【釣魚】與【反釣魚】的技術剖析
本文來自作者 肖志華 在 GitChat 上分享「釣魚網站與反釣魚技術剖析(圓桌會議)」,「閱讀原文」檢視交流實錄
「文末高能」
編輯 | 倉井
釣魚網站的簡介闡述
釣魚網站通常指偽裝成銀行及電子商務,竊取使用者提交的銀行帳號、密碼等私密資訊的網站。
“釣魚”是一種網路欺詐行為,指不法分子利用各種手段,仿冒真實網站的 URL 地址以及頁面內容。
或者,利用真實網站伺服器程式上的漏洞在站點的某些網頁中插入危險的 HTML 程式碼,以此來騙取使用者銀行或信用卡賬號、密碼等私人資料。
“釣魚網站”的頻繁出現,嚴重地影響了線上金融服務、電子商務的發展危害公眾利益,影響公眾應用網際網路的信心。釣魚網站通常偽裝成為銀行網站,竊取訪問者提交的賬號和密碼資訊。
它一般通過電子郵件傳播,此類郵件中一個經過偽裝的連結將收件人聯到釣魚網站。釣魚網站的頁面與真實網站介面完全一致,要求訪問者提交賬號和密碼。
有趣的是現在黑產中魚站越來越強了,一次性換模板與域名,我必須的糾正一下我以前所說的:“給別人寫魚站的,都是菜B前端。”
專業的魚站,寫的不僅僅好,功能齊全,而且還標註上“2017最新版防Xss防 sql 注入”。
價格也高到一定程度,漁民租用魚主的伺服器和域名,一天一百塊,想想還是有點利潤的。
我和魚民的聊天記錄,他這裡的不紅,意思是 發在群裡 QQ裡不會被攔截,不提示危險網站。
就單單這個不紅就能實現繞過之後,已經有黑產人員搭話:“測試一天群發,不紅了,三百一天收你這個技術。”
當然是義正言辭的拒絕了。不過在下屬實缺錢也沒有和黑產勾肩搭背的想法。
貼兩個魚站截圖,可以看到功能完善之強,這是我之前X進去的一個站臺。
目前我接觸到的有針對遊戲釣魚的,比如DNF,一天釣幾千號沒問題。洗號洗裝備洗錢幾千個號上萬利潤沒問題。
再比如,iPhoneID 鎖,一次釣幾個號沒問題,解開一個就賺一個,利潤嘛,請問現在市場二手的 iPhone7P 是多少錢?
走正題了。
釣魚網站常見的廠商檢測
現在常見的安全軟體廠商有,360,騰訊,百度,等廠商。在於釣魚網站的檢測力度來講,騰訊反釣魚網站力度是數一數二的,因為騰訊的QQ,微信,佔據了社交軟體的絕大部分市場。
也是釣魚網站轉播的主要途徑。當然在技術上騰訊的反釣魚系統做的也是相當的不錯,基本上能杜絕大部分釣魚網站的偽裝。
根據百度百科的介紹騰訊擁有一個全球最大的網站資料庫,能敏銳鑑定網站的安全性,輕鬆識別假冒、詐騙、釣魚等惡意網站。
釣魚網站的檢測方法
由於釣魚網站的識別率很高,一開始沒有理會檢測方法和原理,通常釣魚網站發出來只要幾十秒就會報毒,可是當看到一個釣魚網站連續幾天都沒有報毒,這時候我驚呆了。
於是我開始著手瞭解反釣魚的檢測方法。在度娘上找到了一篇關於釣魚網站的檢測系統的研究論文。
在該論文中大概瞭解到,該檢測系統的原理是是對url內容特徵進行匹配,在原理的介紹上是通過,url白名單過濾,和網站內容特徵進行檢測判斷的。
我在關於“釣魚網站”百度百科的介紹中看到騰訊也介紹了騰訊安全雲庫的一種url檢測和過濾的原理,該原理是通過使用者訪問的網址在騰訊雲庫儲存的釣魚網站資料庫和特徵進行匹配,從而判斷使用者訪問的網址是否為釣魚網站。
騰訊雲安全網址檢測如上圖。
反釣魚系統進行測試實驗
(由於其他原因具體詳情不放出,故告知。)
為了論證該技術的可行性我自行搭建了一個釣魚網站:
在我搭建好的第一時間發給了一個朋友進行檢測測試,發現在剛剛釋出的幾十秒內並沒有報毒。
而在幾分鐘後我發給我另一個朋友,得到的回覆是已經被攔截。隨後我在騰訊管家安全檢測查詢,的確被攔截判斷為釣魚網站,最關鍵的是緊緊在釋出了30秒左右就檢測到了。這讓我感到管家的技術強大。然而我開始了我的實驗之路。
根據上述的圖片原理我進行了實驗:
首先 url 白名單過濾,我找了一個新域名,所以不在白名單內,也不在釣魚網站庫裡,然後第一個理論我就順利通過 url 過濾判斷。
其次在上述的原理中提到的對頁面的內容特徵進行檢測,這個是判斷釣魚網站的核心,因為url檢測域名的相似度導致誤判會很高。
所以電腦管家會檢測網頁上的原始碼特徵,是否跟已在安全庫中出現的釣魚網站的頁面特徵進行匹配,找到相似處,從而判斷是否是釣魚網站。
然後為了躲過頁面特徵被檢測的風險,我處理了一下頁面原始碼的特徵。然後開始測試。結果出乎我的意料。
我發給朋友測試,管家檢測並沒有跟我第一次測試的時候,在30秒內檢測出是釣魚網站。
一開始覺得是釋出的人數較少沒被檢測出來,然後我在群裡群發了一下網站,但是結果還是沒有被檢測出是釣魚網站,接著我來到管家網址檢測,對網站再次進行檢測,結果還是沒有被檢測出來,進過10幾分鐘的等待再次檢測一遍,依然沒有被檢測出來。由此可以斷定,管家的檢測方法也跟上述我找到的論文方法一致。
經過幾番測試,對與我處理過頁面原始碼特徵的頁面也一直沒被反釣魚系統檢測出來。
復現過程到此結束,因為很多原因不能放出具體詳情過程和貼程式碼,只能貼個論文地址了。
AdaBoost演算法的網路釣魚檢測系統的研究
我直接貼個論文地址吧,我是看的這個論文,內容太多也不好引用,請讀者自查。
https://wenku.baidu.com/view/ff36c5e94b35eefdc9d333b6.html
來自江西理工大學的三位同志研究論文。
關於釣魚網站的識別與防範
對應釣魚網站的識別與防範,大家只要記住,看url連結的地址的是不是你要訪問的網站域名,還有就是不點來歷不明連結。
也請記住以下五種方法防範辦法:
-
第一、查驗“可信網站”
-
第二、核對網站域名
-
第三、比較網站內容
-
第四、查詢網站備案
-
第五、檢視安全證書
It’s your turn to speak, my friend.
近期熱文
從此
告別黑客
「閱讀原文」看交流實錄,你想知道的都在這裡
相關文章
- 釣魚網站與反釣魚技術剖析(圓桌會議)網站
- 釣魚釣魚去
- 釣魚篇-其他釣魚
- 釣魚篇-郵件釣魚
- 釣魚篇-網路釣魚
- 釣魚篇-其他型別釣魚型別
- 釣魚?這是反代理!
- 釣魚學習
- XSS漏洞釣魚
- 釣魚小技巧-XLM
- 郵件釣魚攻擊與溯源
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 網路釣魚攻擊
- 釣魚攻擊時間軸,你知道常見的釣魚攻擊有哪些嗎
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- 【釣魚攻擊】外貿白領:比“貿易戰”更頭疼的釣魚攻擊來襲!
- 使用powershell Client進行有效釣魚client
- 【NOIP2011模擬11.1】釣魚
- 記一次完成的釣魚實戰
- 雙因素認證繞過的釣魚工具
- “!提醒:續購防毒”釣魚網站套路防毒網站
- Proofpoint:2024年網路釣魚報告
- 如何防範釣魚網站詐騙?網站
- 關於釣魚郵件,你知道多少?
- 透過.PAC進行網路釣魚
- PhishLabs:金融業的釣魚攻擊大幅增長,入侵現有網站成為釣魚活動首選策略網站
- 什麼是魚叉式網路釣魚?常見的方式有哪些?
- 這樣的釣魚郵件,你會中招嗎?
- 網路釣魚 你知道如何識別嗎?
- 網路釣魚,你要怎麼防範
- 記一次釣魚靶機測試
- GoogleTalk被黑客利用發動釣魚攻擊Go黑客
- 卡巴斯基:2020年網路釣魚報告
- 安全公司揭露in-session網路釣魚新手法Session
- FBI針對HTTPS網路釣魚釋出警告HTTP
- 美團被爆用釣魚郵件獲拼多多薪資資訊,電商企業如何防範釣魚郵件?
- 為什麼說針對反網路釣魚的培訓還遠遠不夠?
- 一文學會如何識別網路釣魚
- 網路釣魚攻擊常用方法及防禦措施!