購物季���?網(wǎng)購狂歡背后的漁夫和水坑
2018年12月07日
前言
11月��、12月都是一場網(wǎng)絡(luò)購物季的狂歡�����,無論是國內(nèi)的”雙十一“�����、”雙十二“���,還是美國的”黑五“和”網(wǎng)絡(luò)星期一“��,參與人數(shù)和創(chuàng)造的銷售額每年都在刷新紀(jì)錄����,有錢的捧個錢場�����,沒錢的捧個人場�����,國內(nèi)的買完了就去買國外的�。在雙十一期間,很多國內(nèi)安全團隊和安全實驗室都發(fā)布了安全購物指南���,有的談消費者如何避免成為網(wǎng)絡(luò)欺詐的受害者�����,有的幫助真心賣貨的商家抵御惡意羊毛黨����,還有的聊了網(wǎng)絡(luò)購物季背后的地下黑產(chǎn)�����。
在這篇文章里�����,國內(nèi)網(wǎng)絡(luò)購物的安全情況就不再贅述了�����,主要聊聊美國購物季上網(wǎng)絡(luò)黑手的兩大套路���,幫助伙伴們在跨洋消費時規(guī)避網(wǎng)絡(luò)安全風(fēng)險����。
網(wǎng)絡(luò)釣魚
Carbon Black的《假日網(wǎng)絡(luò)安全》研究報告指出��,魚叉式網(wǎng)絡(luò)釣魚攻擊占比最高��,通常是將包含惡意代碼\軟件的文件偽裝成正常業(yè)務(wù)往來郵件的附件,或是引誘用戶點擊郵件內(nèi)容中的惡意鏈接��。以前類似的網(wǎng)絡(luò)攻擊主要針對消費者個人���,現(xiàn)在有轉(zhuǎn)向大品牌工作人員�、供應(yīng)鏈合作伙伴的趨勢����,直接瞄準(zhǔn)以百萬計的客戶記錄和信用卡號碼,受損企業(yè)往往要付出極高的成本來解決相關(guān)事件����。
電子郵件對于國外本土消費者和我國海購黨來說是主要的信息傳遞和確認(rèn)渠道,在購物季用戶的郵箱常常塞滿了各種確認(rèn)函��、活動邀請�、發(fā)貨清單或者通知之類的主題郵件,網(wǎng)絡(luò)犯罪分子正是利用這一點�����,采用長得很像的電子郵件地址或者直接偽造大大品牌客服郵箱來群發(fā)假冒上述主題的郵件��。
1. 附件里的好東西都是送你的���,要不要?
可能躺在用戶收件箱里誘惑最大郵件是偽裝成贈送電子禮品卡����、優(yōu)惠券的一些了���。
點擊其中附件將下載包含惡意Office宏代碼的Word��,然后用戶打開該文檔是就會將Geodo/Emotet網(wǎng)銀木馬釋放到本地��,或者讓受害者接受退款����、進行支付等��。危害最大的還是針對品牌商的網(wǎng)絡(luò)攻擊����,通過接管管理員賬戶來進行針對旗下用戶的大面積的魚叉式網(wǎng)網(wǎng)絡(luò)釣魚攻擊。
2. 惡意廣告:點我你就上當(dāng)了
隨著各大品牌在年底消耗最后一波預(yù)算��,惡意廣告在網(wǎng)絡(luò)購物季期間也變得更加活躍����。
投放惡意廣告的人都是機會主義者,他們也會根據(jù)當(dāng)前的環(huán)境增加投入、調(diào)整投放的頻次和位置來獲取更多的黑色利益�����。只要投資回報率還可以���,他們的商業(yè)模式或者說是黑產(chǎn)的雪球就會越滾越大�,將數(shù)據(jù)����、受感染的設(shè)備大量變現(xiàn),甚至將業(yè)務(wù)出租給別人����。在2018年美國感恩節(jié)假期期間,光某一家安全廠商就檢測到和阻止了2000萬次攻擊�����。攻擊者在大量的網(wǎng)絡(luò)平臺之間不斷切換���,平臺管理員往往疲于應(yīng)對且效果不佳�。
水坑攻擊
水坑攻擊是一種看似簡單但成功率較高的網(wǎng)絡(luò)攻擊方式����。攻擊目標(biāo)多為特定的團體(組織�����、行業(yè)�����、地區(qū)等)。攻擊者首先通過猜測(或觀察)確定這組目標(biāo)經(jīng)常訪問的網(wǎng)站����,然后入侵其中一個或多個網(wǎng)站,植入惡意軟件�。在目標(biāo)訪問該網(wǎng)站時,會被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行�����,導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染���。按照這個思路���,水坑攻擊其實也可以算是魚叉式釣魚的一種延伸���。
目前多數(shù)國內(nèi)外電商使用的廣告網(wǎng)絡(luò)平臺是實施水坑攻擊的有效途徑。水坑攻擊可以通過攻擊目標(biāo)網(wǎng)站使用的廣告網(wǎng)絡(luò)來執(zhí)行����。這涉及將惡意網(wǎng)站廣告或者惡意廣告 (文字或圖片)插入到將被傳送到不同網(wǎng)站的跳轉(zhuǎn)廣告。由于大部分網(wǎng)站都使用同一廣告網(wǎng)絡(luò)���,因此布設(shè)攻擊網(wǎng)絡(luò)時可以達到事半功倍的效果�����。
在網(wǎng)絡(luò)購物季期間�����,越來越多的水坑攻擊案例浮出水面�。這種攻擊方式付出的精力要比交叉式網(wǎng)絡(luò)釣魚多�,以前多用于商業(yè)間諜、國家間的網(wǎng)絡(luò)暗戰(zhàn)等領(lǐng)域?,F(xiàn)在,攻擊者正在使用這種技術(shù)來瞄準(zhǔn)大品牌和忠于它們的客戶��。水坑攻擊應(yīng)當(dāng)成為是電子商務(wù)網(wǎng)站的主要關(guān)注點�,在面對這些攻擊時�,不僅僅是IT部門要出錢出力���,網(wǎng)站����、Web管理員�、市場部門也不能袖手旁觀, 隨著水坑攻擊面的擴大��,現(xiàn)在網(wǎng)絡(luò)安全技術(shù)問題已經(jīng)演變品牌聲譽問題了�����。
最典型的例子是JSONP�,它可以通過發(fā)起JavaScript的跨域請求來繞過同源策略����。然而,繞過同源策略會導(dǎo)致不同源或域之間的數(shù)據(jù)泄漏����。而且,尤其是當(dāng)JSONP涉及到了用戶的數(shù)據(jù)信息時��,這樣是極其危險的。既然JSONP請求/回應(yīng)能夠繞過同源策略���,那么惡意網(wǎng)站便能夠通過這種機制�,讓目標(biāo)主機發(fā)起跨域JSONP請求�,并使用”腳本”標(biāo)簽來讀取用戶的隱私數(shù)據(jù)。
怎么辦
在個人平時使用網(wǎng)絡(luò)銀行和網(wǎng)上購物的過程中���,可以做到以下幾點來防范網(wǎng)絡(luò)釣魚和水坑攻擊:
在登陸不是經(jīng)常訪問的銀行網(wǎng)站時��,要注意核對最終的跳轉(zhuǎn)頁面與原始鏈接的區(qū)別���,觀察是否存在多級跳躍。當(dāng)發(fā)生這種情況的時候���,容易進人釣魚網(wǎng)站���。
在收到其他朋友或者陌生人傳來的即時在線消息的時候,要注意查看跳轉(zhuǎn)地址是否與真實地址一致�����。有時候這些消息還有可能是由聊天bot發(fā)出的�。這時候與朋友取得其他途徑的聯(lián)系來核對時最有效的辦法�����。
收到陌生人發(fā)送的電子郵件時�����,并察覺到任何異常時����,比如鎖定的網(wǎng)頁地址���,透明的窗口等異常時����,一定要及時停止操作���,這樣就不會被攻擊者利用,從而避免經(jīng)濟損失�����。
小編覺得能夠做到以上幾點的普通用戶并不多�,哪怕做到了還是難以徹底防范這兩種攻擊方式���。如果真的買了很多東西:
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運維平臺建設(shè)�、動漫設(shè)計���、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢����、評估、規(guī)劃�����、管控��、建設(shè)���、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
