据卡巴斯基的最新研究报告显示,星际文件系统(IPFS)的欺诈性使用现象最近似乎有所增加。自2022年以来,IPFS一直被网络犯罪分子用于发动电子邮件网络钓鱼攻击。
IPFS是一种点对点网络协议,旨在提供去中心化的分布式Web。与依赖集中式服务器的传统Web协议不同,IPFS允许用户共享和访问文件,而不依赖任何权力中心。
IPFS通过文件的内容而不是位置来标识文件。每个文件都被赋予了一个唯一的加密哈希,名为CID。内容标识符可用于从网络上存储副本的任何节点检索文件。这使得分发和访问内容变得很容易,即使原始内容源处于离线或不可用的状态。
IPFS还使用一种内容寻址系统,这意味着对文件的任何更改都将导致新的散列。这确保了文件保持不变、防止被篡改。
访问IPFS可以通过专用的应用编程接口(API)或网关来完成,这些接口或网关提供了对IPFS内容的访问,适用于任何Web浏览器。
访问网关的URL含有CID和网关,但可能因网关而异。比如说,它可以是:
https://gateway/ipfs/CID
https://CID.ipfs.gateway
在平常的网络钓鱼案例中,受害者被引诱访问欺诈性的网络钓鱼网页,钓鱼网页会窃取他们的凭据,可能还窃取其信用卡信息。然而,这个欺诈性网页可能托管在IPFS上,通过网关来加以访问。
使用这种系统让攻击者可以降低托管网络钓鱼网页的成本,并加大了从互联网上清除欺诈性内容的难度,因为内容可能同时驻留在多台计算机上。
如果用户点击了网络钓鱼链接并提供了凭据,尽快更改密码并检查该帐户是否出现任何恶意活动很重要。
据卡巴斯基声称,与通常的网络钓鱼相比,大多数IPFS网络钓鱼攻击并不是太具原创性,但在一些情况下,IPFS用于复杂的针对性攻击(见图A)。
图A. 针对性网络攻击钓鱼电子邮件的样本,附有IPFS链接。图片来源:卡巴斯基
从图A和卡巴斯基的描述中可以看出,“攻击针对的是企业采购部门,这些邮件来自现有组织的销售经理。”
通常的钓鱼网页可以通过要求网站内容提供商或所有者清除来清除。这番操作可能花费相当长的时间,具体取决于托管主机,内容存储在防弹提供商上尤其如此,防弹提供商是非法的托管提供商,他们告诉客户不会回应执法部门的请求,也不会下架内容。
针对IPFS内容的下架操作有所不同,不同之处在于需要从所有节点清除内容的方式。
IPFS网关的提供商试图通过定期删除这些文件的链接来对付这些欺诈性网页,但它并不总是像屏蔽钓鱼网站那样快速。卡巴斯基的研究人员Roman Dedenok在2023年3月27日撰文道,卡巴斯基“观察到2022年10月首次出现的IPFS文件的URL地址,在撰写本文时仍在运行中。”
截至2022年底,每天有2000至15000封IPFS网络钓鱼邮件。2023年,卡巴斯基分析的IPFS网络钓鱼活动开始增加,1月和2月每天多达24000封电子邮件;然而在此之后,数量恢复到与2022年12月几乎相同(见图B)。
图B. 从2022年底到2023年2月底的IPFS网络钓鱼电子邮件数量。图片来源:卡巴斯基
月度统计数据显示,2月份是忙碌的一个月,有近400000封钓鱼邮件,而11月和12月的钓鱼邮件数量分别约在228000至28000封之间(见图C)。
图C. 从2022年11月到2023年2月每月的IPFS钓鱼邮件。图片来源:卡巴斯基
反垃圾邮件解决方案(比如微软Exchange在线保护或梭子鱼电子邮件安全网关)将有助于检测IPFS网络钓鱼并阻止链接,就像对付任何常见的网络钓鱼情形那样。
用户应该了解可以通过即时消息和社交网络等不同方式发送给他们的钓鱼电子邮件或任何类型的钓鱼链接。
实施多因素身份验证,以防止未经授权的访问。这将使攻击者更难获得访问权,即使他们已通过网络钓鱼获得了登录凭据。
参考及来源:https://www.techrepublic.com/article/ipfs-phishing-attacks/