研究人員注意到了一些新型的釣魚攻擊。網絡罪犯使用了一些新的手段,防止引起注意,並讓行動更加有效。
越來越多的網絡犯罪小組注意到,針對公司高管的釣魚攻擊的利潤也許極其豐厚,但針對普羅大眾的攻擊也可能收穫頗豐。因此,許多惡意行為源正在嘗試改進攻擊手段。
一、錯誤配置的臨時URL
本月早些時候,Sucuri報告稱發現了一種攻擊者在釣魚攻擊中使用的新技巧。網絡罪犯需要每隔一段時間就更改釣魚頁面的域名,防止被安全產品封堵,現在他們似乎找到了獲取此類域名的新方式。
研究人員表示,攻擊者利用了一種現狀:多數託管服務提供商,甚至是一些大型的,都沒能夠正確配置臨時URL。這類URL的大體樣子是http://server-name/~username/,它們的作用是讓用戶在將網站連結到域名之前進行測試。
當這些臨時URL配置不正確時,就可以通過同一伺服器上的任意域名訪問某個用戶的文件。攻擊者可以在共享伺服器上註冊一個帳號,上傳自己的釣魚頁面,並編制一份該伺服器上所有其它站點的名單。
如果沒有正確設置臨時URL,就可以通過鄰近的任意域名訪問釣魚頁面。比如,如果攻擊者將釣魚頁面上傳到了自己網站上的/~attacker/phishing目錄下,這個目錄也將可以通過鄰近的域名訪問到,比如neighbor-site1.xyz/~attacker/phishing和neighbor-site2.xyz/~attacker/phishing。
Sucuri研究人員Denis Sineguboko在發表的一篇博文中解釋稱:「因此,一個伺服器帳戶就可以給予攻擊者數百個不同的域名,供其惡意頁面免費使用。他們可以頻繁更換域名,而不用暴露惡意文件的真實位置,如果域名被列在黑名單中,也不用將自己的文件移動到其它位置上。」
這種技巧已經出現在了真實世界裡,Sucuri公司已經觀察到的案例中,合法的網站被裂錦了黑名單,因為它和惡意站點託管在了同一個伺服器上。
網站擁有者可以通過嘗試訪問自己的域名,比如http://your-domain.com/~yourusername,來確定自己是否受到了影響。如果它有效,就說明託管服務提供商沒有正確地配置臨時URL。
二、使用JavaScript靜默竊取憑據
一位英國的研究人員使用的網名是dvk01uk,他報告稱發現了一封PayPal釣魚郵件,它利用了一種聰明的技巧欺騙收信人,讓其認為自己提交的詳細信息的確被提交到了PayPal的伺服器上。
這封電子郵件告知用戶其帳戶存在異常活動,並請求他們下載附件中的HTML文件並提交相關信息。有趣的是,表格中的提交按鈕看上去指向的是合法的PayPal域名。
經過進一步分析,研究人員發現攻擊者實際上使用了JavaScript來攔截提交的數據,並將其發送到釣魚者的伺服器,與此同時將受害者重定向到合法的PayPal網站。
dvk01uk解釋稱:「這一JavaScript在HTML附加被加載的瞬間就開始運行,它會攔截所有發送向PayPal.com的數據,並將其轉向真正的釣魚網站,記錄你的所有詳細信息,而你的瀏覽器仍會訪問正常的PayPal網頁。如果你不太小心,有可能被這個小技巧騙到。」
「這種方式繞過了大多數反釣魚和防護技術,比如大多數工具欄、釣魚過濾器和反病毒工具。它們目前只會查找提交按鈕指向的URL,而不會檢查與之連結的JavaScript文件。」
如果不使用HTML附件,而是在郵件中直接使用看上去合法的真實域名連結,這種方法將效果更好。
---
微信最新版,長按公眾號,可「置頂」