当钓鱼攻击者利用网站的Web漏洞进行钓鱼,网站管理员到这里应该意识到问题的严重性,这类钓鱼攻击并不是针对网站的Web服务业务进行攻击,而是利用网 站的信任度对网站所有的用户进行攻击!当用户进入自己信任的网站而浏览的却是钓鱼网页,我想对网站的打击是无法评估的。
4 伪造Email地址结合钓鱼技术
伪造Email地址乍看起来很困难,但是经常接触邮件服务器的技术人员应该知道,我们是可以通过邮件代理服务器发送匿名邮件的,在没有邮件代理服务器的情 况下可以在本地架设服务器发送匿名邮件,甚至可以直接利用WEB脚本程序使用虚拟主机、WEB服务器的邮件服务发送匿名邮件。通过邮件代理服务器可以直接 修改邮件原始信息中MIME头的FROM字段,也就是发件人地址,利用这种匿名邮件可以伪造任何人的身份发送邮件。如下面的部分原始邮件头信息:
Received: from localhost (unknown [210.191.163.131])
by 192,168.1.1 (Postfix) with ESMTP id 8D20F606002
for <rayh4c@80sec.com>; Tue, 23 Dec 2008 10:03:08 +0800 (CST)
Subject: 中奖了!
MIME-Version: 1.0
From: “admin” <admin@gmail.com>
To: rayh4c@80sec.com
MIME头中的FROM字段是可以控制的,我们这里伪造成了admin@gmail.com的地址,而现在所有的邮件服务商对这类匿邮件并没有提 供防护措施,造成的后果是一个钓鱼攻击者能够伪造任何人、任何官方的身份发送钓鱼邮件,而一个普通用户是完全无法辨认信息真伪的。
5 浏览器漏洞结合钓鱼技术
浏览器的地址栏欺骗漏洞和跨域脚本漏洞可以实现完美的钓鱼攻击,地址栏欺骗漏洞实现的效果就是攻击者可以在真实的URL地址下伪造任意的网页内容,跨域脚 本漏洞实现的效果是可以跨域名跨页面修改网站的任意内容,当我们访问一个URL返回给却是攻击者可以控制的内容,如果这里伪造是一个钓鱼网页内容,普通用 户将无从分辨真伪。浏览器的相关漏洞,具体可以参考liudieyu发现的Chrome浏览器地址栏欺骗漏洞、80sec发现的ms08-058和第三方 浏览器的部分漏洞。
这种钓鱼攻击是最严重的,因为这类攻击利用的是客户端软件漏洞,完全不受服务端程序和网络环境的限制,是网站管理员无法控制的,大家只能在知道漏洞的情况下积极打上软件补丁,或使用安全软件修补客户端软件的漏洞。
6 如何防范网络钓鱼攻击
网络钓鱼攻击从防范的角度来说也可以分为两个方面,一个方面是对钓鱼攻击利用的资源进行限制,一般钓鱼攻击所利用的资源是可控的,比如WEB漏洞是Web 服务提供商可以直接修补的,比如邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件,比如利用IM软件传播的钓鱼URL链接是IM服 务提供商可以封杀的。另外一个方面是不可控制的行为,比如浏览器漏洞,大家就必须打上补丁防御攻击者直接使用客户端软件漏洞发起的钓鱼攻击,各个安全软件 厂商也可以提供修补客户端软件漏洞的功能。同时各大网站有义务保护所有用户的隐私,有义务提醒所有的用户防止钓鱼,提高用户的安全意识,从两个方面积极防 御钓鱼攻击。
7 内容关键字匹配URL主动检测钓鱼攻击
现在的网络钓鱼攻击并未做到主动防御,不过欣慰的是可以看到国内如QQ等IM软件,开始提醒用户不要打开未知的不可信的链接,防止用户被欺骗。网络钓鱼攻 击还可以通过内容关键字匹配URL进行主动检测,我们知道现在网络上的网页木马等恶意代码横行,杀毒软件提供了查杀网页恶意代码的功能,这类查杀方式最初 是使用恶意代码关键字特征进行查杀,而网络钓鱼也是拥有钓鱼关键字,这些关键字大都具有趋利性质,充满了大量的虚假信息,这类信息也是具有特征的,比如中 奖、各类银行账号、虚假电话号码等,我们可以按照杀毒软件的模式建立起一个钓鱼的关键字特征库配合URL特征进行匹配分析,在一定程序上主动检测或防御钓 鱼攻击。
8 后记
除开使用Web攻击技术进行钓鱼,攻击者还可以使用网络协议漏洞进行钓鱼,比如大家已知的ARP攻击、DNS劫持、DHCP劫持漏洞等,总之网络攻击技术 是层出不穷的,但防御手段也会随着攻击技术不断更新,只有保持积极防御的态度才能做到最大化的防御。另外补充一点,我国对于网络钓鱼