網(wǎng)絡(luò)釣魚攻擊的目的包括：

• 竊取數(shù)據(jù)及金融詐騙
• 高級持續(xù)性威脅(APT)
• 惡意軟件傳播

網(wǎng)絡(luò)釣魚這種攻擊方式早就存在，但至今仍受攻擊者青睞。在搭建了合適的釣魚網(wǎng)絡(luò)、收集了信息以及放置誘餌之后，攻擊者可入侵任何公司、組織甚或政府機構(gòu)，造成極大破壞。實際上，時至今日，網(wǎng)絡(luò)釣魚仍是最有效、最受攻擊者歡迎的攻擊向量。

[[203628]]

數(shù)據(jù)竊取與金融詐騙

根據(jù)PhishLabs于2016年所作研究，2015年22%的魚叉式釣魚攻擊的動機均為金融詐騙或其他相關(guān)犯罪。通過這種攻擊方式，攻擊者獲利頗豐，所以該類事件不勝枚舉。例如，2016年初針對木蘭健康公司(Magnolia Health)的攻擊中，一釣魚網(wǎng)絡(luò)假冒該公司CEO發(fā)送郵件。這就是所謂的偽造郵件釣魚攻擊，直接造成公司員工數(shù)據(jù)泄露，包括員工的社保號、工資標(biāo)準(zhǔn)、出生日期、通信地址、姓名全稱以及工號。

當(dāng)然，木蘭公司并非個例。2014年底與2015年初就發(fā)生了有史以來最大的醫(yī)療行業(yè)數(shù)據(jù)泄露事件，這次的目標(biāo)是Anthem公司。該事件泄露了3750萬份數(shù)據(jù)，涉及Anthem員工及病人。黑客竊取了姓名、通信地址、社保號、醫(yī)療識別號、收入數(shù)據(jù)、Email地址等，但并未竊取健康相關(guān)信息。

木蘭公司的數(shù)據(jù)泄露事件確認(rèn)為網(wǎng)絡(luò)釣魚導(dǎo)致，Anthem事件中所運用的實際攻擊方法一直未有定論，不過，有專家認(rèn)為應(yīng)是網(wǎng)絡(luò)釣魚的變種。黑客先獲取了IT管理員憑證，在之后的兩個月中，隨意出入公司的數(shù)據(jù)庫。當(dāng)然，Anthem對失竊文件未進行加密加劇了問題。

美國聯(lián)邦調(diào)查局(FBI)于2016年年中時發(fā)布警告，稱2016年上半年網(wǎng)絡(luò)釣魚攻擊造成的經(jīng)濟損失高達31億美元。這還僅僅是6個月的統(tǒng)計數(shù)字。最主要的威脅來自于企業(yè)郵件入侵(BEC)攻擊。FBI還警告，“BEC詐騙數(shù)量持續(xù)增長，手段不斷翻新，各種規(guī)模的企業(yè)均是其目標(biāo)。自2015年1月以來，確認(rèn)由數(shù)據(jù)泄露造成的損失增長了1300%。全美50個州、全球100多個國家均有此類事件發(fā)生。報告顯示，詐騙金額被轉(zhuǎn)往79個國家，主要是位于中國和香港地區(qū)的亞洲銀行?！?/p>

網(wǎng)絡(luò)釣魚APT

APT也是一種網(wǎng)絡(luò)攻擊者喜歡的攻擊方式?？偟膩碚f，這是一種長期感染或安全漏洞，可能持續(xù)數(shù)周、數(shù)月甚至長達一年而不為人知。這些攻擊中沒有“最常見”的目標(biāo)，基本上，任何人都可能被攻擊。各種規(guī)模的企業(yè)、非盈利組織甚至政府機構(gòu)都可能遭遇APT攻擊。還有一點很重要，APT多與外國政府和軍方有關(guān)，而非常規(guī)的釣魚網(wǎng)絡(luò)。

過去幾年間有數(shù)起成功的APT攻擊。其中最有名的包括2009年的極光行動、2011年的HBGary Federal攻擊、同年發(fā)生的RSA攻擊以及之后的震網(wǎng)(Stuxnet)、APT1(涉及中國軍方)和APT28(涉及俄羅斯軍方)。這些攻擊持續(xù)時長不等，但方法相似，都始于魚叉式釣魚攻擊。

APT有如下特點：

• 持續(xù)進行活動;
• 目的明確;
• 一般針對行事高調(diào)的目標(biāo);
• 屬于“誘捕式”攻擊。

誘捕式攻擊指目標(biāo)一旦上鉤，攻擊者便會長期潛伏，持續(xù)攻擊受害人。多數(shù)釣魚攻擊類似于肇事逃逸，持續(xù)時間相對較短，但APT會持續(xù)很長時間。之所以這樣，部分原因是受害者一般很難發(fā)現(xiàn)攻擊，因而也就無法進行響應(yīng)。

如上所述，APT針對特定目標(biāo)，以實現(xiàn)特定目的。APT的任務(wù)從竊取資金到收集敵對政府的情報甚至是實現(xiàn)政治目標(biāo)不一而足。它們還經(jīng)常針對數(shù)字資產(chǎn)，如核電廠設(shè)計或高科技原理圖。

典型的APT攻擊包括如下6個主要步驟或階段：

1. 攻擊者收集目標(biāo)的信息，常用方法是社會工程，其他方法還包括網(wǎng)頁抓取、通過聊天室和社交網(wǎng)絡(luò)進行人際互動等。
2. 攻擊者構(gòu)造并發(fā)送釣魚郵件和/或消息，內(nèi)容針對目標(biāo)量身定制，真?zhèn)坞y辨，包括真實姓名、電話號碼、地址以及用以騙取信任的其他細(xì)節(jié)信息。
3. 目標(biāo)打開郵件，進行操作：點擊鏈接打開受感染或偽造的網(wǎng)站，或下載受感染的文檔。不管哪種情況，目標(biāo)都已受騙上鉤。
4. 用戶所使用的系統(tǒng)被入侵。
5. 入侵系統(tǒng)接下來會感染目標(biāo)組織、公司或機構(gòu)的整個網(wǎng)絡(luò)。
6. 攻擊者伺機攻擊目標(biāo)獲取數(shù)據(jù)。最后，APT組織會提取數(shù)據(jù)并進行解析和整理。

一旦感染并控制了目標(biāo)，APT實施者便能夠進一步植入惡意軟件、病毒和其他威脅。例如，可部署遠(yuǎn)程訪問木馬(RAT)，讓APT組織長驅(qū)直入，訪問網(wǎng)絡(luò)中的任何數(shù)據(jù)。取得控制權(quán)后，APT組織會潛伏下來，監(jiān)聽并竊取信息，直到受害人發(fā)覺網(wǎng)絡(luò)被入侵，而在這之前，攻擊者一般有充足的時間不慌不忙地收集數(shù)據(jù)。

惡意軟件傳播

有些釣魚攻擊誘騙用戶在假冒網(wǎng)站或Web表單中輸入信息以竊取憑證，而有些則有進一步企圖。惡意軟件由來已久，不過現(xiàn)在的它們比過去要高級得多。在受害者系統(tǒng)中安裝惡意軟件是釣魚網(wǎng)絡(luò)在滲透并感染目標(biāo)公司或組織時最喜歡的一個方法。釣魚組織主要通過兩個手段實現(xiàn)這個目的。

其中一種是通過惡意附件感染目標(biāo)系統(tǒng)。這種情況下，要精心構(gòu)造郵件并發(fā)給個人。郵件中包含附件，或為Word/PDF文件，或為其他格式的文件。無論哪種情況，郵件發(fā)送人看似都很可信，比如，可能是同事、老板、金融機構(gòu)等。

最好的情況是殺毒軟件在此類附件打開前進行掃描并檢測到惡意軟件。然而，即使是最新的殺毒軟件有時也無法對壓縮文件進行徹底掃描，風(fēng)險依然存在。

勒索軟件在釣魚網(wǎng)絡(luò)中的地位日益凸顯，是最可怕的惡意附件之一。不過，勒索軟件還可以通過受感染網(wǎng)站下載，這意味著郵件附件并不是攻擊者的唯一選擇。勒索軟件恰如其名。這種惡意軟件先感染目標(biāo)系統(tǒng)，然后進行加密，這樣就如同控制人質(zhì)一樣控制了硬盤中的所有數(shù)據(jù)。在個人、公司或組織支付贖金后，攻擊者釋放文件。消費者、CEO甚或警察局都曾被如此勒索過。

通過附件傳播惡意軟件時還能使用宏病毒。這種病毒常用于感染微軟Office文件，啟動程序或進行特定操作都會觸發(fā)病毒。

釣魚網(wǎng)絡(luò)感染受害者時使用的另一個手段是惡意鏈接。這種情況下，郵件中包含的不是惡意附件，而是URL。郵件或社交媒體消息的目的是誘騙目標(biāo)點擊鏈接。一旦點擊，計算機中就開始下載代碼，或者用戶被定向至病毒/偽造網(wǎng)站，惡意軟件乘機植入到計算機中。

惡意鏈接比惡意附件更有效，因為釣魚網(wǎng)絡(luò)竭力使消息看起來真實可信。前述木蘭公司攻擊中所使用的郵件就是這樣一個典型例子。郵件內(nèi)容各不相同，但如下幾種最常見：

• 通知用戶其賬戶被黑或遭遇某種惡意行為;
• 通知用戶進行操作以避免賬戶被凍結(jié)或驗證身份;
• 通知用戶檢測到金融賬戶存欺詐行為。

其他類似方法還包括搶注域名和誤植域名，這兩種方法依賴的都是正確拼寫的URL的變體。搶注域名是指注冊和實際公司域名非常類似的域名，然后再模仿真實公司網(wǎng)站偽造另一個網(wǎng)站。誤植域名的過程大同小異，但利用的是輸入公司域名時常見的打字錯誤。

最后，網(wǎng)絡(luò)釣魚仍是攻擊者最靈活、最有效的武器之一。此外，隨著時間的推移，釣魚攻擊有增無減。公司和組織對于此類風(fēng)險總是后知后覺，而在實施安全規(guī)程、進行必要培訓(xùn)以抗擊日益增多的威脅方面行動更為遲緩。之所以這樣說是因為安全事件越來越嚴(yán)重，受影響公司既包括家得寶這樣的零售公司，也包括Anthem這樣的大型企業(yè)集團。

原文鏈接：http://blog.nsfocus.net/phishing-attack-vector/

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文