探测并阻止网络钓鱼白皮书.docx
《探测并阻止网络钓鱼白皮书.docx》由会员分享,可在线阅读,更多相关《探测并阻止网络钓鱼白皮书.docx(27页珍藏版)》请在冰豆网上搜索。
探测并阻止网络钓鱼白皮书
探测和阻止网络钓鱼
简介
随着消费者越来越青睐在线办理银行业务及在线付款,而避免去银行柜台及填写支票,罪犯们将目光从自动取款机和邮箱转移到家庭电脑和宽带网连接上。
网络钓鱼是一种自动身份盗用形式,其目标是普通的电子邮件用户。
作为一种成功且获利丰厚的财务欺诈形式,网络钓鱼于2004年出现。
如今,网络钓鱼已成为身份盗用“产业”中一块高速增长的部分。
2004年1月,反网络钓鱼工作小组APWG(Anti-PhishingWorkingGroup)确认的网络钓鱼网站有174家。
而到该年的12月,网络钓鱼网站已超过1700家。
2004年全年,由于网络欺诈造成的消费者损失据估计在5亿美元(根据美国联邦贸易委员会的统计)和20亿美元(根据APWG的统计)之间。
财务机构(financialinstitutions)和法律制定机构(lawenforcementagencies)对有组织、手法高超且国际化的网络犯罪毫无办法。
本文将详细的从技术层面介绍典型的网络钓鱼活动,主要包括策略、方法以及网络钓鱼邮件和网站的主要特征。
本文还将介绍基于当前入侵防御(IPS)技术构建的智能在线解决方案如何实现网络反欺诈。
实用的反欺诈方案
上世纪90年代,垃圾邮件对电子邮件基础设施构成严重威胁时,当时的解决方法,如用户培训、事件上报及使用客户端桌面附加软件(add-ons)等都无力应对垃圾邮件。
随着网络钓鱼活动和钓鱼者以数倍于十年前垃圾邮件的增长速度出现时,历史再次重演。
大多数采取用户培训、事件上报以及使用客户端桌面附加软件作为主要措施的反网络钓鱼策略再次被证明很难应对网络钓鱼。
本文提供的研究和分析旨在为读者提供足够的技术知识来实施实用、实时和智能的反网络钓鱼措施,以成功应对网络钓鱼攻击。
利益驱动身份盗用
当被问及为何抢劫银行时,WillieSutton非常激动地说道:
“因为钱在那儿。
”攻击身份信息的集中存放源对罪犯具有同样的吸引力。
对大型、集中的个人信息资料库的依赖使其成为大规模身份盗用的重要目标。
美国重要公司ChoicePoint和Lexis-Nexis遭受攻击的事件倍受公众关注,也使国民对身份信息集中点的安全产生忧虑。
但是,正如针对银行的犯罪活动中既有大型的抢劫也有小规模的偷盗,在网络犯罪中,除了大规模的有组织犯罪团伙外,还有众多的小规模罪犯窃取有限的个人信息,以图尽快获取较少量收益。
窃取金钱的简单三步
网络钓鱼主要是通过一定方式从众多e-mail用户中窃取一些特定的机密信息。
对一般网络钓鱼者来说,在某些财务机构注册的用户名、密码和帐号是他们感兴趣的目标。
其他身份验证信息,如社会保险号、母亲的婚前姓(或其它次要密码)以及家庭电话号码等对其它形式的身份盗用有用的信息,对大多数网络钓鱼活动来说,只在某一特定银行进行某些业务操作时才需要。
为了成功窃取用户机密信息,网络钓鱼者需要完成(简短的)一组步骤。
第一步:
劝诱
第一步是要用最小的努力在最短时间内网罗尽可能多的潜在受害者。
下图为使用微软OutlookExpress软件发出的典型的提示邮件。
下面的段落中,将会介绍网络钓鱼者所使用的各种花招的结构。
一般来说,大多数网络钓鱼邮件的界面和结构都相似。
基本上所有钓鱼邮件都有一个共同特征:
可点击的链接。
第二步:
捕获
潜在受害者群中的一部分,通常达到2%到3%,符合如下条件:
●他们是网络钓鱼者选定品牌(花旗银行,PayPal等)的客户。
●他们相信邮件的消息(以及提供的链接)是来自他们财务机构的合法通信。
●他们被要求立刻行动以避免损失(或者领取奖励,但较少见)。
一旦这些要求被满足,攻击者还必须向这些受害者提供一个目标品牌的登录界面,如下面的这个(假冒)网站:
该登录界面有网络钓鱼网站的众多共同特征:
图像和链接为直接从目标品牌的网站上移植过来,页面通过HTTP(不是HTTPS)提供,页面连接来自一个IP地址(而不是注册的域)。
通常填完这些表格后会有一个新的页面。
这个页面会收集更多帐户相关的信息,确切地说就是帐号和密码。
仅仅收集第一个页面上的用户名和密码对于网络钓鱼者看起来已经足够了。
但即使一个用户提供了准确的密码,该密码也很可能在网络钓鱼者有机会登录该帐户前被用户修改。
实际情况是,受害者在提供了关键的登录信息后,一般很快就会发现自己被骗了而去修改登录密码。
二级页面用于确保获得的帐户信息直接传递给攻击者,而不需要攻击者登录至窃取的帐户收集这些帐户信息。
该表单使网络钓鱼过程直接跳到第三步。
第三步:
获利
一旦获取帐户信息,最直接的下一步就是登录到被“钓”帐户并把资金电子转移到网络钓鱼者拥有的帐户上(见“钱驴”)。
但是,一些网络钓鱼者仅仅是作为其他犯罪组织的“身份掮客”,将收集到的客户机密信息卖给真正进行银行盗窃的人。
这种方式既确保网络钓鱼者获得收益,又令调查工作更加复杂。
工具条:
钱驴
有时会有一条如下信息夹杂在常见的网络钓鱼邮件中:
亲爱的未来雇员,我们从就业机构收到您的联系信息。
我叫KarlJorgensen,项目协调员,是您在Odono公司的上司。
请阅读如下的公司信息,以及您的工作描述。
Odono公司是批发制造销售的业内领导者,目前正寻求负责的个人管理公司的海运操作,客户服务,结算和银行操作。
职位空缺:
结算经理您将为公司接收转帐,收发资金。
您必须住在当地银行分支机构的附近,这样您可以在数小时之内从帐户上提款。
请您留下家庭、工作电话或手机号码(最佳),这样我们可以立即与您联系。
需求:
能够每天数次查看电子邮箱
能够立即回复邮件
工作认真负责
如果您对该职位感兴趣,并符合最低要求,请点击以下链接并注册:
http:
//www.odono.org/jobs.html
注册无须收费。
Odono公司版权所有,XX。
虽然这种电子邮件本质上不是网络钓鱼,但是二者显然有关。
获得对一个银行帐户的控制的目的与网络钓鱼者是相似的,但这种情况下,有网络钓鱼者“雇员”(因此被称为“钱驴”)的自愿的参与。
将偷盗的资金电子转帐至国外会引起一些不必要的注意,特别是美国《爱国法》对海外财务业务操作的规定。
为了避免该检查,网络钓鱼者会招募一些在目标银行开有帐户的本地人。
当网络钓鱼攻击成功后,攻击者会登录受害者的帐号,并将资金转给他的一个钱驴,而后指示钱驴提现,并购买一个国际资金订单,或直接将现金寄出。
钱驴会扣除部分现金(一般来说为10%)作为回扣。
值得注意的是,钱驴通常使人迷惑,让人相信他是在处理一个国际船运和结算业务,并且仅仅是将合法的付款转到一个合法的雇主。
建立E-Mail信任策略
由于网络钓鱼者主要依赖电子邮件作为活动手段,网络钓鱼常被归为一类更普遍的垃圾邮件问题。
但不像垃圾邮件那样会一次发送达到上百万条,网络钓鱼信息一般仅发给上万名用户。
此外,网络钓鱼信息比普通垃圾邮件有更高的“点击率”-至少高一个量级,据估计大约在2%到5%之间(estimatesbetweentwoandfivepercentareoftencited)。
这证明网络钓鱼是获得一个受害者的信任和顺从的高效方式,而一个典型的垃圾邮件无法与之相比。
由于在数量上的明显差别,一些流行、有效的基于流量分析的反垃圾邮件技术对阻止这一阶段的网络钓鱼攻击效果比较差。
例如,按照黑名单内的禁止IP地址或DNSMX记录来阻止邮件不大可能有效,除非网络钓鱼者使用了常见的垃圾邮件中继。
实时流量抽样和速率整形(即,在邮件接收网关处测量信息传输的速率)仍不能阻止众多攻击。
最常见的网络钓鱼邮件批量发送工具的发送信息的效率不及垃圾邮件发送器。
网络钓鱼邮件批量发送工具没有采用多线程,也不根据目标地址分类。
因此,典型的垃圾邮件一般很快到达目标地址,而一些钓鱼团伙发送的网络钓鱼信息则更加零散,并且可以躲避限流设备的跟踪。
本节将对网络钓鱼者使用的各种策略进行归类,并给出相应的反制措施供网络和邮件管理者参考使用,以帮助缓解来自网络钓鱼邮件的攻击。
修改及伪造字段
伪造电子邮件的字段头对网络钓鱼电邮攻击非常重要。
许多网络钓鱼信息仅仅修改“From”消息的字段头。
一些更加复杂的团伙则修改“Received”路径的字段头或将“混乱破坏软件”暗藏在“主题”栏中。
“From”字段头
对于普通用户来说,几乎所有网络钓鱼邮件看起来都源自一个可信赖的机构。
由于大多数邮件客户端软件都根据邮件的“From”字段来确定发送者。
当“From”字段出现诸如“AccountServicesaccounts@,”,“Bankmailbankmail@”,或简单的“CitibankCitibank@”时,将立即引起收件人的注意。
伪造“From”字段的方法非常简单,并且广为流传。
用户自然而然地相信一个“From”字段的问题也尽人皆知,并且至少从1988年起,伪造“From”字段就很常见。
然而,这种方式如今仍是一个邮件中最主要的身份识别特征。
更令人沮丧的是,大多数反垃圾邮件客户应用程序(独立程序或集成在邮件客户端中)提供选项,将一些“From”地址设置为“白名单”,使得匹配“From”相关模式的邮件允许通过反垃圾邮件的最后一道防线。
“Received”字段头
每个电子邮件都包含其到达用户邮箱的路径。
从PayPal到一个终端服务器的典型路径如下所示:
收到:
(来自网络的48182号qmail);2005年5月18日15:
46:
48-0000收到:
来自:
(216.113.188.112)
来自,带有SMTP网关;2005年5月18日15:
46:
48-0000收到:
来自:
([10.191.12.207])
来自(Postfix),网关ID为A9CAC11802C
发往customer@;2005年5月18日,星期三,08:
46:
47-0700(PDT)收到:
(来自网络的6332号qmail);2005年5月18日15:
46:
47-0000
而一个典型的网络钓鱼邮件的“Received”路径与其仅有细微的区别:
收到:
(来自网络的68233号qmail);2005年6月2日09:
36:
47-0000收到:
来自(24.81.25.151)
来自,带有网关;2005年6月2日09:
36:
47-0000收到:
来自:
([64.4.244.74])
来自S,带有esmtpID为ABEFBBB123,发往ageddyn@minitru.org;2005年6月2日,星期四,09:
36:
35-0700
idABEFBBB123for;Thu,02Jun200509:
36:
35-0700
从下往上看,两个“Received”字段头都宣称源自PayPal网站。
但是,第二封邮件的信息看起来是从PayPal(在美国)绕道发往加拿大的一个家庭宽带电脑,最后到用户的邮件服务器(回到美国)。
尽管SMTP网关具备储存转发功能,但这样绕道而行不大可能是最优路由。
真正可信的“Received”字段头是被信任邮件服务器前的最后一跳。
在这个例子中,是可信的,因而来自ShawHighSpeedInternet的IP地址(不一定要是域名)可能是正确的。
显然没有理由相信一个家庭的邮件服务器(很可能是垃圾邮件攻击者的邮件中继傀儡网络的一部分),因而在此前的任何一跳站点都不具备真正的可信条件。
检测伪造字段
不幸的是,由于缺乏对“From”字段的真实性进行验证,网络或邮件管理员很难检测伪造的“From”地址。
为了躲开基于Hash的反垃圾邮件措施的防御,网络钓鱼者最近已在“name”和电子邮件信息的“subject”中使用随机信息。
例如,一个网络钓鱼信息可能包含随机字符,类似于:
From:
FakeBankFraudDepartmentic1fraud@。
Subject:
FraudNotificatione
尽管仅仅依靠奇怪的空格和字符并不能确定网络钓鱼信息,但把这些混乱的字符结合特定品牌的字符串(在这个例子中为)就会发现明显的恶意攻击意图。
另一个检测伪造邮件头的办法是比较“Received”字段头中的时间戳。
如果网络钓鱼者修改了“Received”行,时区段经常是空的,或者时间戳不连续。
合法的财务单位一般会在邮件服务器上设置准确的时间,以统一网络中不同机器的登录时间。
工具条:
反MX记录(RMX)
由于伪造“From”字段现象非常普遍,而且伪造的方法非常简单,因此近些年来,为了反垃圾邮件,已经有多个“反MX”记录的提议。
收到一个信息后,用户的邮件交换器会进行DNS查找,以查找邮件中的指定的域,具体的说就是查找RMX记录。
RMX指向授权的外发SMTP服务器的IP地址,而用户的邮件服务器会将RMX与最近的一个“Received”字段对比。
只有当“Received”字段、RMX记录都与“From”域匹配时,邮件才能通过。
这个提法很合理,因为SMTP核心功能的实现主要依赖DNS(即,使用MX记录获得外部域)。
但由于一些复杂性的限制,导致RMX无法广泛推广。
尽管对这个问题的探索并不在本文范围之内,值得注意的是MikeRubel对RMX的推崇引人注目,被大量引用,指出了最直接的实施问题。
他的网址为:
http:
//www.mikerubel.org/computers/rmx_records/。
尽管检测并阻止伪造的SMTP字段对垃圾邮件攻击者来说仅仅是麻烦而已,它对网络钓鱼“行业”来说则有巨大杀伤力。
垃圾邮件攻击者可以创建自己的域,而网络钓鱼者从根本上来说依赖于假冒一个信赖的著名机构,因而将会遭受强有力的RMX系统的沉重打击。
图像插入
为了避开基于文字字符串的垃圾邮件过滤器,一些网络钓鱼团伙会在支持HTML的邮件客户端创建仅显示二进制图像(通常为GIF)的信息,同时提供一串设计好的随机字符和词组来迷惑Bayesian过滤算法。
例如,下面为发送给SouthTrust银行客户的网络钓鱼邮件:
这个看上去像正常的HTML文本,但是查看消息源就会发现:
Thisisamulti-partmessageinMIMEformat.--------------060608080401000901030005Content-Type:
text/html;charset=us-asciiContent-Transfer-Encoding:
7bit
280">part1.07060107.05040003@custservice_id_6142187@"border="0"usemap="#rtaiz">
TennisWarnerBrossAlyssaMilanoXFLCheerleadersMetallica
--------------060608080401000901030005Content-Type:
image/gif;
name="bergman.GIF"Content-Transfer-Encoding:
base64Content-ID:
Content-Disposition:
inline;filename="bergman.GIF"
R0lGODlhYgJrAfOFAAUIAKbK8ICAgABgwACAwCCAwECAwECgwGCgwICgwIDAwP/78AAA/////wAAAAAAACH5BAQAAAAALAAAAABVAmMBAAT/sMlJq7046827/2AojmRpnmiqrmzrvnAsz3Rt33iu73zv/8CgcEgsGo/IpHLJbDqf0Kh0Sq1ar9isdsvter+dhXhMLpvFgYACQQC73/C4/BpAFAiDvH7P7/fngIGCg4QxAQV+[…]
这是一个插入攻击的典型例子。
安全设备(垃圾邮件过滤器)看到的消息与用户最终看到的消息(填入文本的GIF文件)并不相同。
由于Bayesian算法只会对“AlyssaMilano”和“Metallica”文本词组进行分析,而这些词组与垃圾邮件或网络钓鱼邮件并没有明显联系。
因此,带有这些内容的信息很可能通过反垃圾邮件测试。
检测图像插入
尽管“永不允许HTML电子邮件”非常有说服力,但遗憾的是,邮件用户更希望在Internet上使用插入图像和设置文本格式。
因此,邮件管理员必须想出更好的方法来阻止图像插入攻击。
经过仔细分析,发现这类信息具有的几个特征,可以将其与“正常”的HTML电子邮件信息进行区分。
首先,该邮件信息没有纯文本的版本。
为了与不支持HTML浏览的邮件用户兼容,所有正常的电子邮件客户端都提供纯文本版本,并且,金融机构使用的大多数大规模邮件发送器都保持该惯例。
原最初的SMTP协议的标题为:
“RFC822-ARPA因特网文本信息标准”。
事实上所有的实现都会认真对待标准中的“文本”部分。
其次,尽管该网络钓鱼邮件提供了一些文本,与正常文本相比它有两点不同。
网络钓鱼邮件提供的文本显示在插入的图像和链接之后。
这点可能并不奇怪,但是几乎所有的非网络钓鱼信息(垃圾邮件及其它邮件)都以文本简介开头,可能会有些多余的话,比如“请见下图。
”
我们也可发现,标签包含了颜色值“#FFFFF0”,仅比纯白的颜色值少15字节,即使整个文本难以肉眼识别。
反垃圾邮件装置一般已对全白的文本进行检查,并标识信息。
这个规则可被放宽为“几乎全白”,因为肉眼很难分辨不同层次的白色。
最后,该信息的文本部分仅是一串特定的名词,没有标点符号和换行,不像是供人阅读的。
从当前技术来说,设计一个可识别句子语法的垃圾邮件过滤器无疑非常困难,但可以作为未来反制措施的一个考虑方向。
误导及重定向
或许如今网络钓鱼最重要的技术创新是通过邮寄URL的方式来误导用户。
2004年和2005年已经出现了不少这样的迷惑方法。
反垃圾邮件研发人员还在深入研究某个迷惑技术时,新的迷惑方法又出现了。
伪造的“自动生成”链接
当显示消息时,大多数图形邮件客户端都支持将纯文本的HTTP链接转化为可点击的URL,而不需经过HTML处理。
例如,如果仅在电子邮件中写入
那么收件人的邮件客户端会将该文本转化为可点击的链接形式。
该特性经常被网络钓鱼攻击者利用:
网络钓鱼信息显示为纯文本信息,而其实是伪装的HTTP。
一个HTML网络钓鱼邮件可能包含:
//222.82.252.206/Suntrust/">
这样,浏览器会将该HTML简单地显示为:
在受害者看来,这可能是一个常见的链接,或者至少看到使用了HTTPS而增加不少可信度。
当然这是一个表象,尽管使用了“https”文本,该链接依然将会把用户通过HTTP连接到222.82.252.206上。
十六进制编码的URL
网络钓鱼的一个特别之处是十六进制编码的URL。
出于兼容性考虑,大多数邮件代理、网页浏览器以及HTTP服务器均能识别基本的十六进制编码字符,因此:
http:
//210.219.241.125/images/paypal/cgi-bin/webscrcmd_login.php
和
http:
//%32%31%30.%32%31%39%2e%32%34%31%2e%31%32%35/%69%6d%61%67%65%73/paypal/cgi-bin/webscrcmd_login.php
在功能上是相同的。
这种编码方式的主要非法用途为避开基于黑名单的反垃圾邮件过滤器。
这些过滤器不会对十六进制编码进行过滤(实际上是另一个插入攻击)。
该编码方式也避开了许多禁止使用IP地址作为URL目的地址的保护机制。
重叠区域地图标记
在上一个例子中,我们看到如下的HTML:
280">
该HTML文件描述的是重叠在同一个可点击的区域的两个链接。
受害者鼠标在图片(这里为整个信息)上时显示的链接为指向SouthT的外部链接,但是点击该链接时,则把受害者带到“”机器上的端口280。
要稍微提一下的是微软OutlookExpress的近几个版本已经解决了这个问题。
现在鼠标箭头在该HTML上时,将会显示链接,而非链接。
糟糕的是,粗心的用户仍然点击该链接而被带到里面的目的地址。
在这个例子中,里面的目的地址即为攻击者的域名“”。
IE浏览器的当前及其补丁版本的表现更令人吃惊。
其对相同的HTML文件的处理与在OutlookExpress中的处理方式完全相反,并且只显示外部链接,点击后也进入外部链接指向的地址。
对于链接(外部链接、内部链接)优先级的定义不一致是常见的设计缺陷,而这恰恰是网络钓鱼者可能利用的。
开放重定向服务
诸如下面的链接:
http:
//www.google.fr/url?
q=
利用了Google提供的“开放”重定向服务。
在网络钓鱼中,这种链接会深深嵌套在数次重定向中,以掩盖链接的真实目的地址,从而逃避基于黑名单和人工操作的针对垃圾邮件/网络钓鱼的反制措施。
在与十六进制编码结合
升级会员 