Still Shines.

社会工程学攻击之网站钓鱼

Word count: 3.6k / Reading time: 12 min
2018/09/01 Share

  网络给了我们方便的同时,但也并不总是那么美好。还记得邀请苍蝇到它的客厅做客的蜘蛛吗?还记得帮助蝎子渡河的乌龟吗?这些故事都包含了猎物的天真和猎手的肮脏。互联网也是如此,其中中充斥着诱惑的陷阱、阴暗的角落、恶意的行为。网站钓鱼就是其中的一种。

  网站钓鱼相信不少人都听说过,它就是一种针对性的社会工程学攻击。现代社会工程学攻击通常以交谈、欺骗、假冒或伪装等方式开始,从合法用户那里套取用户的敏感信息,比如系统配置、密码或其他有助于进一步攻击的有用信息,然后再利用此类信息结合黑客技术实施攻击。此类攻击虽然在技术上实现难度不大,但确非常行之有效。因为人性的弱点,总是能被轻而易举地利用。

  本人曾经就受到过网站钓鱼攻击,进而遭受了一系列的损失。那个时的我还是互联网的小白,并不知其中原理,现在细想起来对此有了更深刻的感悟,对那些欺骗害人的狡诈之徒也是深恶痛绝。但要想防御此类攻击,就要先了解其攻击原理。正所谓:“不知攻,焉知防。”我们就站在攻击者的角度,看看此类攻击是如何发生的。

社会工程学攻击工具包SET

  这里首先介绍一个在kali中提供的功能十分强大的社会工程学工具包(SET),它可以与metasploit进行协作使用,进行针对性的社会工程学攻击。

  SET工具包在kali的漏洞利用工具集中,黑客可以利用SET执行一连串的连环攻击,涵盖了社会工程学攻击的完整流程。SET中包括的工具很多,比如针对性邮件钓鱼(Spear-Phishing)攻击、网站钓鱼(website Atack)攻击、群发邮件(Mass Mailer)攻击、还有伪造短信(SMS Spoofing)攻击等。

  接下来就是利用这个工具包,制作一个钓鱼网页,之后欺骗用户进入钓鱼网页,使用户的个人信息及密码遭到泄露。那如何欺骗用户进入这个钓鱼网页呢,这就需要攻击策划。

网站钓鱼社会工程学攻击策划

  先来说说我当时受骗的情景。在2016年11月份一次坐公交的时候,自己的iPhone7手机被偷了,我下站后第一时间就是把iPhone锁定,之后也报了警。当时内心可以说是十分焦急。而在第二天的时候,突然邮箱收到一封邮件,上面说iphone已经找到。邮件如下:

打开后显示的是下图的页面:

  看到这个消息的我脑袋一热也没多想,二话不说点了进去。打开是一个苹果官方登录的页面,(现在这个网址已经打不开了)。我在进入这个登录页面的时候,下意识的把密码输了进去,但是跳转页面一直在加载,这个时候我开始意识到不对劲。回头看了下邮件的发送方,发现并不是苹果的官方邮箱,而是来自个人:

  这时候才知道,这是个钓鱼网页,我这是上当受骗了!而且用户名和密码也已经被攻击者知道了。只能用《凉凉》这首歌代表我那时候的心情了,虽然这首歌还没在2016年出现。
  知道密码泄露后,我赶紧更换了密码,祈祷攻击者没有马上利用密码登录账户。当然事情还没结束,因为我是多个平台使用的都是同一个密码(很糟糕的习惯),紧接着发现我的QQ和微信都登录不上去了。不过幸运的是,在手机被偷的当天,我已经把手机号给冻结,并且绑定到了新的手机卡上,我利用手机号找回了QQ和微信。否则手机号一旦被攻击者利用,那支付宝和银行账户都可能被盗,从而造成更多的损失。尽管个人信息泄露的风险解除了,但是手机也再也没有机会找回。
  从上面的过程也可以分析出,攻击者是如何利用弱点进行攻击欺骗的。我们可以把这攻击过程套入一个社会工程学技术框架中,看看攻击者是如何进行布局的。

信息搜集环节

  攻击者拿到我的手机之后,可以知道此时手机的Apple ID,而我的ID正好是我的QQ邮箱,这样一来,我的qq号和邮箱都已经被攻击者掌握。但攻击者此时还不能解除锁定,也就没法获得更多的信息。

诱导环节

  攻击者想知道我Apple ID的密码,所以可以利用邮箱,发送邮件结合托词设计或欺骗进行诱导。

设计托词环节

  为了能让我访问攻击者构造的钓鱼网站并在登录页面中输入用户名和密码,所以他们假冒苹果官网。声称手机在授权店中进行维修激活,要我登录官网进行设备锁定。如上图的邮件中的内容。

心理影响和操纵环节

  攻击者知道当手机丢失时用户的心理,所以首先和用户建立信任,就是假扮苹果官方,告知我被丢失的手机在何处发现,让我认为手机很快就能找到,来制造紧迫感。此时的我已经心理上被攻击者操纵,未经思考,十分快速的登录攻击者给的链接,并输入了用户名和密码。

钓鱼网站的制作

  攻击者利用社会工程学,针对性的展开攻击,十分有效地获取了用户名和密码。在这其中的关键一步,就是网站钓鱼。那钓鱼网站是如何制作的呢? 方法当然有很多种,这里介绍的是使用上面简单讲解过的SET工具集制作一个钓鱼页面。这个钓鱼页面可以自己设计仿造,也可以通过克隆官方网页实现。我们简单地演示如何克隆一个钓鱼网站。

简单的克隆页面

第一步:选择仿冒页面
  因为苹果公司现在的登录页面已经是动态页面,安全性更高,克隆起来会更加的麻烦,所以我们这里找的是一个静态登录页面的网站。页面显示如下:

第二步:运行SET
我们首先再kali上开启http服务

点应用程序->漏洞利用工具集->SET

然后显示下面的命令终端界面:

第三步:选择“1”Social-Engineering Attacks
进入第二个命令选择界面:

第四步:选择“2”Website Attack Vectors(钓鱼网站攻击向量)
进入如下选择界面:

  这个界面上面有很长的一段各功能的详细介绍,支持Java Applet伪造攻击、Metasploit浏览器渗透攻击、登录密码截取攻击、标签页劫持攻击(Tabnabbing)、中间人攻击、网页劫持、综合多重攻击方法等。在这里,我们选择“3”登录密码截取攻击(Credential Harvester Attack Method),克隆网站的登录界面,尽可能多地记录用户登录敏感信息。选择后,还会出现如下命令选择界面:

这里提供了SET三种搭建钓鱼网站的方法:
•使用预定义的网站模板
•克隆网站
•定制导入

克隆网站是仿冒静态网站最简单的方法,所以我们选择“2”Site Cloner。
第五步:输入url
确认网站服务器的ip地址(虚拟机当前ip为192.168.1.136),再按提示输入url,回车后显示如下:

按下y键回车继续:

这时钓鱼网站就已经开启了。
第六步:访问攻击机的80端口
我们用浏览器访问虚拟机的ip:192.168.1.136,显示如图,除了url之外,页面内容看起来和原来的网站一模一样。

如果在这个仿冒的钓鱼页面中输入用户名和密码,并进行提交,SET工具就会记录下所有的输入,然后重定向到合法的URL上。
第七步:测试
输入用户名密码:

获取到用户名密码:

更精心的伪装

如果伪装的更像点,就要伪造一个相似的url。关于域名的伪造,下面这张图就能说明其原理:

是否恍然大悟?再来看一个“完美伪装”的域名:

  这或许是用肉眼最难分辨的钓鱼网站,没有之一,网站的URL地址显示的是苹果官网,网址旁边是安全字样和绿色小锁,表示网站信息基于https加密传输,完全没什么问题,然而它就是一个钓鱼网站(演示网站)。

  虽然HTTPS的使用有助于保障互联网用户在浏览器和网站之间的数据安全,但越来越多的网络钓鱼方案正在利用人们对绿色小挂锁的无知。随着免费SSL证书和浏览器指示标志的最新变化,网络钓鱼网站伪装成合法化变得越来越容易。网络钓鱼防范公司PhishLabs发布的报告显示,在HTTPS页面上托管钓鱼网站的速度明显快于整个HTTPS的采用速度。
  再来看这个域名到底哪里有问题。这种伪造方式称为“同形异义词”攻击。其实并不是新方法,最早能追溯到2001年。不过由于一些现实情况,该问题目前依然存在于不少浏览器。它使用的a其实是西里尔文的a,虽然看起来都是A,但计算机显然是把它们当成不同的字符来对待。

据了解,这是一位名叫徐正东的中国研究人员报告的一种钓鱼方法。基于这种方法,也能用俄文拼出一个www. tаоbао.com (真实域名:www.taobao.com )。

其中t和b是英文,a和o是俄文,如果用上面这个网站的话,搜到的结果如下:

表面上看起来极其相似,但在计算机中所识别的含义确是大不相同。

常被仿冒的网站

  12321网络不良与垃圾信息举报受理中心(www.12321.cn) 公布了2018年7月被举报钓鱼网站TOP10。根据接到网民举报的短信、邮件、网站等信息,2018年7月,被举报的钓鱼网站前十名如下:

  所以看到这类大型企业,各类银行及金融公司的网站,一定要小心防范,不轻易相信第三方给的链接。包括还有一些促销,优惠活动的页面。

如何防范防范钓鱼网站

如果要辨别自己遇到的是否为钓鱼网站,可以通过以下一些方法。
一、留意域名
  辨别钓鱼网站的最直接的方法就是对比它的域名是不是官方域名,请一定要仔细查看所打开页面后的具体网址,而不是只看打开网页前的网址。如果不是官方域名,哪怕页面再相似,那么我们都可以断定其为钓鱼网站。如:假冒网站通常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名,包括上面更加真假难辨的“同形异义词”。
二、查看链接
  首先,网购要选择信任的网站,千万不要贪图便宜轻信“低价”网站。其次,支付前一定要确认购物网站网址是否正确,切勿单击来自陌生人的电子邮件和即时消息中的链接或所有看上去可疑的链接。因为即便是来自朋友和家人的消息也可能是伪造的。
三、观察网站内容
  仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。并且假冒网站上的字体样式是不一致的,并且模糊不清。如果发现访问的网站突然“改版”了,和之前的页面布局大不相同,就要提高警惕。
四、查看安全证书
  针对大型电子商务网站或网银站点需要查看其安全证书。目前大型的电子商务网站或网络银行站点都应用了可信证书类产品,这类的网站网址都是“https”开头的,如果发现网址信息不是“https”开头,需要对该网站谨慎对待。
五、尝试输入法
  当我们在收到他人发送来的一个网址时,我们可以打开这个网站,一旦提示您需要登录或者输入其他信息,就可以采用“尝试输入法”,也就是随意输入一个用户名及密码,如果这个网站提示您登录成功或者进入一个不正常的页面,那么我们可以断定其为钓鱼网站。
最后,要安装防火墙、杀毒软件并定期更新。养成以上良好好习惯,识别跟防范钓鱼网站诈骗。

参考文章:
《metasploit渗透测试魔鬼训练营》
http://www.sohu.com/a/120567788_255236
http://news.zol.com.cn/636/6360545.html

CATALOG
  1. 1. 社会工程学攻击工具包SET
  2. 2. 网站钓鱼社会工程学攻击策划
    1. 2.1. 信息搜集环节
    2. 2.2. 诱导环节
    3. 2.3. 设计托词环节
    4. 2.4. 心理影响和操纵环节
  3. 3. 钓鱼网站的制作
    1. 3.1. 简单的克隆页面
    2. 3.2. 更精心的伪装
    3. 3.3. 常被仿冒的网站
  4. 4. 如何防范防范钓鱼网站