315聚焦 | 展示企业真实身份,打击匿名假冒网站
发布日期:2017-03-15钓鱼网站的攻击方式不断花样翻新,钓鱼攻击数量仍然有增无减,反网络钓鱼工作组(APWG)报告显示,2016年网络钓鱼攻击总数为1,220,523次,比2015年增加65%。钓鱼网站仍然是最大的网络安全威胁之一。
近几年的大规模钓鱼事件
(1)仿冒电信运营商掌上营业厅的大规模钓鱼事件
2014 年乌云的一个安全报告,仿冒电信运营商掌上营业厅的大规模钓鱼事件,导致大量用户银行卡中招,CVV2 与密码泄露,中招的用户数量大概数百人。这个钓鱼页面适配了手机浏览器,这目标很明确就是瞄准移动端用户,收集的信息还非常详细。
(案例来源乌云漏洞平台)
(2)伪基站发布 10086 信息导致大量用户银行卡敏感信息泄漏
2015年乌云白帽子提交了“伪基站发布10086信息导致大量用户银行卡敏感信息泄漏(已截图已证明)”漏洞。伪基站曾被用来做广告推广,现在被大量用于推送钓鱼短信,可以轻松伪造运营商的服务号码(如移动 10086)骗取用户的信任。乌云白帽子就是收到了这么条短信。
打开后就是这样的钓鱼页面,用现金礼包忽悠你填写自己的银行卡、信用卡信息,还邀请用户下载客户端。
真的有人会上当吗?白帽子渗透钓鱼网站后台,发现相当多的人把自己的银行卡卡号、密码、身份证号、姓名、以及信用卡后三位提交上来了,其中一个钓鱼站竟然有 11 万人上当受骗。信用卡只要知道银行卡号、证件号码、姓名及后三位即可在网上消费,而下载的客户端一旦安装后,就会悄悄在后台拦截用户的银行短信验证码,从而达到网银盗窃的目的。
(案例来源乌云漏洞平台)
(3)大规模的QQ空间钓鱼攻击
安全联盟捕获一起大规模的QQ空间钓鱼攻击,一旦你输入QQ账号与密码登录,就中招啦!上当的人还是有一定可观比例的。
几个钓鱼程序的后台,看到了一些中招的记录
(案例来源Freebuf)
(4)95后少年建特价机票钓鱼网站两月卷走百万
浙江嘉善特大网络诈骗团伙,通过建设特价机票钓鱼网站,在短短2个多月时间卷走100多万元,团伙负责人吴某是一位当时未满18岁的青少年,网警称“他们的网站,在两天里有75个人下单订票,其中有三四个人最终被骗”。
吴某要骗的不是订机票的小钱,而是订机票的人银行卡上的大钱。这种特价机票钓鱼网站上挂出的机票信息大多是国内航线的打折票,价格在两三百元至一千多元不等,比官网要低很多。因为折扣低,吸引了很多客户,他们一般会在网站上下订单,内容包括姓名、航班、电话等信息。之后,拨打客服电话询问有关事宜,一些已经通过银行转账的客户,还会确认钱款是否到账。客户付钱后,他们会以系统出错为由声称无法出票,再骗他们去ATM机上退款,随后,受害人被忽悠到ATM机前,吴某会以保障客户银行卡内资金不受损失为借口,骗他们说出卡上余额,再以输入“激活码”、“验证码”等形式将受害人卡里的钱全部划走。
(案例来源新浪新闻)
以假乱真的钓鱼网站是钓鱼骗局重要部分
最典型的网络钓鱼攻击,是将用户引诱到一个通过精心设计的、与用户访问的目标网站非常相似的钓鱼网站上,用复制图片、网页设计、相似的域名、URL隐藏、URL缩短等方式,混淆用户的判断,以此骗取用户个人敏感信息或支付款项,再利用个人敏感信息实施精准诈骗。在钓鱼攻击的流程中,一个以假乱真的钓鱼网站是钓鱼骗局最重要的组成部分,结合伪基站短信、钓鱼邮件、客户端木马程序等技术方式,网络钓鱼成功率高得惊人。
被钓鱼网站仿冒的通常是一些合法的品牌网站,拥有一定的用户量并需要进行敏感信息交互,比如网上银行、电子商务网站、电信运营商网站、在线旅游、酒店、订票服务等等。以前钓鱼网站通常会通过申请与合法品牌网站相似的仿冒域名用来迷惑用户,比如前文案例中的I0086(用字母I替换数字1),或taoba0(用数字0提到字母O)等。但针对这类域名的治理,使得申请这些域名不那么容易了。
反网络钓鱼工作组(APWG)发布的报告显示,现在已经极少钓鱼者注册与合法品牌混淆不清的域名了,骗子主要在二级甚至三级子域名中使用带有合法品牌名称或其错误拼写的URL,在浏览器中尤其是移动端浏览器中,主域名被隐藏,用户只能看到最前端的二级/三级子域名(仿冒域名)。
为了让钓鱼网站看起来更加真实,钓鱼者还开始利用HTTPS加密来包装自己。获取匿名的免费SSL证书已经变得非常容易,不需要验证网站真实身份,只需验证域名所有权,即可免费拿到证书。仿冒域名、身份匿名、https及挂锁、没有UI警告等特征,让钓鱼网站看起来“越来越真实”,用户几乎难以分辨。
展示企业真实身份,打击匿名假冒网站
为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站不仅需要通过HTTPS加密保护用户数据,更需要使用更高信任级别的SSL证书展示网站真实身份,让用户有足够的信息识别真实网站,从而打击假冒网站。
申请OV和EV SSL证书需要完成严格的身份验证,网站身份是可以追溯的。所以,几乎没有恶意网站或钓鱼网站会使用OV或EV SSL证书。因此,企业网站应该采用OV以上级别的SSL证书,将自己和假冒网站区分开,让用户可以通过证书中的网站身份信息判断网站真实性。充分利用网站身份信息才是反钓鱼、反恶意网站的最佳防御机制。
时值“315消费者权益保护日”,沃通推出“超真SSLPre通配型买两年送一年”的SSL优惠活动,帮助更多企业网站展示网站真实身份信息,保护用户免受钓鱼网站欺诈,共同构建真实可信的互联网消费环境。