釣魚網站與反釣魚技術剖析(圓桌會議)

GitChat的部落格發表於2018-04-12

在昨天,一個 DNF 的釣魚頁面引起了我的注意,按照常理來說,騰訊遊戲的釣魚連結傳送到 QQ 中,不到一分鐘便會被攔截提示危險。而對方 URL 騰訊並不做攔截,於是我和朋友分析了其原理,通過多次實驗現已經能夠成功繞過 QQ 檢測實施釣魚攻擊。本場 Chat 我將站在攻擊者的角度來複現環境:

  1. 如何繞過 QQ 檢測
  2. 基於 Adaboss 演算法的反釣魚模型(URL,特徵匹配)
  3. 現今黑產釣魚網站常見反檢測技術

內容包括但不限於以上。

因為本人能力有限,也希望有這方面經驗的朋友(惡意內容檢測類)來參與討論。最最最重要的是,本場 Chat 交流模式有所改變。GitChat 是個凝聚眾人智慧的地方,所以這場交流的主場屬於大家,我想聽聽大家對釣魚技術的看法。我邀請你來參加本次活動,點選下方預訂報名。

釣魚網站的簡介闡述

釣魚網站通常指偽裝成銀行及電子商務,竊取使用者提交的銀行帳號、密碼等私密資訊的網站。“釣魚”是一種網路欺詐行為,指不法分子利用各種手段,仿冒真實網站的URL地址以及頁面內容,或利用真實網站伺服器程式上的漏洞在站點的某些網頁中插入危險的HTML程式碼,以此來騙取使用者銀行或信用卡賬號、密碼等私人資料。

“釣魚網站”的頻繁出現,嚴重地影響了線上金融服務、電子商務的發展危害公眾利益,影響公眾應用網際網路的信心。釣魚網站通常偽裝成為銀行網站,竊取訪問者提交的賬號和密碼資訊。它一般通過電子郵件傳播,此類郵件中一個經過偽裝的連結將收件人聯到釣魚網站。釣魚網站的頁面與真實網站介面完全一致,要求訪問者提交賬號和密碼。

有趣的是現在黑產中魚站越來越強了,一次性換模板與域名,我必須的糾正一下我以前所說的:“給別人寫魚站的,都是菜B前端。”

專業的魚站,寫的不僅僅好,功能齊全,而且還標註上“2017最新版防Xss防sql注入”。價格也高到一定程度,漁民租用魚主的伺服器和域名,一天一百塊,想想還是有點利潤的。

enter image description here

我和魚民的聊天記錄,他這裡的不紅,意思是 發在群裡 QQ裡不會被攔截,不提示危險網站。

就單單這個不紅就能實現繞過之後,已經有黑產人員搭話:“測試一天群發,不紅了,三百一天收你這個技術。”

當然是義正言辭的拒絕了。不過在下屬實缺錢也沒有和黑產勾肩搭背的想法。

貼兩個魚站截圖,可以看到功能完善之強,這是我之前X進去的一個站臺。

enter image description here

enter image description here

目前我接觸到的有針對遊戲釣魚的,比如DNF,一天釣幾千號沒問題。洗號洗裝備洗錢幾千個號上萬利潤沒問題。再比如,iPhoneID鎖,一次釣幾個號沒問題,解開一個就賺一個,利潤嘛,請問現在市場二手的iPhone7P是多少錢?

走正題了。

釣魚網站常見的廠商檢測

現在常見的安全軟體廠商有,360,騰訊,百度,等廠商。在於釣魚網站的檢測力度來講,騰訊反釣魚網站力度是數一數二的,因為騰訊的QQ,微信,佔據了社交軟體的絕大部分市場。也是釣魚網站轉播的主要途徑。當然在技術上騰訊的反釣魚系統做的也是相當的不錯,基本上能杜絕大部分釣魚網站的偽裝。

根據百度百科的介紹騰訊擁有一個全球最大的網站資料庫,能敏銳鑑定網站的安全性,輕鬆識別假冒、詐騙、釣魚等惡意網站。

釣魚網站的檢測方法

由於釣魚網站的識別率很高,一開始沒有理會檢測方法和原理,通常釣魚網站發出來只要幾十秒就會報毒,可是當看到一個釣魚網站連續幾天都沒有報毒,這時候我驚呆了。於是我開始著手瞭解反釣魚的檢測方法。在度娘上找到了一篇關於釣魚網站的檢測系統的研究論文。

enter image description here

在該論文中大概瞭解到,該檢測系統的原理是是對url內容特徵進行匹配,在原理的介紹上是通過,url白名單過濾,和網站內容特徵進行檢測判斷的。我在關於“釣魚網站”百度百科的介紹中看到騰訊也介紹了騰訊安全雲庫的一種url檢測和過濾的原理,該原理是通過使用者訪問的網址在騰訊雲庫儲存的釣魚網站資料庫和特徵進行匹配,從而判斷使用者訪問的網址是否為釣魚網站。

enter image description here

騰訊雲安全網址檢測如上圖。

反釣魚系統進行測試實驗

(由於其他原因具體詳情不放出,故告知。)

為了論證該技術的可行性我自行搭建了一個釣魚網站:

在我搭建好的第一時間發給了一個朋友進行檢測測試,發現在剛剛釋出的幾十秒內並沒有報毒。

enter image description here

而在幾分鐘後我發給我另一個朋友,得到的回覆是已經被攔截。隨後我在騰訊管家安全檢測查詢,的確被攔截判斷為釣魚網站,最關鍵的是緊緊在釋出了30秒左右就檢測到了。這讓我感到管家的技術強大。然而我開始了我的實驗之路。

enter image description here

enter image description here

根據上述的圖片原理我進行了實驗,首先url白名單過濾,我找了一個新域名,所以不在白名單內,也不在釣魚網站庫裡,然後第一個理論我就順利通過url過濾判斷,其次在上述的原理中提到的對頁面的內容特徵進行檢測,這個是判斷釣魚網站的核心,因為url檢測域名的相似度導致誤判會很高,所以電腦管家會檢測網頁上的原始碼特徵,是否跟已在安全庫中出現的釣魚網站的頁面特徵進行匹配,找到相似處,從而判斷是否是釣魚網站。然後為了躲過頁面特徵被檢測的風險,我處理了一下頁面原始碼的特徵。然後開始測試。結果出乎我的意料。我發給朋友測試,管家檢測並沒有跟我第一次測試的時候,在30秒內檢測出是釣魚網站。一開始覺得是釋出的人數較少沒被檢測出來,然後我在群裡群發了一下網站,但是結果還是沒有被檢測出是釣魚網站,接著我來到管家網址檢測,對網站再次進行檢測,結果還是沒有被檢測出來,進過10幾分鐘的等待再次檢測一遍,依然沒有被檢測出來。由此可以斷定,管家的檢測方法也跟上述我找到的論文方法一致。

經過幾番測試,對與我處理過頁面原始碼特徵的頁面也一直沒被反釣魚系統檢測出來。

enter image description here

enter image description here

復現過程到此結束,因為很多原因不能放出具體詳情過程和貼程式碼,只能貼個論文地址了。

AdaBoost演算法的網路釣魚檢測系統的研究

我直接貼個論文地址吧,我是看的這個論文,內容太多也不好引用,請讀者自查。

https://wenku.baidu.com/view/ff36c5e94b35eefdc9d333b6.html

來自江西理工大學的三位同志研究論文。

關於釣魚網站的識別與防範

對應釣魚網站的識別與防範,大家只要記住,看url連結的地址的是不是你要訪問的網站域名,還有就是不點來歷不明連結。

也請記住以下五種方法防範辦法:

  • 第一、查驗“可信網站”
  • 第二、核對網站域名
  • 第三、比較網站內容
  • 第四、查詢網站備案
  • 第五、檢視安全證書

It's your turn to speak, my friend.


本文首發於GitChat,未經授權不得轉載,轉載需與GitChat聯絡。

閱讀全文: http://gitbook.cn/gitchat/activity/5a0017484df0c620d0577a0c

一場場看太麻煩?成為 GitChat 會員,暢享 1000+ 場 Chat !點選檢視

相關文章