新聞中心

Malware and antivirus software

以假亂真的攻擊:切勿輕信您所看到的

Created: 2017-10-03 09:46:15

 
就在攻擊者們正尋找新的、日益複雜的攻擊手段,逃避防毒軟體檢測機制之時,他們也在不斷改進作案手法,更好地欺騙和蒙蔽用戶,或至少繞開標準IT安全培訓課上所傳授的主要安全技巧。儘管如此,我們不妨更新一步強化自身安全,歸納攻擊者們所採用的策略,這也正是下文將要探討的內容。
 
首先,攻擊者們通過使用令人信以為真的圖片或納入內嵌框架,將從真實網頁上提取的內容添加進去,大幅改進了釣魚郵件的設計。同時,由於現如今網上字典和翻譯器的方便,攻擊者們可以設法避免在電子郵件中出現語法和拼寫錯誤。
 
此外,單單查看電郵或短信寄件者的位址是不夠的,因為攻擊者可以借助身份偽裝技術,通過在資訊資料中弄虛作假,仿冒正規機構的身份。同時還有必要特別關注垃圾郵件所包含的連結,因為假冒網站常常隱藏在縮略或合成位址之後,以致於一眼看上去無法顯露其真實目的。即便如此,我們仍然建議並至今認為這一建議始終管用,那就是檢查網頁是否加密,是否使用HTTPS加密協議,以及最重要的,是否具備安全證書。
 
網路罪犯與加密網站
雖然多數假冒網站使用HTTPS協定,而真實網站(例如社交網站、網上銀行等)是要求通過HTTPS加密頁面輸入使用者密碼的,但這並不意味著攻擊者無法使用加密頁面。實際上他們可以很容易地將網站改造成HTTPS,獲取完全有效的SSL/TLS證書,無需支付任何費用。
 
要想以假亂真,攻擊者需要能夠註冊與真實網站看上去盡可能一樣的功能變數名稱,並為新網站獲取證書。其中一種途徑就是尋找拼寫方式一致的功能變數名稱,例如用twiitter.com來仿冒twitter.com ,或用rnercadolibre.com來仿冒 mercadolibre.com等。
 
還記得讓您填寫缺失字母或不完整語句的拼字遊戲嗎?當您快速閱讀的時候,看上去就像是語句完整無誤的一樣。對於很多人來說,在流覽網址的時候,道理是一樣的。
 
初看上去,如果快速閱讀的話,這裡的例子能夠矇騙不少人。但您只需要仔細觀察網址的寫法,便能洞察其中的奧妙。攻擊者需要做的是註冊不同位址的網站,使之在用戶看來與真實網站無異。這就是他們所採取的同形異義詞攻擊法。
 
我們看一個例子,你能判斷這個網站是真實還是假冒網站?
 
 
此例是研究人員鄭旭東概念證明的一部分,他註冊了網站 https://www.xn--80ak6aa92e.com/。您可以通過火狐流覽器訪問該連結,查看其原理。
 
實現假冒的方式是使用了非拉丁書寫系統中的通用字元碼,例如古斯拉夫字母或希臘字母。在這些字母中,我們可以找到與拉丁字母表或網址中類似甚至完全相同的字元。由於功能變數名稱編碼系統的存在,可通過將字元碼編譯為更有限字串,並相容網址的綜合編碼系統,可以使用此類字元註冊網址。
 
例如可以註冊“xn--pple-43d.com”的功能變數名稱,流覽器將其解析為“apple.com”,但實際上是使用了古斯拉夫字母“a”(U+0430)而非ASCII字元“a”(U+0041)。雖然對於流覽器和安全證書而言,兩個字元裸眼看上去一樣,但實際上是兩種不同的字元,因此代表不同的網站。
 
此類例子數不勝數,例如“tωitter.com”(功能變數名稱編碼系統中為xn--titter-i2e.com)以及“gmail.com”(功能變數名稱編碼系統中為xn--gmil-6q5a.com)等。您甚至可以使用通用字元碼和通過網址編碼系統轉換器,自行創建貌似一致的網址。
 
許多最新流覽器都有防範此類攻擊的防禦機制,例如,在火狐或Chrome 流覽器中,如功能變數名稱中含有不同編碼系統中的字元,則會顯示其所對應的通用網址編碼而非通用字元碼。
 
因此在上例中,位址欄會顯示“xn--pple-43d.com”(通用網址編碼格式)而非“apple.com”,同時“tωitter.com”會顯示為“xn--titter-i2e.com”。
 
儘管如此,為證明概念,鄭旭東設法只利用古斯拉夫中字母表中的字元,註冊了功能變數名稱“apple.com”,規避了流覽器的保護機制,從而使“xn--80ak6aa92e.com”顯示為“apple.com”。
 
該研究人員還進一步通過亞馬遜獲取該功能變數名稱的TLS證書,使之初看上去足以以假亂真。
 
 
但如果我們仔細觀察網址,便能看到它實際為“xn--80ak6aa92e.com”。
 
 
雖然在最新版Chrome和Internet Explorer流覽器中已經修復了這一漏洞,但諸如火狐等其他流覽器中仍存在該問題。火狐用戶可以選擇啟用network.IDN_show_punycode選項,以便始終以通用網址編碼格式顯示字串。
 
即便如此,上例中的gmail.com網站還設法繞過了Chrome的防護機制,通過只使用拉丁字元,但添加了一個特殊拉丁字元方式(ạ—注意a下方的圓點),使流覽器顯示假冒的功能變數名稱。
 
需要強化防護
每次發現新的釣魚網站或假冒網頁試圖矇騙使用者時,我們都會重複同一建議:核對發件位址、查看頁面連結、確保拼寫正確,最重要的是使用加密連結(即HTTPS)並具有安全證書。
 
然而隨著網路罪犯應用日益複雜的技術矇騙用戶,這些防範措施已無法提供充分保障。使用HTTPS和證書,對於攻擊者而言並不屬於其考慮範疇,他們的目的是竊取您的帳戶和密碼,又怎麼會在乎是否使用加密連結?
 
問題是此類技術的運用給了用戶一種虛假的安全感,使其在相信網站安全性的基礎上輸入帳戶密碼,遵循令人作嘔一般反復強調的安全建議,查看網址前是否有加密鎖圖示,是否為HTTPS連結。但現實中這些措施均無法提供充分的安全保障。
 
正是由於這一原因,除密切觀察電郵和網站地址之外,我們還建議您仔細查看安全證書,避免訪問電郵中所給出的網址連結(更好的方式是手工輸入網址或通過可信直接連結訪問),並通過使用雙重身份驗證機制(ESET雙重認證安全),為您的帳戶密碼增添一道附加防護屏障。
 
ESET雙重認證安全(SECURE AUTHENTICATION):
提供公司網路與資料安全、易用的遠端連線雙重認證功能,其採用一次性雙重密碼認證機制(2FA-OTP),密碼隨機而成無法預測或重覆使用,可廣泛搭配各類VPN應用與商業工具,包含Microsoft Sharepoint與Microsoft Dynamics CRM等,透過登錄遠程桌面或VMware Horizon View,大幅提高外出辦公時遠端連線至公司設備瀏覽機密資料的安全性。
 
原文出處: https://www.welivesecurity.com/2017/07/27/homograph-attacks-see-to-believe/