立信任)→支付。在这四个环节当中,黑客尤其对后三个环节不断进行创新,加强推广效果,降低提现难度。
第一、黑客推广钓鱼网站的四大常用手法
根据瑞星研究团队的分析,2011年黑客主要通过搜索引擎攻击(SEA)、IM软件、电子邮件群发、手机短信等四种方式推广钓鱼网站:
(1)搜索引擎攻击SEA(Search Engine Attack)。作为网民获取信息的主要途径,搜索引擎在黑客推广钓鱼网站上起到了不可替代的作用。黑客们会追踪搜索引擎上的热门词汇,针对这些热门词汇做出调整和优化,使得网民在搜索的时候,假网站排在前列。有的甚至花费重金,购买搜索引擎广告。
在搜索引擎攻击中,常见的攻击手法包括:
A、病毒点击。黑客利用自己掌握的“僵尸网络(*注)”搜索热门词,点击其中的钓鱼网站(假网站),让搜索引擎以为“这个网站具有高质量内容,所以很多用户喜欢”,提高钓鱼网站的权值。这样当网民搜索热门词的时候,这些钓鱼网站就会排在正常网站的前面,误导网民。
(注)“僵尸网络”:通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。
B、让钓鱼网站出现在搜索引擎的特定区域。这些特定区域包括:热门词的前三页搜索结果、搜索排行榜、搜索问答的热门话题等。在这些特定区域中,普通用户可以插入内容,比如在百度知道的热门问题中,有关减肥、美容、癌症等内容的答案里。就有若干诈骗类网站的链接;而在排行榜类区域中,除非进行人工干预,否则黑客可以利用病毒、木马来模拟网民搜索行为,从而使得显示的结果失真,这也就是所谓的“恶性SEO(Search Engine Optimization)”
C、热点词优化。这类行为通常发生在某个“门事件”之后,例如“艳照门”、“X卧底”等媒体爆炒的事件之后,主流搜索引擎的结果中会出现大量的恶意网站结果,包括带毒网站、诈骗网站、出售假冒伪劣商品的钓鱼网站等等。
D、购买搜索引擎广告。据媒体报道,湖北一网民在搜索“中国移动湖北网上营业厅”时,搜索引擎提供的广告是钓鱼网站,被骗话费100元(http://henan.qq.com/a/20120104/000031.htm)。2011年12月,公安部经济犯罪侦查局发布警告,列举了多起用户在搜索引擎上遭遇钓鱼诈骗的案例。(http://www.mps.gov.cn/n16/n80227/n80640/3030065.html)
(网络图片:搜索引擎广告中的钓鱼网站)
E、黑客攻击大型网站,在其中放入钓鱼网站的链接,欺骗搜索引擎,提升钓鱼网站的权值,这样可以使网民误以为所进入的钓鱼网站是大网站的子站或者分站,从而提升钓鱼网站的可信度,使网民更容易受骗。
(2)利用QQ、MSN等IM软件推广钓鱼网站,或直接诈骗
从瑞星的监测结果来看,2011年下半年,通过QQ、MSN等聊天软件推广钓鱼网站,或直接进行诈骗的案例有大幅上升。具体表现形式为,黑客登录窃取的QQ号、MSN账号等,给其好友发送钓鱼网站,或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计,数量级可能在数万到数十万之间。
2011年12月,MSN中国发表声明,称已经注意到部分MSN用户遇到账号密码被盗的问题,MSN中国非常关注,已经向美国总部汇报,并立即展开了调查,但是被盗账户数量和事件原委截至发稿时还没有最终结果。
(骗子利用MSN盗号诈骗图例)
瑞星安全专家介绍说,这是黑客对国内一些大型互联网站进行了“拖库攻击”,直接窃取大批用户密码,或者通过已泄露的密码去猜测其他网站的密码,在这波攻击中,IM软件未曾幸免。
(3)利用邮件推广钓鱼网址
黑客在网上购买外泄的用户资料,针对性地向某些用户发送钓鱼邮件,这样可以极大地提高诈骗成功率。比如网上可以买到“淘宝每个月的活跃账户”、“当当高级买家账户”等,黑客会向这些已经习惯网购的买家发送钓鱼网址,诈骗钱财。
(4)利用手机短信推广钓鱼网址
黑客在网上购买大批用户资料,利用某些地区对于垃圾短信监管不严的漏洞,使用手机短信群发技术,给特定人群定向发动钓鱼短信,诈骗钱财,出售假冒伪劣商品等,这种方式相对隐蔽,诈骗成功率很高。
