快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

永利总站首存18送28:网络钓鱼攻击技术分析及防范



0 收集钓鱼形势阐发

IE7浏览器开始加入反钓鱼功能,这个功能成为浏览器安然功能的一个选项 - 仿冒网站筛选器。种种IM软件,如QQ等开始呈现提示用户防止被收集钓鱼的安然信息。电子商务、门户、SNS、BLOG等大年夜部分Web2.0热门网站,也 开始看护布告用户防止被收集钓鱼的安然信息。

在传统的使用系统破绽和软件破绽进行入侵进击的可能性越来越小的条件下,收集钓鱼已经徐徐成为黑客们趋附者众的进永利总站首存18送28击手段。同时无论收集相关的客户端软件照样大年夜型的Web网站都开始发觉收集钓鱼已经成为了一个严酷的问题,并积极防御。

1 收集钓鱼道理阐发

收集钓鱼属于社会工程学进击的一种,简单的描叙便是经由过程捏造信息得到受害者的相信并且相应,因为收集信息是呈爆炸性增长的,人们面对各类各样的信息每每难以辨认真伪,依托收集情况进行钓鱼进击是一种异常可行的进击手段。

收集钓鱼从进击角度上分为两种形式,一种是经由过程捏造具有“概率可托度”的信息来诈骗受害者,这里提到了“概率可托度”这个名词,从逻辑上说便是有必然的概 率使人相信并且相应,从道理上说,进击者应用“概率可托度”的信息进行进击,这类信息在概率内恰恰吻合了受害者的相信度,受害者就可能直接相信这类信息并 且相应。而别的一种则是经由过程“身份诈骗”信息来进行进击,进击者必须掌握必然的信息,使用人与人之间的相信关系,经由过程捏造身份,应用这类相信关系捏造信 息,终极使受害者相信并且相应。

信托大年夜家也常常碰到第一种形式的收集钓鱼进击,比如形形色色的虚假中奖信息等。在本日这个Web2.0大年夜行其道的收集上,应用Google、百度来查询姓 名都有可能获得真实的信息,大年夜型的SNS收集社区一个名字就能查询出和你所有相关的人的敏感信息,小我隐私险些都已经不复存在,假如这类敏感信息被用作第 二种形式的钓鱼进击,后果将不堪设想。同时这两种形式的进击道理也被常用作web蠕虫的传播手段,比如使用web利用的消息功能传播蠕虫链接和恶意代码 等,当你收到同伙的信息可能就会直接打开、浏览,蠕虫得以进一步的传播。这里由于收集钓鱼的敏感性,我就不再枚举其他实例,下面先容一些可以被用作收集钓 鱼的Web进击技巧。

2 URL编码结合钓鱼技巧

首先我们要了了一个观点,浏览器除了支持ASCII码字符的URL,还支持ASCII码以外的字符,同时支持对所有的字符进行编码。URL编码便是是将字符转换成16进制并在前面加上“%”前缀, 比如我们将GOOGLE的域名后缀.cn进行URL编码:

http://www.google%2E%63%6E

“.cn”这三个字符便因此每个字符的16进制形式加上“%”前缀,浏览器和办事端都能够正常支持。道理阐发到这,一个进击者是怎么经由过程URL编码 进行钓鱼进击呢?我们知道钓鱼进击者常用的进击手腕便是肴杂URL,经由过程使用相似的域名和内容来骗取受害者的相信,这里就存在一个相似度的值,经由过程URL 编码就能前进URL的相似度,要是我们拥有随意率性一个y19ml1.cn这样的垃圾域名,应用子域名共同URL编码就能前进相似度,比如先制造一个 http://www.google.cn.y19ml1.cn的永利总站首存18送28子域名,经由过程URL编码我们将获得如下URL:

http://www.google.cn%2E%79%31%39%6D%6C%31%2E%63%6E

可以想象,一个通俗用户在浏览相信度极高的网站时,被进击者应用“概率可托度”信息和“身份诈骗”信息共同相似度极高的URL,在惯性思维下很难分辨一个URL的真伪。

3 Web破绽结合钓鱼技巧

近两年来,XSS漏敞开始成为Web破绽中的一个大年夜热门,XSS破绽的特点便是能够在网页中插入javascript运行,javascript险些能做 任何工作,传统的XSS破绽进击可能是直接获取客户端和办事真个会话,可能是制作Web蠕虫进击全部Web办奇迹务,撇开使用XSS破绽针对Web办事进 行直接永利总站首存18送28进击的风险,XSS破绽还能被用作钓鱼进击!为了更深入懂得XSS钓鱼的迫害,我这里举一个简单的例子,网页中被插入随意率性的javascript运 行,是能够做到直接窜改页面的,将如下的javascript代码放入任何一个已有内容的网页,将清空原有内容被写入随意率性内容。

window.onload=function Phish(){

document.open();

document.clear();

document.write(’Phshing Attack By 80sec’);

document.close();

}

当钓鱼进击者使用网站的Web破绽进行钓鱼,网站治理员到这里应该意识到问题的严重性,这类钓鱼进击并不永利总站首存18送28是针对网站的Web办奇迹务进行进击,而是使用网 站的相信度对网站所有的用户进行进击!当用户进入自己相信的网站而浏览的却是钓鱼网页,我想对网站的袭击是无法评估的。

4 捏造Email地址结合钓鱼技巧

捏造Email地址乍看起来很艰苦,然则常常打仗邮件办事器的技巧职员应该知道,我们是可以经由过程邮件代理办事器发送匿名邮件的,在没有邮件代理办事器的情 况下可以在本地架设办事器发送匿名邮件,以致可以直接使用WEB脚本法度榜样应用虚拟主机、WEB办事器的邮件办事发送匿名邮件。经由过程邮件代理办事器可以直接 改动邮件原始信息中MIME头的FROM字段,也便是发件人地址,使用这种匿名邮件可以捏造任何人的身份发送邮件。如下面的部分原始邮件头信息:

Received: from localhost (unknown [210.191.163.131])

by 192,168.1.1 (Postfix) with ESMTP id 8D20F606002

for <rayh4c@80sec.com>; Tue, 23 Dec 2008 10:03:08 +0800 (CST)

Subject: 中奖了!

MIME-Version: 1.0

From: “admin” <admin@gmai永利总站首存18送28l.com>

To: rayh4c@80sec.com

MIME头中的FROM字段是可以节制的,我们这里捏造成了admin@gmail.com的地址,而现在所有的邮件办事商对这类匿邮件并没有提 供防护步伐,造成的后果是一个钓鱼进击者能够捏造任何人、任何官方的身份发送钓鱼邮件,而一个通俗用户是完全无法辨认信息真伪的。

5 浏览器破绽结合钓鱼技巧

浏览器的地址栏诈骗破绽和跨域脚本破绽可以实现完美的钓鱼进击,地址栏诈骗破绽实现的效果便是进击者可以在真实的URL地址下捏造随意率性的网页内容,跨域脚 本破绽实现的效果是可以跨域名跨页面改动网站的随意率性内容,当我们造访一个URL返回给却是进击者可以节制的内容,假如这里捏造是一个钓鱼网页内容,通俗用 户将无从分辨真伪。浏览器的相关破绽,详细可以参考liudieyu发明的Chrome浏览器地址栏诈骗破绽、80sec发明的ms08-058和第三方 浏览器的部分破绽。

这种钓鱼进击是最严重的,由于这类进击使用的是客户端软件破绽,完全不受办事端法度榜样和收集情况的限定,是网站治理员无法节制的,大年夜家只能在知道破绽的环境下积极打上软件补丁,或应用安然软件修补客户端软件的破绽。

6 若何警备收集钓鱼进击

收集钓鱼进击从警备的角度来说也可以分为两个方面,一个方面是对钓鱼进击使用的资本进行限定,一样平常钓鱼进击所使用的资本是可控的,比如WEB破绽是Web 办事供给商可以直接修补的,比如邮件办事商可以应用域名反向解析邮件发送办事器提醒用户是否收到匿名邮件,比如使用IM软件传播的钓鱼URL链接是IM服 务供给商可以封杀的。别的一个方面是弗成节制的行径,比如浏览器破绽,大年夜家就必须打上补丁防御进击者直接应用客户端软件破绽提议的钓鱼进击,各个安然软件 厂商也可以供给修补客户端软件破绽的功能。同时各大年夜网站有使命保护所有用户的隐私,有使命提醒所有的用户防止钓鱼,前进用户的安然意识,从两个方面积极防 御钓鱼进击。

7 内容关键字匹配URL主动检测钓鱼进击

现在的收集钓鱼进击并未做到主动防御,不过欣慰的是可以看到海内如QQ等IM软件,开始提醒用户不要打开未知的弗成信的链接,防止用户被诈骗。收集钓鱼攻 击还可以经由过程内容关键字匹配URL进行主动检测,我们知道现在收集上的网页木马等恶意代码横行,杀毒软件供给了查杀网页恶意代码的功能,这类查杀要领最初 是应用恶意代码关键字特性进行查杀,而收集钓鱼也是拥有钓鱼关键字,这些关键字大年夜都具有趋利性子,充溢了大年夜量的虚假信息,这类信息也是具有特性的,比如中 奖、种种银行账号、虚假电话号码等,我们可以按照杀毒软件的模式建立起一个钓鱼的关键字特性库共同URL特性进行匹配阐发,在必然法度榜样上主动检测或防御钓 鱼进击。

8 后记

除开应用Web进击技巧进行钓鱼,进击者还可以应用收集协议破绽进行钓鱼,比如大年夜家已知的ARP进击、DNS挟制、DHCP挟制破绽等,总之收集进击技巧 是层出不穷的,但防御手段也会跟着进击技巧赓续更新,只有维持积极防御的立场才能做到最大年夜化的防御。别的弥补一点,我国对付收集钓鱼欺骗的立法还不敷完 善,一些收集钓鱼欺骗在入罪量刑时仍沿用了传统的对入罪量刑标准,不能表现收集犯罪等新型犯罪的特征,比如欺骗金额在2000元以下的罪案并没有在刑法中 量刑,这对付收集钓鱼欺骗金额的小额多量的散播式特点是无法很好的取证的,盼望国家能进一步完善相关司法。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: