2018年12月07日
前言
11月、12月都是一場(chǎng)網(wǎng)絡(luò)購(gòu)物季的狂歡,無(wú)論是國(guó)內(nèi)的”雙十一“、”雙十二“,還是美國(guó)的”黑五“和”網(wǎng)絡(luò)星期一“,參與人數(shù)和創(chuàng)造的銷售額每年都在刷新紀(jì)錄,有錢的捧個(gè)錢場(chǎng),沒(méi)錢的捧個(gè)人場(chǎng),國(guó)內(nèi)的買完了就去買國(guó)外的。在雙十一期間,很多國(guó)內(nèi)安全團(tuán)隊(duì)和安全實(shí)驗(yàn)室都發(fā)布了安全購(gòu)物指南,有的談消費(fèi)者如何避免成為網(wǎng)絡(luò)欺詐的受害者,有的幫助真心賣貨的商家抵御惡意羊毛黨,還有的聊了網(wǎng)絡(luò)購(gòu)物季背后的地下黑產(chǎn)。
在這篇文章里,國(guó)內(nèi)網(wǎng)絡(luò)購(gòu)物的安全情況就不再贅述了,主要聊聊美國(guó)購(gòu)物季上網(wǎng)絡(luò)黑手的兩大套路,幫助伙伴們?cè)诳缪笙M(fèi)時(shí)規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)釣魚
Carbon Black的《假日網(wǎng)絡(luò)安全》研究報(bào)告指出,魚叉式網(wǎng)絡(luò)釣魚攻擊占比最高,通常是將包含惡意代碼\軟件的文件偽裝成正常業(yè)務(wù)往來(lái)郵件的附件,或是引誘用戶點(diǎn)擊郵件內(nèi)容中的惡意鏈接。以前類似的網(wǎng)絡(luò)攻擊主要針對(duì)消費(fèi)者個(gè)人,現(xiàn)在有轉(zhuǎn)向大品牌工作人員、供應(yīng)鏈合作伙伴的趨勢(shì),直接瞄準(zhǔn)以百萬(wàn)計(jì)的客戶記錄和信用卡號(hào)碼,受損企業(yè)往往要付出極高的成本來(lái)解決相關(guān)事件。
電子郵件對(duì)于國(guó)外本土消費(fèi)者和我國(guó)海購(gòu)黨來(lái)說(shuō)是主要的信息傳遞和確認(rèn)渠道,在購(gòu)物季用戶的郵箱常常塞滿了各種確認(rèn)函、活動(dòng)邀請(qǐng)、發(fā)貨清單或者通知之類的主題郵件,網(wǎng)絡(luò)犯罪分子正是利用這一點(diǎn),采用長(zhǎng)得很像的電子郵件地址或者直接偽造大大品牌客服郵箱來(lái)群發(fā)假冒上述主題的郵件。
1. 附件里的好東西都是送你的,要不要?
可能躺在用戶收件箱里誘惑最大郵件是偽裝成贈(zèng)送電子禮品卡、優(yōu)惠券的一些了。
點(diǎn)擊其中附件將下載包含惡意Office宏代碼的Word,然后用戶打開該文檔是就會(huì)將Geodo/Emotet網(wǎng)銀木馬釋放到本地,或者讓受害者接受退款、進(jìn)行支付等。危害最大的還是針對(duì)品牌商的網(wǎng)絡(luò)攻擊,通過(guò)接管管理員賬戶來(lái)進(jìn)行針對(duì)旗下用戶的大面積的魚叉式網(wǎng)網(wǎng)絡(luò)釣魚攻擊。
2. 惡意廣告:點(diǎn)我你就上當(dāng)了
隨著各大品牌在年底消耗最后一波預(yù)算,惡意廣告在網(wǎng)絡(luò)購(gòu)物季期間也變得更加活躍。
投放惡意廣告的人都是機(jī)會(huì)主義者,他們也會(huì)根據(jù)當(dāng)前的環(huán)境增加投入、調(diào)整投放的頻次和位置來(lái)獲取更多的黑色利益。只要投資回報(bào)率還可以,他們的商業(yè)模式或者說(shuō)是黑產(chǎn)的雪球就會(huì)越滾越大,將數(shù)據(jù)、受感染的設(shè)備大量變現(xiàn),甚至將業(yè)務(wù)出租給別人。在2018年美國(guó)感恩節(jié)假期期間,光某一家安全廠商就檢測(cè)到和阻止了2000萬(wàn)次攻擊。攻擊者在大量的網(wǎng)絡(luò)平臺(tái)之間不斷切換,平臺(tái)管理員往往疲于應(yīng)對(duì)且效果不佳。
水坑攻擊
水坑攻擊是一種看似簡(jiǎn)單但成功率較高的網(wǎng)絡(luò)攻擊方式。攻擊目標(biāo)多為特定的團(tuán)體(組織、行業(yè)、地區(qū)等)。攻擊者首先通過(guò)猜測(cè)(或觀察)確定這組目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站,然后入侵其中一個(gè)或多個(gè)網(wǎng)站,植入惡意軟件。在目標(biāo)訪問(wèn)該網(wǎng)站時(shí),會(huì)被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行,導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染。按照這個(gè)思路,水坑攻擊其實(shí)也可以算是魚叉式釣魚的一種延伸。
目前多數(shù)國(guó)內(nèi)外電商使用的廣告網(wǎng)絡(luò)平臺(tái)是實(shí)施水坑攻擊的有效途徑。水坑攻擊可以通過(guò)攻擊目標(biāo)網(wǎng)站使用的廣告網(wǎng)絡(luò)來(lái)執(zhí)行。這涉及將惡意網(wǎng)站廣告或者惡意廣告 (文字或圖片)插入到將被傳送到不同網(wǎng)站的跳轉(zhuǎn)廣告。由于大部分網(wǎng)站都使用同一廣告網(wǎng)絡(luò),因此布設(shè)攻擊網(wǎng)絡(luò)時(shí)可以達(dá)到事半功倍的效果。
在網(wǎng)絡(luò)購(gòu)物季期間,越來(lái)越多的水坑攻擊案例浮出水面。這種攻擊方式付出的精力要比交叉式網(wǎng)絡(luò)釣魚多,以前多用于商業(yè)間諜、國(guó)家間的網(wǎng)絡(luò)暗戰(zhàn)等領(lǐng)域。現(xiàn)在,攻擊者正在使用這種技術(shù)來(lái)瞄準(zhǔn)大品牌和忠于它們的客戶。水坑攻擊應(yīng)當(dāng)成為是電子商務(wù)網(wǎng)站的主要關(guān)注點(diǎn),在面對(duì)這些攻擊時(shí),不僅僅是IT部門要出錢出力,網(wǎng)站、Web管理員、市場(chǎng)部門也不能袖手旁觀, 隨著水坑攻擊面的擴(kuò)大,現(xiàn)在網(wǎng)絡(luò)安全技術(shù)問(wèn)題已經(jīng)演變品牌聲譽(yù)問(wèn)題了。
最典型的例子是JSONP,它可以通過(guò)發(fā)起JavaScript的跨域請(qǐng)求來(lái)繞過(guò)同源策略。然而,繞過(guò)同源策略會(huì)導(dǎo)致不同源或域之間的數(shù)據(jù)泄漏。而且,尤其是當(dāng)JSONP涉及到了用戶的數(shù)據(jù)信息時(shí),這樣是極其危險(xiǎn)的。既然JSONP請(qǐng)求/回應(yīng)能夠繞過(guò)同源策略,那么惡意網(wǎng)站便能夠通過(guò)這種機(jī)制,讓目標(biāo)主機(jī)發(fā)起跨域JSONP請(qǐng)求,并使用”腳本”標(biāo)簽來(lái)讀取用戶的隱私數(shù)據(jù)。
怎么辦
在個(gè)人平時(shí)使用網(wǎng)絡(luò)銀行和網(wǎng)上購(gòu)物的過(guò)程中,可以做到以下幾點(diǎn)來(lái)防范網(wǎng)絡(luò)釣魚和水坑攻擊:
在登陸不是經(jīng)常訪問(wèn)的銀行網(wǎng)站時(shí),要注意核對(duì)最終的跳轉(zhuǎn)頁(yè)面與原始鏈接的區(qū)別,觀察是否存在多級(jí)跳躍。當(dāng)發(fā)生這種情況的時(shí)候,容易進(jìn)人釣魚網(wǎng)站。
在收到其他朋友或者陌生人傳來(lái)的即時(shí)在線消息的時(shí)候,要注意查看跳轉(zhuǎn)地址是否與真實(shí)地址一致。有時(shí)候這些消息還有可能是由聊天bot發(fā)出的。這時(shí)候與朋友取得其他途徑的聯(lián)系來(lái)核對(duì)時(shí)最有效的辦法。
收到陌生人發(fā)送的電子郵件時(shí),并察覺到任何異常時(shí),比如鎖定的網(wǎng)頁(yè)地址,透明的窗口等異常時(shí),一定要及時(shí)停止操作,這樣就不會(huì)被攻擊者利用,從而避免經(jīng)濟(jì)損失。
小編覺得能夠做到以上幾點(diǎn)的普通用戶并不多,哪怕做到了還是難以徹底防范這兩種攻擊方式。如果真的買了很多東西:
一則是打開本地安全軟件的郵件和流量掃描功能為好;
二則當(dāng)在線郵箱提示郵件內(nèi)容或附件不安全時(shí),真的不要打開,不能當(dāng)成注冊(cè)機(jī)、破解補(bǔ)丁常說(shuō)的“請(qǐng)把我加入白名單,某衛(wèi)士都是誤報(bào)”之類的來(lái)處理。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢、評(píng)估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。