目标式钓鱼攻击 网站限上“榜”者可见

传统的网络钓鱼攻击没有确定的目标,比如窃取个人信息的一类攻击,面向所有的上网对象,越多的人受到攻击,黑客就能获取越多的资料。不过,最近出现的名为“Bouncer list phishing”的网络钓鱼新方式却颠覆了这种模式。“Bouncer list phishing”的“创新”之处在于,只有被列为攻击目标的人才能看到钓鱼网站。锁定攻击目标并限制只有这些人才能连上恶意网站,这种目标式攻击可以看作是愈演愈烈的高针对性攻击的一个缩影。

目标式钓鱼攻击 网站限上“榜”者可见

在每一次Bouncer list phishing攻击中,攻击者会列出目标名单的E-mail,同时赋予每位收件者一个自动产生的ID,然后给他们每人发送一个唯一的URL,若收件人点击该URL,Bouncer攻击套件就会快速验证此ID是否在目标名单中,如果是,Bouncer攻击套件就会在同一个网络服务器上,将相关的档案复制到一个暂时文件夹中,然后加载钓鱼网页,并将该使用者导引到此恶意网站以窃取其机密资料。不过,如果你不在黑客的目标名单中,当你点入该连结,就只会看到“404 page not found”的信息,即无法找到该网页。

显然,这意味着攻击者试图从某个特定人群获取资料,比如某个国家、某个特定公司。RSA在线威胁管理服务商业发展主管Daniel Cohen表示,这种重“质”甚于量的数据窃取行为,在黑市上可能获取更高的价值,而且这种攻击可能是来自某个服务供应商,而非独立运作的黑客。

截至目前为止,已经侦测到南非、澳洲和马来西亚的金融机构有Bouncer list phishing的攻击案例,在每一波攻击中,平均会锁定3000名左右的攻击目标。

RSA网络犯罪和网络诈欺专家Limor Kessem表示,这种手法就好像夜店出入管制一样,如果你的名字不在邀请名单里,那你就会被控管进出的保镖拒之门外,这就是命名为Bouncer list phishing的原因。

这样的手法也为安全公司带来新的挑战。由于只有特定的人可以看到钓鱼网站,因此可以避免安全公司发现这些攻击,并且快速的将网站下架。 Daniel Cohen表示,每天有上百万个URL,要发现这样的攻击简直就像是在大海捞针一样。此外,Kessem指出,这种攻击方式还可能结合鱼叉式网络钓鱼 (Spear phishing)、高级持续性渗透攻击 (Advanced Persistent Threat,APT)…等攻击行为,用户不可不慎。

根据RSA统计,网络钓鱼威胁在过去一年来快速升温,2012年的攻击案例从2011年的近28万件成长到44.5万件,增加幅度高达59%,造成15亿美元的损失金额。另一方面,网络钓鱼技术在2012年依旧持续演进,比较显著的趋势包括更实时的凭据验证,以及透过分析工具回传攻击是否成功。