如何在移動裝置上檢測網路釣魚攻擊
一、概述
在2011年釋出的一份報告中,IBM指出,與計算機使用者相比,移動使用者遭遇網路釣魚詐騙的可能性要高出3倍。在此前的網路釣魚活動中,研究人員分析了網站Web伺服器上的訪問日誌檔案,然後得出了這一結論。
在近10年後,我們繼續看到許多組織釋出的報告中明確提出,針對移動市場的網路釣魚攻擊呈現出增長趨勢。令人驚訝的是,網路釣魚者似乎已經有了最新的首選目標——iPhone使用者。移動安全解決方案提供商Wandera發現,與Android使用者相比,iOS使用者遭遇的網路釣魚攻擊次數是其兩倍之多。
二、行動網路釣魚資料
針對移動端網路釣魚,我們針對當前值得關注的一些內容,進行了資料統計,具體如下:
1. 在 ofollow,noindex" target="_blank">《移動端網路釣魚2018:當今每個現代企業面臨的神話與事實》 白皮書中,Lookout進行了統計,發現自2011年以來,使用者點選網路釣魚連結的速度平均增長了85%。
2. 在最新的 《網路釣魚活動趨勢報告》 中,反釣魚工作組(Anti-Phishing Working Group)透露,支付行業在2018年第一季度中持續被網路釣魚威脅行為者列為首選的目標行業(36%)。
3. 同樣,在反釣魚工作組的報告中還聲稱,所有的網路釣魚站點中,有35%使用了HTTPS協議和SSL證書。
4. 由於Google現在已經將非HTTPS網站標記為“不安全”,預計會有更多網路釣魚者濫用HTTPS網站“值得信賴、合法”的公認概念。
5. 在 《2018年度網路釣魚狀況》 中,Wombat Security重點提到了簡訊網路釣魚作為攻擊媒介這一點。隨著2017年媒體報道的增加,他們認為利用簡訊的行為將繼續呈現增長趨勢,特別是在移動端網路釣魚安全意識較低的國家。
6. PhishLabs在 《2018年網路釣魚趨勢和情報報告》 中表示,電子郵件和線上服務是2017年下半年最易受到攻擊的目標行業(佔比26.1%),其中高度集中於模仿Microsoft Office 365的網路釣魚URL,這也表明針對企業的網路釣魚活動呈現出上升趨勢。
7. 同樣,PhishLab的報告還指出,基於使用者對SaaS(軟體即服務)公司(佔比7.1%)的信任,相應的網路釣魚活動急劇增加。在2015年,針對該目標的攻擊是不存在的,但在接下來的兩年之中增長了一倍以上。
8. Wandera 表示 ,有48%的網路釣魚攻擊都發生在移動裝置上。他們還 聲稱 ,iOS使用者遭遇網路釣魚的可能性比下載惡意軟體高出18倍。
三、行動網路釣魚詐騙型別
網路釣魚攻擊不再僅僅侷限於電子郵件,特別是在移動裝置上的釣魚攻擊。根據移動裝置的固有設計和實際功能,網路釣魚者會選擇合適的策略,讓詐騙資訊被使用者看到,並且設法竊取個人和業務的相關資料。
儘管許多使用者非常熟悉桌面上的網路釣魚行為,但他們實際上並不熟悉網路釣魚的方法,以及手機上可能遇到的一些新型網路釣魚方式,甚至也不熟悉電子郵件網路釣魚。
3.1 簡訊釣魚
SMiShing是指通過簡訊進行的網路釣魚。Android高階分析專家Nathan Collier撰寫了一篇安全文章,描述了他的同事在Android裝置上收到一條釣魚訊息的分析過程,這條訊息自稱來自於一家人力資源公司,推薦了一個Amazon公司Prime專員的職位。
iOS使用者也不斷遭到簡訊釣魚的攻擊。我們在Reddit上發現了一條公開發布的資訊,用於警告其他iPhone使用者提高警惕:
通常情況下,針對iOS的簡訊釣魚中會包含這樣的內容:
在我們收到您的回覆之前,您的Apple ID已經被停用。通過點選{短網址URL}確認您的個人資訊來重新啟用。——蘋果公司。
3.2 語音網路釣魚
Vishing,或語音信箱釣魚(有時也包含VoIP網路釣魚),是指利用裝置的呼叫功能進行網路釣魚。網路釣魚者可能會向目標留下了誘導的留言資訊,可能留下一個讓目標回撥的號碼,也可能直接呼叫目標。其中,留下誘導的留言資訊正是Ars Technica編輯Sean Gallagher在2018年7月發表的一篇iOS網路釣魚騙局文章中所描述的攻擊者策略。根據Gallagher的說法,攻擊者會發送一封電子郵件,將使用者引導到一個虛假的Apple網站,該網站彈出一個對話方塊,並開始呼叫一個名為“AppleCare員工Lance Roger”的人員。AppleCare實際上是Apple提供的延長保修期服務。
針對Android環境,我們發現了最新版本的Fakebank,這是一種能夠攔截銀行簡訊、呼入電話和撥出電話的移動木馬。舉例來說,使用者如果打電話到合法的銀行服務熱線,其呼叫請求會被該木馬重定向到偽裝成銀行工作人員的詐騙者那裡。安全研究人員在面向韓國使用者的惡意APP中發現了這種變體。
語音網路釣魚也可以作為更大規模的企業電子郵件攻擊的一部分。
3.3 其他型別:即時通訊、社交網路和廣告釣魚
應用程式(APP)可以改善使用者的移動體驗。假如沒有這些APP,人們可能會覺得這些手機裝置是一個昂貴又沒有價值的東西。
這些精彩的程式,可以讓使用者在暫時離開臺式計算機的時候訪問個人或工作郵箱,在旅途中通過通訊平臺與家人和朋友保持聯絡,實時觀看和分享媒體內容,以及在等待過程中消除無聊。
不幸的是,網路釣魚者也利用了應用程式的強大功能。如今的網際網路上,充斥著通過移動應用程式實現網路釣魚攻擊的事件。
例如,攻擊者將Facebook的訊息服務Messenger作為一種途徑,偽裝成“流行視訊”進行網路釣魚攻擊。
如果點選這個“視訊”,就會將移動使用者引導至虛假的Facebook視訊登入頁面,然後誘導使用者輸入他們的Facebook憑據。這樣一來,就會進一步向受害者的聯絡人繼續傳送類似的視訊誘餌,從而實現攻擊範圍的擴大。
這就是即時通訊釣魚的案例。同樣,針對其他即時通訊服務,也存在相似的網路釣魚攻擊,比如WhatsApp、Instagram、Viber、Skype、Snapchat以及Slack。
其次,是社交網路釣魚,這是一種濫用社交網站功能來傳播網路釣魚活動的方式。以下是我們捕獲到的通過LinkedIn的InMail功能傳送網路釣魚郵件的示例:
這是社交網路釣魚的另一個示例,一個Twitter帳戶冒充NatWest銀行,並將釣魚內容插入到NatWest銀行客戶和NatWest官方Twitter帳戶之間的實時對話之中,企圖以銀行官方的名義為使用者“解決問題”。
最後,是廣告網路釣魚。在移動裝置上,廣告可以有多種形式:可以是免費應用程式、使用者訪問的網頁、彈出式通知或是橫幅(Banner)廣告。由於應用程式會在後臺與其他服務(例如廣告的相應伺服器)進行通訊,因此可能會使移動使用者面臨網路釣魚或惡意軟體的風險。
這些假冒的應用程式,都以流行的品牌名稱來命名,並承諾使用者下載和安裝後,將會得到某些特權或福利。Google Play商店發現多個虛假Instagram應用程式收集使用者憑據的事件就是一個例子,這些應用程式已經被下載150萬次,並且這些應用程式承諾能夠提升關注者、評論和點讚的數量。
四、行動網路釣魚的檢測
要檢測行動網路釣魚,無疑是一個巨大的挑戰,對於那些未知的釣魚活動和未知的釣魚方式來說更是如此。無論各位的技術水平或所選擇的檢測方式如何,根據經驗,大部分網路釣魚都有跡可循。我們已經有了一個非常全面的清單,可以指導各位排查一般的網路釣魚行為。但是,針對移動使用者,我們還列出了一些潛在的行動網路釣魚跡象,供大家進行參考:
1. 訊息突然出現,聲稱使用者贏得了獎品,或者有帳戶或訂閱服務突然停用(沒有說明具體原因),或者需要使用者迅速進行操作來解決問題。這樣的情況,通常都是社會工程學的伎倆,使用者應該提高警惕。
2. 但考慮到這些通知也有可能是真實的,使用者需要針對真實通知及時做出響應,我們建議使用者應該避免直接點選這些通知中的連結,而是直接訪問合法域名(從瀏覽器書籤中載入,或手動輸入網址),並從合法域名中登入帳戶檢視具體情況。
3. 如果一條訊息來自未知的號碼或未知的發件人,同時訊息聲稱它來自您實際使用的服務,請加倍謹慎。由於幾乎不可能在移動裝置上向服務提供商確認該通知內容是否屬實,因此使用者最好能自行驗證這一通知的真實性,如上面所述,並檢查相關帳戶的可疑活動。如果無法確定,建議聯絡服務提供商的使用者支援部門。
4. 如果訊息中包含偽造的超連結,對於一些使用者來說是顯而易見的,但對於其他一部分使用者來說則難以甄別。瞭解您所使用服務的官方網址URL是非常有用的。如果您認為該連結與以往訪問的網址不太一致,或者有任何懷疑,都應該謹慎行事,避免點選該連結。
5. 訊息使用縮短後的URL(短網址服務)。縮短URL是有效利用字元數有限的訊息服務的一種絕佳方法。但不幸的是,這也會掩蓋可能看起來非常明顯的惡意URL。
6. 如果沒有任何說明,訊息或來電者要求使用者提供個人資訊,則應引起警惕。大多數合法且聲譽良好的企業不會致電或傳送訊息要求使用者提供敏感資訊。在某些情況下,如果銀行懷疑您的帳戶存在潛在的欺詐活動,他們會直接致電。銀行可能會核實使用者的身份,但絕對不會要求使用者提供帳戶密碼或身份證號碼。
7. 如果郵件或來電者不清楚您的姓名,也應該引起警惕。大多數企業,都明確知道他們服務的客戶具體是誰,並且一般會以尊稱的方式直呼其名。
8. 如果訪問的URL沒有綠色掛鎖圖示,這就意味著該網頁沒有使用HTTPS協議。儘管使用HTTPS的不一定都是合法網站,但沒有使用HTTPS的依然需要提高警惕。
9. 如果訪問的URL前面一段是正確的,但後面還包含一些無法解釋的破折號,那麼應該引起注意。網路釣魚這正在使用一些被稱為URL填充的技術,他們建立一些子域名,該子域名由合法的網站地址組成,但後面還帶有連字元,以隱藏真實的域名,並增強假域名的可信度。
在上面的示例中,完整的URL為hxxp://m.facebook.com—————-validate—-step1.rickytaylk[dot]com/sign_in.html,其中rickytaylk[dot]com是真正的域名,m.facebook.com—————-validate—-step1是一個非常長的子域名。考慮到移動裝置的螢幕大小,使用者可能很難直接檢視到完整的URL,但實際上使用者可以將URL複製貼上到記事本等應用程式中,並在其中詳細檢查URL。
同樣,也有一些同形異義詞被用在移動裝置上。幸運的是,現在有很多網際網路瀏覽器,已經被改進為能夠顯示包含可混淆的域名的Punycode版本。
如果使用者在移動瀏覽器上訪問Punycode URL,那麼使用者會收到警告,告知他們所訪問網站的風險性。但是,並不能保證瀏覽器已經充分考慮所有的同形異義詞。根據Wandera的研究,在Android和iOS上的許多通訊和協作工具都沒有將Punycode URL標記為可疑。
Wandera的內容營銷經理Liarna La Porta在一篇 文章 中寫道,
只有Facebook Messenger、Instagram和Skype會通過顯示xn字首的網路預覽的方式,為使用者提供識別PunyCode URL的可能性。在Skype中,不會使用Unicode為域名提供超連結,這就意味著使用者無法直接點選資訊中的URL。儘管這些應用程式沒有提供最佳的防禦方法,但它們至少提供了進一步評估可疑連結的可能性。
五、行動網路釣魚的防禦
2017年4月,一位在某臺灣電子製造公司工作的立陶宛男子,成功對兩家知名企業發起了 網路釣魚攻擊 ,並迫使每家公司都向其支付超過1億美元的“封口費”,而這兩家知名的企業分別是Google和Facebook。
當一個目標具有薄弱的網路釣魚防範意識時,那麼網路釣魚技術已經不再成為一個關鍵的因素。對於桌面使用者來說,防範網路釣魚是一項挑戰。那麼對於具有更多潛在攻擊面的移動裝置來說,使用者就面臨著雙重挑戰,特別是在攻擊者已經針對特定使用者發起攻擊,目標就是竊取移動裝置中的敏感公司資料的情況下。
實際上,網路釣魚的方法早已不再侷限於電子郵件。在移動裝置上使用商業的網路釣魚防範軟體,其實並不足以保護使用者免受攻擊。真正要防範網路攻擊,還需要人和裝置共同的調整:改進移動裝置及其應用程式的安全功能,掌握網路釣魚的甄別方式,並制定措施來應對網路釣魚。