瞭解你的敵人 網路釣魚攻擊的實現過程

網路釣魚是透過大量傳送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感資訊（如使用者名稱、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細資訊）的一種攻擊方式。最典型的網路釣魚攻擊將收信人引誘到一個透過精心設計與目標組織的網站非常相似的釣魚網站上，並獲取收信人在此網站上輸入的個人敏感資訊，通常這個攻擊過程不會讓受害者警覺。這些個人資訊對駭客們具有非常大的吸引力，因為這些資訊使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經濟利益。受害者經常遭受顯著的經濟損失或全部個人資訊被竊取並用於犯罪的目的。這篇“瞭解你的敵人”文章旨在基於 德國蜜網專案組 和英國蜜網專案組所蒐集到的攻擊資料給出網路釣魚攻擊的一些實際案例分析。這篇文章關注於由蜜網專案組在實際環境中發現的真實存在的網路釣魚攻擊案例，但不會覆蓋所有可能存在的網路釣魚攻擊方法和技術。攻擊者也在不斷地進行技術創新和發展，目前也應該有（本文未提及的）新的網路釣魚技術已經在開發中，甚至使用中。

　　在給出一個簡要的引言和背景介紹後，我們將回顧釣魚者實際使用的技術和工具，給出使用蜜網技術捕獲真實世界中的網路釣魚攻擊的三個實驗型研究的案例。這些攻擊案例將詳細地進行描述，包括系統入侵、釣魚網站架設、訊息傳播和資料收集等階段。隨後，將對其中普遍應用的技術及網路釣魚、垃圾郵件和殭屍網路等技術進行融合的趨勢給出分析。釣魚者使用惡意軟體進行自動化地 Email 地址收集和垃圾郵件傳送的案例也將被回顧，同時我們也將展示我們在網路掃描技術及被攻陷主機如何被用於傳播釣魚郵件和其他垃圾郵件上的發現。最後，我們對本文給出結論，包括我們在最近 6 個月內獲得的經驗，以及我們建議的進一步研究的客體。

　　這篇文章包括了豐富的支援性資訊，提供了包含特定的網路釣魚攻擊案例更詳細資料的連結。最後宣告一下，在研究過程中，我們沒有收集任何機密性的個人資料。在一些案例中，我們與被涉及網路釣魚攻擊的組織進行了直接聯絡，或者將這些攻擊相關的資料轉交給當地的應急響應組織。

　　引言

　　欺騙別人給出口令或其他敏感資訊的方法在駭客界已經有一個悠久的歷史。傳統上，這種行為一般以社交工程的方式進行。在二十世紀九十年代，隨著網際網路所連線的主機系統和使用者量的飛速增長，攻擊者開始將這個過程自動化，從而攻擊數量巨大的網際網路使用者群體。最早系統性地對這種攻擊行為進行的研究工作在 1998 年由 Gordon 和 Chess 發表。（ Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究針對 AOL （美國線上）的惡意軟體，但實際上他們面對的是網路釣魚的企圖而不是他們所期望的特洛伊木馬攻擊。網路釣魚 (Phishing) 這個詞 (password harvesting fishing) 描述了透過欺騙手段獲取敏感個人資訊如口令、信用卡詳細資訊等的攻擊方式，而欺騙手段一般是假冒成確實需要這些資訊的可信方。 Gordon 和 Chess 描述的一個釣魚信件如下所示：

Sector 4G 9E of our data base has lost all I/O functions. When your account
logged onto our system, we were temporarily able to verify it as a
registered user. Approximately 94 seconds ago, your verification was made
void by loss of data in the Sector 4G 9E. Now, due to AOL verification
protocol, it is mandatory for us to re-verify you. Please click 'Respond' and
re-state your password. Failure to comply will result in immediate account
deletion.

　　早期的網路釣魚攻擊主要目的是獲得受害者的 AOL 賬號的訪問權，偶爾也期望獲取信用卡資料以用於欺詐目的 ( 如非法買賣這些資訊 ) 。這些釣魚的信件通常包含一個簡單的詭計從而哄騙一些“菜鳥”使用者，這些欺騙手段很大程度依賴於受害者對“自動化的”系統功能或權威機構的（表面）輪廓的先天性信任，前面的例子中給出一個硬體裝置故障或資料庫毀壞的情節，大部分的普通使用者將會重視任何看起來正式的、或看起來向是為他們提供幫助的緊急的技術上的要求，使用者通常會被催促儘快輸入其敏感資訊從而避免嚴重後果，如“ … 重新輸入你的口令，如未及時輸入則將導致直接刪除賬號”。為了避免可能潛在的嚴重的後果，受害者通常立即照做，從而不知不覺地將這些使用此社交工程手段的駭客所需要的敏感資料提供給了他們。事後的證據表明這些駭客都是單獨行動，或是以一個小而簡單的組織形式活動。一些文獻也描述了早期的網路釣魚者大多是一些期望獲得更多賬號資料去惡作劇及打長途電話的青少年，通常沒有很強的組織性和蓄意性。

　　現在，釣魚者所首選的策略是透過大量散發誘騙郵件，冒充成一個可信的組織機構（通常是那些釣魚者所期望的已經被受害者所信任的機構），去引誘儘可能多的終端使用者。釣魚者會發出一個讓使用者採取緊急動作的請求，而具有諷刺意義的是通常其理由是保護使用者的機密性資料免受惡意活動的侵害，這封欺騙性的電子郵件將會包含一個容易混淆的連結，指向一個假冒目標機構公開網站的遠端網頁。釣魚者希望受害者能夠被欺騙，從而向這個假的、但看起來是目標機構的“官方”網站的網頁介面輸入他們的機密資訊。被釣魚者所青睞的目標機構包括很多著名的銀行，信用卡公司和涉及日常性支付行為的知名網際網路商務網站（如 eBay 和 Paypal 等 ）。大量針對網際網路使用者的釣魚郵件的例項可以在反網路釣魚工作組 （ Anti-Phishing Working Group ）的網站上 的 釣魚郵件歸檔 中 可以獲得，其中許多郵件都顯示了釣魚者可以欺騙無知的使用者相信他們正在訪問一個合法的網頁介面的極高精確性。

　　在這個簡要介紹網路釣魚概念的引言之後，我們將開始回顧在我們觀察到的真實網路釣魚攻擊中所實際使用的技術和工具。如果你對網路釣魚的更深入的背景知識感興趣，我們為你準備了 具體的背景資訊 這個頁面。

[@more@]