9.2 骗术

如果攻击者无法识别可供利用的漏洞,他们可能退而采用骗术。在安全界中社会工程这个术语已经存在了多年,描述的是利用劝诱以及/或欺骗得到数字信息访问权的这种技术。

这种攻击近年来已经得到了技术上的强大推动,出现了新的术语来描述基本的骗术和高级的技术骗局的这种融合。新近最流行的表达是网络仿冒(Phishing),这实际上是使用互联网技术实施的经典社会工程攻击。但是,这种攻击的影响并没有因为使用经典的方式而减少,根据某些估计,每年都给消费者带来超过10亿美元的损失——这个数字还在稳定地增长。

本节研究些经典的攻击和对策,告诉你避开这种陷阱的个性化方法。

网络仿冒

根据来自反网络仿冒工作小组(Anti-Phishing Working Group,APWG)的统计数字和我们自己的直接经验,网络仿冒骗局的常见特点包括:

·针对在线财务网站的用户

·无效或者非法的源地址

·使用熟悉的品牌形象模仿真实网站

·利用催促强迫操作

我们更详细地来研究这些特点。

网络仿冒欺骗一般是针对财务网站的用户,特别是在网上进行许多财务事务或者管理财务账户的用户。俗语有云:“为什么罪犯抢劫银行?因为那里有钱。”APWG的2009年第4季度“网络仿冒活动趋势报告”指出,在报告里扫描的21528736台电脑中,47.87%受到了感染,15.58%带有可能窃取凭据的银行特洛伊木马,8.47%带有可能随时安装其他恶意软件的下载器。最受关注的受害者包括网上银行客户、eBay和PayPal用户、具有网上业务的较大区域性银行以及顾客用信用卡或者PayPal付账的机构。所有这些组织通过网上财务管理/事务服务支持着数百万顾客。你是这些机构的顾客吗?如果是,那么就可能已经或者很快会收到仿冒的电子邮件。

人所共知,网络仿冒能手非常不想被逮住,因此大部分仿冒骗局都以无效或者非法的源地址作为基础。仿冒邮件一般具有假造的“来源”地址解析,指向不存在或者无效的电子邮件账户,而且一般通过受到侵害的计算机上的非法电子邮件引擎发送,从而无法通过标准的邮件首部检查技术跟踪。同样,受害者按照指引输入敏感信息的网站也是在互联网上遭到入侵的系统上的非法临时操作基地。APWG引用统计数字指出,仿冒网站的平均寿命不过几天。如果你以为仿冒很容易通过跟踪攻击者来消灭,就需要再认真地反思一下。

大部分网络仿冒攻击的成功也是基于使用熟悉的品牌形象模仿真实网站。同样,尽管这种攻击似乎是技术驱动的,但是根源则纯粹是人类的骗局。看看图9-5中的欺诈仿冒邮件。横幅和签名行中的图像直接取自paypal.com主页,给这些信息带来了真实的感觉。信息本身只有短短几行文字,没有这些相伴的形象,就可能会被舍弃。整条信息中散布的“商标”符号也利用了这个主题。

图9-5 针对PayPal顾客的仿冒电子邮件

提示  精明的公司可以定期检查Web服务器日志中的HTTP引用条目了解其客户是否遭到仿冒攻击,这些条目指出欺诈网站指向真实网站的图像。尽管复制这些图像很简单,但是许多仿冒网站不去做这些麻烦的事情,从而在它们所仿冒的网站里留下了痕迹。

当然,在这段信息末尾的“更新你的记录……”链接将用户带到与PayPal无关的欺诈网站,这些网站假扮真实网站的类似形象。许多仿冒骗局用文本拼写链接,似乎链接到一个合法的网站,同样是为了假扮真实网站(尽管外观如此,这个邮件中的真实链接不会指向paypal.com!)。更曲折的是,更高级的攻击者使用浏览器漏洞或者抛出一个虚假的跨越地址栏的脚本窗口,假扮真实的位置。例如,“IE improper URL canonicalization(IE错误URL规范化)”漏洞在2004年早期广泛地为仿冒骗局所利用。(参见“参考与延伸阅读”小节)。

最后看看图9-5,我们发现仿冒者利用催促强迫操作的一个例子,仿冒者使用了“……未能更新你的记录将导致账户被挂起。”这样的句子。PayPal用户可能在受到这个警告时未作深思即采取行动。除了提高信息的整体真实性和影响之外,这对欺诈的成功是十分关键的,因为它在最短的时间内驱使最多的用户前往欺诈网站,最大化了收获的用户信息。记住,仿冒网站通常只存在几天。

当然,在欺诈专家获得受害者的敏感信息之后,由此引发的大屠杀所带来的决不只是一种紧迫感。身份盗窃包括了接管账户,以及使用从欺诈之类的仿冒活动收集的信息开立新的账户。即使受害者受到常见的金融业用于消除账户未授权使用的方法的保护,但是他们的信用和个人声誉可能受到不公正的玷污,有些人需要花费数月甚至数年才能恢复财务健康。

点击劫持

基于老的浏览器显示缺陷的一种新威胁可能导致受害者对他们当前在其他选项卡或者窗口登录的网站进行不情愿的操作。这种特殊现象被Jeremiah Grossman和Robert Hanson在2008年命名为点击劫持(clickjacking),利用了不可见的页框覆盖欺骗用户点击网站A,而实际上点击的是网站B中的一个元素。这种操作产生了大量问题。在点击劫持之前,用户在成为仿冒攻击目标时有更明显的征兆。

攻击的信号是冗长可疑的URL、无效的SSL证书或者请求你点击一个链接的用词拙劣的电子邮件。导致用户对其他网站进行操作的最主要的攻击类型之一是跨站请求伪造(CSRF),我们在第4章中对此已经做过介绍。对CSRF攻击的最常见保护性措施是每次装入表单时使用一个唯一的表单随机值。

点击劫持将受害者的鼠标放置在希望受害者点击的区域之上来绕过这种形式的保护。使用CSS和JavaScript隐藏元素,攻击者在受害者希望点击的按钮之上装入另一个页面。因为受害者确实登录到另一个页面,所以没办法跟踪这样的攻击。这种攻击最早是用对Adobe Flash Player中的Adobe全局设置进行的修改来证明的。在这种攻击中,目标可能受到欺骗而点击一个启用Web摄像头和麦克风的按钮,使得攻击者可以从视觉上和音频上监控受害者。更多关于点击劫持的信息参见“参考与延伸阅读”小节。

恶意的IFRAME

恶意的IFRAME标记越来越多地被用来破坏Web客户端保护机制,用新的高级仿冒技术来攻击用户。许多流行网站依靠成为攻击者重要目标的第三方广告提供商,攻击者将恶意的内容注入这些广告之中。2009年,《纽约时报》网站成为恶意IFRAME的受害者,这些IFRAME就是通过他们的第三方广告提供商交付的。这种IFRAME谎称在受害者的电脑上运行某种防病毒软件,当受害者运行该软件时就会被感染,如下所示。

之后,这个“防病毒”程序建议受害者购买这个软件清除这种感染。

攻击网上广告系统中的弱点是计算机犯罪中日益普遍采用的方法。其他网站如FoxNews.com已经被利用来进行相似的攻击。这种虚假防病毒广告的创建者使用可信的新闻网站对未起疑心的用户发动攻击。受害者输入信用卡信息购买这个虚假的软件,然后攻击者在资金存入之后,很可能转换方向,将受害者信用卡信息卖给其他犯罪分子,同时还安装一个后门、木马或者将受害者变成僵尸网络的一个节点。这是三倍的打击!

网络仿冒对策

互联网上充斥着关于如何避免和应对仿冒骗局的建议,这归功于这种骗局的迅速流行(很遗憾)。我们在“参考与延伸阅读”小节中列出我们认为最有帮助的资源。本小节提供对某些对抗仿冒的关键策略的简短概述。

最近兴起了一些新的网络服务,帮助最终用户识别仿冒骗局。例如,Microsoft、Google和其他主流搜索提供商在它们的索引中,对已经识别的潜在仿冒骗局或者包含恶意软件的网站做了标记。Mozilla Firefox也实现了一种内建的功能。这种已知危险网站的列表以防病毒软件更新病毒定义的相同方式保持最新。例如,使用Google进行搜索时,你可能注意到搜索结果中的链接之下有“这个网站可能危害你的计算机”这样的信息。如果你点击该链接,可能会看到一条警告信息,提示继续访问该网站的风险。Google使用一个恶意软件站点交易大厅(Badware clearinghouse)识别索引中潜在的危险站点。许多商业伙伴提交了已知的恶意软件宿主网站。关于这种信息收集方法的更多信息参见http://www.stopbadware.org。当浏览的Google结果包含已被识别为风险的危险内容时,用户可能看到下图的信息:

Internet Explorer、Firefox和Chrome使用相似的信息帮助阻止用户访问邪恶的网站。另一种可能拯救用户的技术是以普通文本格式阅读电子邮件,降低仿冒者关键工具之一——使用熟悉的品牌形象假扮真实的有效性。此外,普通文本电子邮件使你能明显地看到嵌入的欺诈超链接,因为它们在以普通文本查看时出现在尖括号中(<>)。例如,下面是以HTML查看时一般作为下划线蓝色嵌入文本的一个超链接:


Click here to go to our free gift site!

以普通文本查看时,这个链接带有尖括号,如:


Click here <http://www.somesite.com> to go to our free gift site!

为了对抗恶意IFRAME攻击,Web开发人员可以将一个名为X-FRAME-OPTIONS的HTTP响应首部和HTML页面一起发送,限制页面框架的使用。如果X-FRAME-OPTIONS包含DENY标志,当页面包含在一个框架中时,IE8将阻止页面显示。如果包含SAMEORIGIN标志,IE只在顶级浏览上下文与包含X-FRAME-OPTIONS指令的内容来源不同时才阻止显示。

最后一点(但不是最不重要的),我们建议在处理互联网上的所有事物,特别是主动提供的电子邮件时,采取一种明智的怀疑态度。我们的建议是永远不要点击主动提供的电子邮件中的超链接。如果你担心这种信息,打开一个新的浏览器,手工输入URI(例如,www.paypal.com),或者点击已知无害的收藏。还要确保在与其他网站交互之前,从银行、信用卡或者其他敏感数据存储中注销,以避免点击劫持。这种习惯不难保持,将会明显地减少受到仿冒攻击的可能性。