旨在窃取用户数据和金钱的网络欺诈主要有两种类型:网络钓鱼和诈骗。网络钓鱼者主要试图从受害者那里获取机密信息,如证书或银行卡详细信息,而诈骗者则利用社会工程来说服目标自动转账。
“网络钓鱼”一词最早出现在1996年,到21世纪初,慈善已经成为一个常见的诈骗话题:例如,在2004年印度洋大地震和海啸之后,用户收到了来自虚假慈善机构的捐款请求。大约在同一时间,网络钓鱼者开始瞄准在线支付系统和互联网银行。由于当时的用户帐户仅由密码保护,攻击者可以通过钓鱼获取这些信息来获取受害者的资金。为了做到这一点,他们以PayPal等公司的名义发送电子邮件,要求用户访问一个显示公司标志的假网站,并输入他们的凭证。为了让他们的网站看起来更可信,网络攻击者注册了多个域名,这些域名都与原来的域名非常相似,只差两三个字母。粗心的用户很容易把假的误认为是真正的银行或支付系统网站。此外,诈骗者经常使用受害者自己社交媒体页面上的个人信息,使其攻击更有针对性,从而更成功。
随着时间的推移,网络诈骗变得越来越复杂和有说服力。网络攻击者学会了如何成功模仿品牌的官方网站,使它们与原始网站几乎没有区别,并找到了接近受害者的新方法。出现了专门制作虚假内容的服务,这时网络钓鱼才真正开始流行起来。现在,不仅普通用户的个人数据和财务状况受到了攻击,政客和大企业也受到了攻击。
本文会介绍2022年的主要网络钓鱼趋势、方法和技术。
钓鱼者可以攻击任何在线服务中的证书:银行、社交网络、政府门户网站、在线商店、邮件服务、快递公司等。但是,顶级品牌的客户往往面临风险,因为人们比小品牌更喜欢使用和信任顶级品牌,这增加了攻击成功的可能性。
为了获取梦寐以求的信息,网络攻击者试图说服受害者,让他们相信他们登录的是各自公司或服务的真实网站,或者他们正在与公司员工分享他们的证书。通常情况下,假网站看起来和原来的网站没有什么不同,即使是有经验的用户也可能被骗。钓鱼者巧妙地复制官方网站的布局和设计,在他们的页面上添加额外的细节,比如支持实时聊天(通常是不活跃的),并链接到真实的服务,以激发信心。
具有聊天支持的网络钓鱼网站
最近,除了网络钓鱼,vishing(语音钓鱼)也呈上升趋势。诈骗者要么直接打电话给受害者,要么使用各种技巧让受害者打电话,然后试图通过电话提取他们的个人数据和金钱。
关于windows相关问题的虚假消息,受害者必须打电话给诈骗者
目前还有一种针对特定个人或组织的鱼叉式网络钓鱼。鱼叉式钓鱼电子邮件和网站比批量钓鱼更具个性化,因此很难将它们与真正的钓鱼邮件和网站区分开来。
钓鱼者的目标既包括企业用户,也包括普通互联网用户,而诈骗者的目标主要是后者。大多数诈骗都是通过为受害者提供一个简单的方法来赚一大笔钱,或者有机会赢得有价值的奖品,或者免费或以巨大的折扣获得某些东西。这种类型的威胁的主要目标是筹集资金,但诈骗者也可以获取受害者的个人数据,稍后出售或用于其他计划。
例如,在下面的截图中,受害者被告知他们赢得了一部智能手机,并被要求支付一小笔费用,并指定他们的电子邮件地址、出生日期、性别、电话号码和家庭地址。
收集个人资料以发送假奖品的表格
在大多数情况下,诈骗者索要这些数据是为了让受害者相信奖金确实会发送出去,而不是存储这些数据。然而,一些诈骗者可能会保存在他们网站上输入的所有信息,以便以后使用受害者的姓名和地址发送恶意电子邮件。
除了承诺轻松赚钱和有价值的奖品,诈骗者还积极地引诱用户到不存在的约会网站。例如,他们可能会发出与其他用户聊天的邀请,并附上诈骗网站的链接和迷人的照片。一旦进入假网站,用户被告知他们可以免费进入约会平台,但优惠今天到期。他们只需要注册并支付一小笔费用。
在一个虚假的约会网站上激活一个高级账户
还有其他方法可以吸引受害者进入诈骗网站:“出售”抢手货或稀缺商品,或与志同道合的旅行者一起旅行等。一般来说,如果用户喜欢某样东西,欺诈者会将其作为诱饵。
尽管大多数诈骗和钓鱼攻击都是从含有虚假网站链接的大量电子邮件开始的,但如今,其他攻击媒介也在不断发展。攻击者可以利用许多不同的通信和数据共享平台来传播钓鱼链接。
网络钓鱼和诈骗的主要载体之一是WhatsApp和Telegram等通信工具。
WhatsApp用户可能会收到来自网络攻击者本人或其联系人列表中的某个人的欺诈信息。为了传播他们的诈骗,攻击者以流行品牌或政府机构的名义发送信息,但也毫不犹豫地让用户参与进来。特别是,为了收到短信中承诺的礼物,他们通常会让受害者转发给他们的所有或部分联系人。
攻击者会让受害者将虚假赠品的链接转发给他们的WhatsApp联系人
最近,Telegram上出现了许多群,承诺奖励或致富的加密货币投资计划。Telegram也是诈骗者的温床,他们伪装成普通用户,发布有利可图的赚钱信息和其他优惠。为了发表大量评论,攻击者可以使用机器人。为了发现轻松赚钱的秘密,用户被邀请联系诈骗者或进入他们的群。
在促进货币兑换计划的Telegram聊天中评论
在社交网络上也可以找到容易赚钱的评论,例如,热门账户的照片下面的信息比关注者较少的页面上的信息更有可能被阅读。网络攻击者邀请用户关注个人资料标题中的链接,向他们发送直接消息,或加入秘密群组聊天。邮件还可能包含钓鱼或诈骗网站的链接。在VK(俄罗斯版Facebook)上,承诺提供高薪兼职工作并附有小应用程序链接的帖子也很常见。此外,网络攻击者可以利用社交网络向用户发送直接信息,推广他们的优惠,或创建虚假账户,承诺有价值的礼物、游戏货币和礼品卡。这些都是通过广告、标签或用户在帖子、评论或照片上的大量标签来炒作的。
Instagram账号“赠送”免费智能手机
市场作为用户和卖家之间的中介,在一定程度上保证了双方交易的安全性。但它们的功能也容易被诈骗者滥用。俄罗斯市场上普遍存在的一种诈骗是,卖家似乎不愿意在网站上交流,并试图将对话转移到第三方平台上,在那里他们可以发送恶意链接,而不用担心触发市场的内置防御。
同样在市场上,诈骗者经常评论其他用户对产品的评论,向潜在买家保证,在其他地方可以以更低的价格买到某件商品,并附上诈骗网站的链接。
诈骗者通过市场上产品评论的评论来传播虚假网站的链接
为了实施攻击,网络攻击者采用了广泛的技术和心理技巧来欺骗尽可能多的用户,同时将被发现的风险降至最低。
以下是2022年使用的主要网络钓鱼和诈骗技术。
为了增加受害者对虚假资源的信任,诈骗者经常试图使其与原始资源尽可能相似。这种技术被称为欺骗。在网站欺骗的背景下,主要有两种类型:
域名欺骗,当攻击者伪造一个网站域名来欺骗用户;
内容欺骗,当他们模仿合法网站的外观。
攻击通常会同时部署这两种。
域欺骗包括注册一个与目标组织的域类似的域。钓鱼者会小心翼翼地选择那些不会让受害者感到可疑的域名。域欺骗可以分为三类:
错别字是指使用原来的域名,但用户在输入URL时通常会出现错别字,例如缺少或多余的字符,或字母顺序错误。
域名Instagram.com的拼写错误,把字母“g”写成了数字“9”
“域名抢注”是指在与目标用户的品牌域名类似的域名中使用附加词,通常与授权或在线安全有关。例如,“login”,“secure”,“account”,“verify”等等。
域名中“账户”一词与银行名称并列
国际化域名(IDN)同形词攻击的工作原理是使用与拉丁字母非常相似的Unicode字符。例如,在这种攻击中最常用的西里尔字母是a, c, e, o, p, x, y,因为它们看起来与拉丁字母a, c, e, o, p, x, y相同。
内容欺骗是用来伪造一个合法网站的外观。在这里,可以挑出以下几种方法:
合法的iFrame后台是指一个iFrame被用来将一个合法的网站加载到一个非法的网站上,在这个网站上覆盖一个钓鱼表单。
作为钓鱼形式的背景的合法网站
HTML欺骗是通过部分复制合法网站的样式和HTML代码对其进行视觉模仿。诈骗者经常使用软件来创建镜像网站,如HTTrack和Website Downloader。
钓鱼页面HTML代码中的注释,表明使用了HTTrack
有时,诈骗者更容易侵入别人的网站来承载恶意内容,而不是从零开始创建自己的网站。这样的钓鱼网页往往是短暂的,因为网站所有者可以快速检测和删除诈骗内容,并定期修补其基础设施中的漏洞和漏洞。也就是说,如果网络攻击者闯入一个废弃的网站,那里托管的钓鱼页面可以存活很长时间。钓鱼者可以通过以下几种方式利用受攻击的网站:
iFrame注入是指登录表单或钓鱼页面的其他部分通过iFrame插入。合法iFrame背景方法涉及使用带有合法网站的iFrame作为钓鱼表单的背景,而在iFrame注入的情况下,页面的URL是合法的,而iFrame包含钓鱼表单,其背景通常是使用品牌标志的自制内容。
在被黑客攻击的网站上使用iFrame创建的登录表单
子文件夹劫持是对网站进行部分黑客攻击,以获得访问其子目录的权限,并在其中放置欺诈性内容。这种攻击可以使用合法站点上的现有目录,也可以创建新的目录。
被黑客攻击的网站主页看起来很正常
钓鱼页面放置在一个子目录的黑客网站
网站交换是完全替换一个合法的网站与钓鱼一个。原始内容通常会被删除。
一些网络诈骗者不愿费心创建或入侵网站,而是更喜欢利用用户信任的服务的特性。因此,用于创建在线调查和收集数据的表单(谷歌forms, MS forms, HubSpot Form Builder, Typeform, Zoho forms等)经常被用于执行攻击。
例如,在下面的截图中,诈骗者以流行加密钱包的技术支持为幌子,使用谷歌表单骗取用户的身份数据,如电子邮件地址和秘密短语。
欺诈者试图通过谷歌表单骗取机密数据
尽管这些服务已经开始警告用户通过表单共享密码的危险,并实现自动保护(例如阻止包含“密码”等关键字的表单),但由于能够大规模创建网络钓鱼调查,这种方法仍然受到诈骗者的欢迎。为了绕过内置的安全性,他们经常使用文本欺骗,也就是说,他们用视觉上相似的字符替换关键字中的字符:例如,他们写pa$$w0rd而不是password,使这些单词无法被自动系统识别。
除了表单,网络罪犯还积极利用云文档。更重要的是,他们可以发送带有合法服务中包含钓鱼链接的文档链接的电子邮件。
诈骗者使用各种技术来躲避侦查。有些相当有效,但不太常见,因为他们需要比许多诈骗者拥有更先进的技术知识。
避免检测的一种方法是混淆,即用户不可见的诈骗页面源代码被打乱,使攻击难以通过自动化手段检测到。另一种保护诈骗网站不被发现的方法是使用方法来隐藏页面内容以防止自动分析。以下是其中一些:
图像的使用:如果文本被文本图像取代,内容引擎将无法看到和分析文本,因此用户将阅读它。
浏览器通知:诈骗资源的链接可以通过浏览器通知传播。与电子邮件和公共网站不同,浏览器通知的处理分为几个阶段,并不是所有的反钓鱼引擎都分析它们。这使得网络罪犯至少可以绕过一些检测技术。
要在诈骗网站上下载歌曲,用户会被要求允许该网站的浏览器通知
弹出窗口:诈骗内容可以在网站上的弹出窗口中打开。弹出窗口的加载时间晚于网站的主窗口,因此并非所有的反钓鱼技术都能看到它们。此外,弹出窗口为攻击者提供了额外的工具来复制合法站点的外观。特别是,网络攻击者可以使用浏览器中的浏览器方法,即弹出窗口模仿浏览器窗口,其中的地址栏显示合法网站的URL。
浏览器中浏览器攻击:弹出窗口模仿带有地址栏的浏览器窗口
除了内容之外,诈骗者还试图隐藏恶意网站的url以躲避检测技术。为此,他们可以使用:
使用哈希随机生成的URL链接。每个受害者都会收到一个唯一的链接,这使得很难阻止恶意网站。
网址缩写服务:攻击者可以使用合法的URL缩短器(如bit.ly)来屏蔽恶意地址。
网络罪犯的伎俩通常针对的是用户,而不是安全系统的漏洞。诈骗者利用他们对人类心理的了解来欺骗受害者。这些可以与技术手段相结合,以达到毁灭性的效果。
假的验证码:网络攻击者在诈骗网站上模仿验证码技术来说服受害者执行某些操作。
网络钓鱼页面上的假验证码要求允许显示浏览器通知,据说是为了证明你不是机器人
用户相关动态内容:页面内容会根据用户及其数据(如电子邮件地址)发生变化:为了伪造域名,从用户的邮件中下载图像并插入钓鱼页面。
攻击者使用受害者的邮件域在诈骗网站上创建内容
恐吓和威胁:网络罪犯可以恐吓受害者,使他们惊慌失措,草率行事。例如,他们可能会威胁采取法律行动,并要求支付“罚款”以让受害者安息。攻击者还可以威胁封锁受害者的账户,迫使他们点击钓鱼链接。
诈骗者威胁说,如果用户不偿还虚假债务,他们就会没收用户的所有财产和账户
攻击者给受害者一个有限的时间窗口,让他们以这样或那样的方式回应他们的信息,让他们草率行事。诈骗网站要求紧急支付“covid -19相关费用”,以运送包裹。
恳求怜悯:网络罪犯试图唤起人们的怜悯之心,让他们拿出现金。
提供丰厚的薪酬:诈骗者用让人难以拒绝的吻唇诱惑受害者。
网络罪犯用赢取亚马逊礼品卡的机会来引诱用户
如今大多数用户或多或少都意识到了当前的网络威胁。许多人要么自己经历过网络诈骗,要么从新闻或其他渠道了解到网络诈骗,这使得攻击者更难欺骗受害者,因此需要使用更复杂的方法。相比草率的网络钓鱼和诈骗网站,高质量的诈骗正变得越来越普遍。这包括在弹出窗口中模仿带有合法URL的浏览器窗口,以及通过iFrame加载的后台带有合法站点的钓鱼页面。我们还在网络钓鱼和诈骗中看到了有针对性的攻击元素,比如下载与目标邮件域相关的内容,或者使用从大规模泄漏中获得的数据与潜在受害者联系。
与此同时,打电话的人越来越多,因为在电话上施加压力更容易,让受害者没有时间仔细考虑。此外,网络罪犯还利用其他可用的通信渠道:电子邮件、流行的软件、社交网络、市场。
为了实施攻击,他们使用各种技术,如欺骗、社会工程、网站黑客以及代码和内容隐藏。与此同时,避免检测的方法也在不断发展。攻击者越来越多地使用带有哈希的一次性生成链接来防止网络威胁检测技术拦截它们。
还要注意的是,诈骗者继续利用新闻中最热门的话题进行恶意攻击。如果某个地方发生了重大事件,某个国家或全球范围内出现了问题,或者某些服务或技术正在风靡一时,网络攻击者将寻求利用它。例如,疫情期间受到大规模“财政援助”诈骗的困扰,而去年加密货币价格的上涨与众多欺诈性投资计划密切相关。因此,在网上保持警惕是值得的,尤其是涉及到金钱的时候。
参考及来源:https://securelist.com/phishing-scam-techniques-tricks/108247/