Radware：防禦現代魚叉式網路釣魚攻擊的方法

在網路安全領域工作的人都知道，網路釣魚攻擊，特別是針對大型企業的網路釣魚攻擊正在崛起。由於攻擊依賴的是任何可利用的人為因素，因此，攻擊者對這類攻擊十分青睞。

多年以來，網路釣魚攻擊在不斷地發展，而在過去，這些攻擊僅僅只是簡單的攻擊。攻擊者會傳送一條帶有可以跳轉到虛假網站的連結的資訊，誘騙使用者在自己的電腦上執行惡意程式碼。現在，網路釣魚攻擊卻變得非常複雜，可以給受害者帶來極其嚴重甚至是無法挽回的損失。

目前，反安全領域中最有效的網路釣魚攻擊就是魚叉式網路釣魚，該攻擊可以侵入所有的防禦層。近年來，多數引人注目的資料洩露事件都始於魚叉式網路攻擊。

魚叉式網路釣魚：誘騙的藝術

首先，攻擊者會選擇一個受害者，比如www.contoso.com。然後，攻擊者利用動態DNS服務和虛擬伺服器來發布類似的網站。以下就是一個名稱相似的網站www.comtoso.com，攻擊是基於假設使用者不會注意到URL中的細微變化。

接下來，攻擊者會利用Automation Anywhere或Ion等抓取工具或資料採集工具來複制www.contoso.com網站中的內容。現在，攻擊者就擁有了一個名為www.comtoso.com的相似網站。下一步攻擊者要做的就是將受害使用者吸引到虛假網站，以便獲取受害者輸入的憑證。接下來，攻擊者要做的就是利用Foca和Maltego等指紋識別工具採集儘可能多的電子郵件地址。

現在，攻擊者要做的就是等待使用合法Contoso憑證的使用者登入到虛假網站，以便他們進行採集。攻擊者採集到憑證之後，攻擊就結束了。

防網路釣魚技術

作為網路安全行業的一個重要領域，防網路釣魚產品和服務在很久之前就已經面市。現在的防毒軟體通常都包括防網路釣魚功能，而且多數瀏覽器都自動配備了Google
Safe Browsing功能，這樣的整合可以提供中等水平的網路釣魚防護措施，但卻遠不能幫助企業應對複雜攻擊。

防網路釣魚解決方案可以整合到Web瀏覽器或以單機方式執行，這兩種方法採用了相似的方法來檢測網路釣魚攻擊。

域名信譽

所有的防網路釣魚廠商都會收集有關URL黑名單的情報。他們利用信譽分析技術對域名信譽和列入黑名單的一級域名(TLDs)等資料資訊進行分析。有些網站可以免費為使用者提供此類資訊，http://www.borderware.com/就是其中之一。從這些服務中得到的資訊也可以從郵件攔截列表和上報站點中獲取。

這種方法的缺點就是，多數的攻擊者會利用‘用後即丟棄’技術獲得域名，用於惡意URL，但是時間很短。因此可以躲過URL黑名單和資訊分析技術的分析檢測。

針對註冊商和託管服務供應商的網路釣魚提示

註冊商、託管服務供應商和網際網路服務提供商(ISP)能夠持續追蹤IP地址、名稱伺服器和域名查詢伺服器。他們的防釣魚軟體不斷更新，並根據上述資訊為使用者提供警報。

工具欄

目前，各種不同的工具欄都可以安裝在當前最流行的瀏覽器中。這些工具欄會持續監控URL檢索，並向軟體傳送報告，以便匹配基於規則的策略。

DNS搜尋保護

利用這一防護方法，看似與合法網站相似的域名就可以記錄到程式碼倉庫。軟體每天都會監控DNS註冊，以發現特定的警報模式，也可以在通用TLD和.com、.net、.free.fr等註冊點探查潛在域名。

SSL站點搜尋保護

由於多數使用者認為有效的SSL證書可以實現更好的安全保障，因此，利用SSL證書的網路釣魚攻擊尤其危險。有些防網路釣魚產品能夠檢索超過五百萬的SSL證書，以便查詢偽造證書。

感知能力

防禦網路釣魚攻擊最重要也最有效的方式就是進行員工教育，提高他們對社會工程攻擊的認知。許多企業都會提供與安全相關的培訓計劃，以便讓使用者對最新的風險和威脅有更好的瞭解。

說到底，使用者是最終的安全決定者。安全的好壞最終取決於使用者能否以鑑定的眼光閱讀所有郵件和警報，並判斷資訊或連結是否安全。只要決策權在使用者手中，網路釣魚攻擊的成功率就會居高不下，這也正是防網路釣魚行業能夠保持持續增長的原因。企業還將繼續尋求更多更好的解決方案，為了迎合企業的這一需求，防網路釣魚技術也要不斷的發展。

本文轉自d1net（轉載）