在2011年发布的一份报告中,IBM指出,与计算机用户相比,移动用户遭遇网络钓鱼诈骗的可能性要高出3倍。在此前的网络钓鱼活动中,研究人员分析了网站Web服务器上的访问日志文件,然后得出了这一结论。
在近10年后,我们继续看到许多组织发布的报告中明确提出,针对移动市场的网络钓鱼攻击呈现出增长趋势。令人惊讶的是,网络钓鱼者似乎已经有了最新的首选目标――iPhone用户。移动安全解决方案提供商Wandera发现,与Android用户相比,iOS用户遭遇的网络钓鱼攻击次数是其两倍之多。
二、移动网络钓鱼数据针对移动端网络钓鱼,我们针对当前值得关注的一些内容,进行了数据统计,具体如下:
1. 在 《移动端网络钓鱼2018:当今每个现代企业面临的神话与事实》 白皮书中,Lookout进行了统计,发现自2011年以来,用户点击网络钓鱼链接的速度平均增长了85%。
2. 在最新的 《网络钓鱼活动趋势报告》 中,反钓鱼工作组(Anti-Phishing Working Group)透露,支付行业在2018年第一季度中持续被网络钓鱼威胁行为者列为首选的目标行业(36%)。
3. 同样,在反钓鱼工作组的报告中还声称,所有的网络钓鱼站点中,有35%使用了HTTPS协议和SSL证书。
4. 由于Google现在已经将非HTTPS网站标记为“不安全”,预计会有更多网络钓鱼者滥用HTTPS网站“值得信赖、合法”的公认概念。
5. 在 《2018年度网络钓鱼状况》 中,Wombat Security重点提到了短信网络钓鱼作为攻击媒介这一点。随着2017年媒体报道的增加,他们认为利用短信的行为将继续呈现增长趋势,特别是在移动端网络钓鱼安全意识较低的国家。
6. PhishLabs在 《2018年网络钓鱼趋势和情报报告》 中表示,电子邮件和在线服务是2017年下半年最易受到攻击的目标行业(占比26.1%),其中高度集中于模仿Microsoft Office 365的网络钓鱼URL,这也表明针对企业的网络钓鱼活动呈现出上升趋势。
7. 同样,PhishLab的报告还指出,基于用户对SaaS(软件即服务)公司(占比7.1%)的信任,相应的网络钓鱼活动急剧增加。在2015年,针对该目标的攻击是不存在的,但在接下来的两年之中增长了一倍以上。
8. Wandera 表示 ,有48%的网络钓鱼攻击都发生在移动设备上。他们还 声称 ,iOS用户遭遇网络钓鱼的可能性比下载恶意软件高出18倍。
三、移动网络钓鱼诈骗类型网络钓鱼攻击不再仅仅局限于电子邮件,特别是在移动设备上的钓鱼攻击。根据移动设备的固有设计和实际功能,网络钓鱼者会选择合适的策略,让诈骗信息被用户看到,并且设法窃取个人和业务的相关数据。
尽管许多用户非常熟悉桌面上的网络钓鱼行为,但他们实际上并不熟悉网络钓鱼的方法,以及手机上可能遇到的一些新型网络钓鱼方式,甚至也不熟悉电子邮件网络钓鱼。
3.1 短信钓鱼SMiShing是指通过短信进行的网络钓鱼。Android高级分析专家Nathan Collier撰写了一篇安全文章,描述了他的同事在Android设备上收到一条钓鱼消息的分析过程,这条消息自称来自于一家人力资源公司,推荐了一个Amazon公司Prime专员的职位。
iOS用户也不断遭到短信钓鱼的攻击。我们在Reddit上发现了一条公开发布的信息,用于警告其他iPhone用户提高警惕:
通常情况下,针对iOS的短信钓鱼中会包含这样的内容:
在我们收到您的回复之前,您的Apple ID已经被停用。通过点击{短网址URL}确认您的个人信息来重新启用。――苹果公司。
3.2 语音网络钓鱼Vishing,或语音信箱钓鱼(有时也包含VoIP网络钓鱼),是指利用设备的呼叫功能进行网络钓鱼。网络钓鱼者可能会向目标留下了诱导的留言信息,可能留下一个让目标回拨的号码,也可能直接呼叫目标。其中,留下诱导的留言信息正是Ars Technica编辑Sean Gallagher在2018年7月发表的一篇iOS网络钓鱼骗局文章中所描述的攻击者策略。根据Gallagher的说法,攻击者会发送一封电子邮件,将用户引导到一个虚假的Apple网站,该网站弹出一个对话框,并开始呼叫一个名为“AppleCare员工Lance Roger”的人员。AppleCare实际上是Apple提供的延长保修期服务。
针对Android环境,我们发现了最新版本的Fakebank,这是一种能够拦截银行短信、呼入电话和呼出电话的移动木马。举例来说,用户如果打电话到合法的银行服务热线,其呼叫请求会被该木马重定向到伪装成银行工作人员的诈骗者那里。安全研究人员在面向韩国用户的恶意APP中发现了这种变体。
语音网络钓鱼也可以作为更大规模的企业电子邮件攻击的一部分。
3.3 其他类型:即时通讯、社交网络和广告钓鱼应用程序(APP)可以改善用户的移动体验。假如没有这些APP,人们可能会觉得这些手机设备是一个昂贵又没有价值的东西。
这些精彩的程序,可以让用户在暂时离开台式计算机的时候访问个人或工作邮箱,在旅途中通过通讯平台与家人和朋友保持联系,实时观看和分享媒体内容,以及在等待过程中消除无聊。
不幸的是,网络钓鱼者也利用了应用程序的强大功能。如今的互联网上,充斥着通过移动应用程序实现网络钓鱼攻击的事件。
例如,攻击者将Facebook的消息服务Messenger作为一种途径,伪装成“流行视频”进行网络钓鱼攻击。
如果点击这个“视频”,就会将移动用户引导至虚假的Facebook视频登录页面,然后诱导用户输入他们的Facebook凭据。这样一来,就会进一步向受害者的联系人继续发送类似的视频诱饵,从而实现攻击范围的扩大。
这就是即时通讯钓鱼的案例。同样,针对其他即时通讯服务,也存在相似的网络钓鱼攻击,比如WhatsApp、Instagram、Viber、Skype、Snapchat以及Slack。
其次,是社交网络钓鱼,这是一种滥用社交网站功能来传播网络钓鱼活动的方式。以下是我们捕获到的通过LinkedIn的InMail功能发送网络钓鱼邮件的示例:
这是社交网络钓鱼的另一个示例,一个Twitter帐户冒充NatWest银行,并将钓鱼内容插入到NatWest银行客户和NatWest官方Twitter帐户之间的实时对话之中,企图以银行官方的名义为用户“解决问题”。
最后,是广告网络钓鱼。在移动设备上,广告可以有多种形式:可以是免费应用程序、用户访问的网页、弹出式通知或是横幅(Banner)广告。由于应用程序会在后台与其他服务(例如广告的相应服务器)进行通信,因此可能会使移动用户面临网络钓鱼或恶意软件的风险。
这些假冒的应用程序,都以流行的品牌名称来命名,并承诺用户下载和安装后,将会得到某些特权或福利。Google Play商店发现多个虚假Instagram应用程序收集用户凭据的事件就是一个例子,这些应用程序已经被下载150万次,并且这些应用程序承诺能够提升关注者、评论和点赞的数量。
四、移动网络钓鱼的检测要检测移动网络钓鱼,无疑是一个巨大的挑战,对于那些未知的钓鱼活动和未知的钓鱼方式来说更是如此。无论各位的技术水平或所选择的检测方式如何,根据经验,大部分网络钓鱼都有迹可循。我们已经有了一个非常全面的清单,可以指导各位排查一般的网络钓鱼行为。但是,针对移动用户,我们还列出了一些潜在的移动网络钓鱼迹象,供大家进行参考:
1. 消息突然出现,声称用户赢得了奖品,或者有帐户或订阅服务突然停用(没有说明具体原因),或者需要用户迅速进行操作来解决问题。这样的情况,通常都是社会工程学的伎俩,用户应该提高警惕。
2. 但考虑到这些通知也有可能是真实的,用户需要针对真实通知及时做出响应,我们建议用户应该避免直接点击这些通知中的链接,而是直接访问合法域名(从浏览器书签中加载,或手动输入网址),并从合法域名中登录帐户查看具体情况。
3. 如果一条消息来自未知的号码或未知的发件人,同时消息声称它来自您实际使用的服务,请加倍谨慎。由于几乎不可能在移动设备上向服务提供商确认该通知内容是否属实,因此用户最好能自行验证这一通知的真实性,如上面所述,并检查相关帐户的可疑活动。如果无法确定,建议联系服务提供商的用户支持部门。
4. 如果消息中包含伪造的超链接,对于一些用户来说是显而易见的,但对于其他一部分用户来说则难以甄别。了解您所使用服务的官方网址URL是非常有用的。如果您认为该链接与以往访问的网址不太一致,或者有任何怀疑,都应该谨慎行事,避免点击该链接。
5. 消息使用缩短后的URL(短网址服务)。缩短URL是有效利用字符数有限的消息服务的一种绝佳方法。但不幸的是,这也会掩盖可能看起来非常明显的恶意URL。
6. 如果没有任何说明,消息或来电者要求用户提供个人信息,则应引起警惕。大多数合法且声誉良好的企业不会致电或发送消息要求用户提供敏感信息。在某些情况下,如果银行怀疑您的帐户存在潜在的欺诈活动,他们会直接致电。银行可能会核实用户的身份,但绝对不会要求用户提供帐户密码或身份证号码。
7. 如果邮件或来电者不清楚您的姓名,也应该引起警惕。大多数企业,都明确知道他们服务的客户具体是谁,并且一般会以尊称的方式直呼其名。
8. 如果访问的URL没有绿色挂锁图标,这就意味着该网页没有使用HTTPS协议。尽管使用HTTPS的不一定都是合法网站,但没有使用HTTPS的依然需要提高警惕。
9. 如果访问的URL前面一段是正确的,但后面还包含一些无法解释的破折号,那么应该引起注意。网络钓鱼这正在使用一些被称为URL填充的技术,他们创建一些子域名,该子域名由合法的网站地址组成,但后面还带有连字符,以隐藏真实的域名,并增强假域名的可信度。
在上面的示例中,完整的URL为hxxp://m.facebook.com―――――-validate―-step1.rickytaylk[dot]com/sign_in.html,其中rickytaylk[dot]com是真正的域名,m.facebook.com―――――-validate―-step1是一个非常长的子域名。考虑到移动设备的屏幕大小,用户可能很难直接查看到完整的URL,但实际上用户可以将URL复制粘贴到记事本等应用程序中,并在其中详细检查URL。
同样,也有一些同形异义词被用在移动设备上。幸运的是,现在有很多互联网浏览器,已经被改进为能够显示包含可混淆的域名的Punycode版本。
如果用户在移动浏览器上访问Punycode URL,那么用户会收到警告,告知他们所访问网站的风险性。但是,并不能保证浏览器已经充分考虑所有的同形异义词。根据Wandera的研究,在Android和iOS上的许多通信和协作工具都没有将Punycode URL标记为可疑。
Wandera的内容营销经理Liarna La Porta在一篇 文章 中写道,
只有Facebook Messenger、Instagram和Skype会通过显示xn前缀的网络预览的方式,为用户提供识别PunyCode URL的可能性。在Skype中,不会使用Unicode为域名提供超链接,这就意味着用户无法直接点击信息中的URL。尽管这些应用程序没有提供最佳的防御方法,但它们至少提供了进一步评估可疑链接的可能性。
五、移动网络钓鱼的防御2017年4月,一位在某台湾电子制造公司工作的立陶宛男子,成功对两家知名企业发起了 网络钓鱼攻击 ,并迫使每家公司都向其支付超过1亿美元的“封口费”,而这两家知名的企业分别是Google和Facebook。
当一个目标具有薄弱的网络钓鱼防范意识时,那么网络钓鱼技术已经不再成为一个关键的因素。对于桌面用户来说,防范网络钓鱼是一项挑战。那么对于具有更多潜在攻击面的移动设备来说,用户就面临着双重挑战,特别是在攻击者已经针对特定用户发起攻击,目标就是窃取移动设备中的敏感公司数据的情况下。
实际上,网络钓鱼的方法早已不再局限于电子邮件。在移动设备上使用商业的网络钓鱼防范软件,其实并不足以保护用户免受攻击。真正要防范网络攻击,还需要人和设备共同的调整:改进移动设备及其应用程序的安全功能,掌握网络钓鱼的甄别方式,并制定措施来应对网络钓鱼。
六、推荐阅读现代Android上的网络钓鱼攻击
社交网络钓鱼
