网络安全深度剖析:什么是诱饵攻击?
诱饵攻击是一种利用社会工程学来操纵你的网络钓鱼攻击。这些攻击通常利用你的贪婪或好奇心,诱使你将恶意软件植入设备。
这些攻击通常有三种形式:
- 物理介质 – 不良分子通常会在工作区、停车场或办公楼走廊周围留下感染的USB驱动器,希望有人会发现并将其插入设备。
- 在线下载 – 黑客可以通过社交媒体直接发送消息或通过电子邮件试图说服你访问链接。这些消息包含指向恶意文件的链接,一旦打开将在你的设备上安装恶意软件。还有一些网站承诺提供免费材料,可能会变成诱饵攻击。
- 诱人的优惠 – 电子邮件提供免费或大幅折扣的优惠,如果你点击链接就能得到。这些链接是受感染的,会在你的设备上安装恶意软件。
历史上最臭名昭著的诱饵攻击之一是2008年针对美国国防部的攻击。
它被称为“美国军事计算机史上最严重的入侵事件”,并导致了美国国防部的国家网络司令部的创建。
操作Buckshot Yankee,就是这样被称呼的,它涉及到一个感染的USB闪存驱动器被遗留在中东某个美国国防部设施的停车场。
一名特工将感染的闪存驱动器插入笔记本电脑中,无意中安装了用于从基地计算机窃取信息的恶意代码。
这种恶意软件本身是一种自我复制的蠕虫,会自动在美国国防部的网络中传播。五角大楼花了14个月的时间才完全清除了这个蠕虫。
这是一种经典的诱饵策略,诱使受害者好奇。它几乎导致了国家规模的危机。
个人和组织都面临诱饵攻击的风险。但组织应该更加小心。毕竟,风险更高,后果更严重。
一个员工被诱饵攻击的结果可能会引发一连串的数据泄露、声誉损失、财务损失等。
接下来,我将深入探讨诱饵攻击。我将向你展示它们是什么,使用的具体原则,常见的情景和技术,案例研究以及警示信号。
让我们开始吧!
诱饵攻击与传统的网络钓鱼有何不同?
诱饵攻击是广义网络钓鱼攻击的一个子集。本质上,诱饵就是一种钓鱼手段。
然而,诱饵攻击有一些特定的元素:
- 它诉求于的情感
- 常见的使用场景
让我们来详细看看这两点,了解诱饵攻击是如何工作的:
1. 诱饵攻击的心理学
绝大多数的诱饵攻击诉求于两种基本情感——贪婪和好奇。
当谈到贪婪时,黑客通常会用财富的承诺、折扣、独家优惠以及听起来好得令人难以置信的事情来说服你。
财务收益的前景常常使受害者盲目地做出冲动的决定,而不加思考。
这使他们冒险去做一些他们平时不会做的事情。通过贪婪,诱饵攻击操纵受害者自己危害自身的安全。
这可能意味着下载恶意软件或访问一个承诺产品重大折扣的链接。
当谈到好奇心时,情况则有所不同。黑客通常会使用物理媒介来吸引注意力,并利用受害者的好奇心。
这种攻击的想法是通过创造一种神秘和兴趣来吸引受害者。受害者会感到被迫去查看他们发现的随机USB驱动器上有什么,或者打开他们收到的神秘链接。
坏人通常会在这些物理USB驱动器上贴上“机密”或“分类”标签,以更进一步激发受害者的好奇心。
在线上,这些基于好奇心驱动的诱饵攻击可能承诺提供你平时无法获取的机密信息或秘密。
通过了解诱饵攻击如何利用这两种情感来操纵你做出冲动行为,你可以提高警惕,保护自己。
这对个人和组织都是适用的。员工也应该接受诱饵攻击的基础教育,以避免成为这些攻击的猎物。
2. 常见攻击场景
诱饵攻击经常有一些比基本的网络钓鱼攻击更常见的特定场景。
让我们来看看其中的一些:
- 高折扣
你可能会收到一条消息或邮件,谈论一个你一直在寻找的产品或服务的非常高(好到难以置信)的折扣。
- 免费产品/服务
有时,诱饵攻击承诺的产品/服务是免费的。黑客想尽可能地利用你的贪婪心理。
而谁能抵抗免费呢?
- 赢得大奖
另一个常见的场景是赢得一大笔钱。这可能是一个你被自动注册参加的彩票(根据黑客所说)或是一个遗产。
我个人过去收到过很多类似彩票的邮件,它们都要求你提供个人信息来给你汇款。
不要上当——这是个骗局!
- 意外奖品
黑客可能会冒充你之前使用过的购物服务,给你一个意外的奖品。
他们可能会编出各种理由,比如奖励顾客的忠诚计划。
当然,黑客提供的链接和电话号码都是假的。不要上当!
- 假装投递
另一个诱饵场景是,当威胁行为者给你留下一张门卡,说你错过了一个包裹。这次,我们面对的是一种物理攻击,黑客知道你住哪里这一事实极其危险。
标签上可能包含一个电话号码或另一种联系方式——不要使用它们。让你的好奇心平息吧,因为这是个骗局。
但攻击者是如何构建他们的诱饵攻击并确保其有效性的呢?让我们看看下面!
诱饵攻击的剖析
威胁行为者使用某些技术来确保他们的诱饵攻击效率。让我们看看这些技术是什么:
- 伪装
在涉及恶意文件的诱饵攻击中,黑客会确保将这些文件伪装成看起来无害的格式。
他们会使用无害的扩展名、听起来合法的名称,以及不会引起注意的非威胁性图标。
这一切都是为了欺骗你打开它们。目的是创造无辜的错觉并隐藏危险。
这也适用于黑客试图通过编辑其URL使之看起来非威胁性的恶意链接。
- 信任关系
诱饵攻击几乎完全依赖于最初的印象。黑客知道他们只有几秒钟的时间说服你做出愚蠢的举动。
因此,他们需要你足够信任他们,以点击链接或下载恶意软件。
他们经常假装代表你之前打过交道的合法公司。这一切都是为了获得你的信任,让你放下防备。
黑客还可能在给定领域扮演一种权威感——比如市场专家或秘书——以获得你的信任。
- 情感放大
所有诱饵攻击都使用情感让你做出你否则不会做的事情。但为什么它们会奏效呢?
这是因为情感放大。这些攻击通过放大某些情感如贪婪、好奇、稀缺和紧迫感来起作用。
这增加了你落入陷阱的机会,因为你的情感会占上风。
当我们屈服于好奇心、贪婪或紧迫感时,我们的理性思维过程会退到后面,为冲动的决策让路。
这就是黑客所赌注的——通过放大这些情感,你会做出轻率的决定。
案例研究
为了理解诱饵攻击在现实世界中是如何运作的,以及传达潜在的后果,我准备了5个涉及诱饵攻击的真实案例研究。
分析它们将揭示这些攻击的工作原理。那么,我们开始吧!
1. Stuxnet蠕虫(2010)
Stuxnet可能是历史上最臭名昭著的诱饵攻击,导致了严重的地缘政治后果。
这里是Stuxnet或被称为奥林匹克运动行动的具体情况:
- Stuxnet是一个蠕虫(一种自我复制的恶意软件),存储在一个物理USB驱动器上,感染了位于纳坦兹设施的伊朗核计划
- 其目的是寻找设备上由西门子制造的PCLs(可编程逻辑控制器)并更改它们的编程
- 更改PCLs的编程影响了核离心机的旋转速度,要么损坏它们,要么完全摧毁它们
- 与此同时,PCLs会(错误地)向控制计算机传输一切正常工作的信息
当时,纳坦兹核设施被认为是防渗透的,因为其系统从未与互联网连接过。
唯一能渗透该设施的方式是物理方式。这正是Stuxnet如何进入的——一个纳坦兹员工在工作设备上插入了USB驱动器。
一旦蠕虫在野外释放,它就会在纳坦兹的内部网络中从设备传播到设备,寻找所有的西门子PLCs。
有趣的是,Stuxnet利用了五个零日漏洞和一个后门通过纳坦兹设施中的Windows PC传播:
- 打印机池程序的一个错误
- 一个Windows快捷方式漏洞
- 两个权限提升漏洞
- 一个与西门子PLCs相关的漏洞
- 在Conficker攻击中使用过的一个后门
如果你对网络安全有所了解,那么你就会知道,同时利用这么多漏洞是极为罕见的。
这是因为黑客不想一次性亮出所有的底牌。通常情况下,一旦一个零日漏洞被公之于众,安全公司会开发出补丁,切断黑客的访问途径。
然而,Stuxnet是一次不择手段的网络攻击,它只需要一个机会就能渗透纳坦兹设施并破坏其核计划。
这个蠕虫还使用了多种编程语言编写,包括C、C++和其他面向对象的语言。
即使到了今天,它仍然是有史以来编写最复杂的恶意软件之一。专家们今天仍在解剖它,以便从中学习。
但是,Stuxnet是否成功了呢?简而言之,是的。它在一年内成功使大约2000个离心机退役,而通常情况下一年退役的离心机数量大约为800个。
有传言称Stuxnet至少将伊朗的核计划推迟了两年。它之所以被发现,唯一的原因是一名纳坦兹员工将其带出并在工作设备上使用。
安全研究人员最终发现并解码了它,大部分情况下。它有超过15000行的代码,远远超过任何其他恶意软件所包含的内容。
而这一切都是从一个纳坦兹员工随机发现并插入工作设备的单个USB驱动器开始的。
彻头彻尾的诱饵攻击!
2. 极光行动(2009)
免责声明 – 极光行动虽然包含了诱饵元素(针对性的网络钓鱼策略),但它并不是典型的诱饵攻击。它主要是利用零日漏洞和后门。
极光行动是历史上最广泛的网络攻击之一,由Elderwood Group(与中国有关联)对几家知名美国公司发起。
确认的目标包括:
- 谷歌
- Adobe系统公司
- 阿卡迈技术公司
- 瞻博网络
- Rackspace
根据各种报告,赛门铁克、雅虎、陶氏化学、诺斯罗普·格鲁曼和摩根士丹利也是极光行动的目标。
这次攻击的主要目的是窃取美国私营部门的商业秘密——它们的源代码仓库。
事件的经过如下:
I. 攻击开始
极光行动的解剖非常引人入胜,因为它的复杂程度。据McAfee表示,攻击者利用了多个在Internet Explorer浏览器应用和Perforce版本控制软件中的零日漏洞。
黑客有效地向这些公司的员工发送诱饵邮件,试图假冒同事或可信来源。他们诱使受害者点击恶意链接,这将在公司设备上安装被感染的恶意软件。
通过针对性网络钓鱼策略和零日漏洞利用,攻击者获得了他们需要的提高权限,以访问公司的计算机系统。
他们还使用了Gmail账户的后门连接,以获取对计算机系统的访问权限。
II. 谷歌宣布遭到攻击
2010年1月12日,谷歌在其博客上宣布,它在12月中旬遭到了来自中国的网络攻击。
他们还声称,在同一时期有超过20家公司被同一群体攻击。
因此,谷歌表示将考虑结束其在中国的业务关系。同一天还发布了各方的多项政治声明。
中国政府对这些指控没有发布正式回应。
III. 赛门铁克开始调查这些攻击
网络安全公司赛门铁克和McAfee提出代表谷歌和所有其他受影响的公司调查这次攻击。
在审查了证据(域名、恶意软件签名、IP地址等)后,他们发现Elderwood Group负责极光行动。
这个黑客组织也被称为“北京组”,他们获得了谷歌的一些源代码和有关几位中国活动人士的信息。
McAfee威胁研究副总裁Dmitri Alperovitch将这次攻击定名为“极光行动”,因为“极光”是两种在攻击中使用的恶意软件中包含的文件路径。
IV. 后果
攻击成为公众知识后,许多国家因为其中嵌入的零日漏洞暂时停止使用Internet Explorer。
谷歌也退出了中国市场,只在香港维护一个本地版本的搜索引擎。
极光行动对中国的损害比对美国更大,因为前者在攻击后的后果中损失更多。
识别和预防诱饵攻击
大部分情况下,识别诱饵攻击并不难。幸运的是,采取一些预防措施并了解诱饵攻击是如何欺骗你的,将在很大程度上保护你免受伤害。
首先,让我向你展示诱饵攻击最常见的警告信号!
1. 警告信号
- 紧急的电子邮件主题行
一开始,如果你看到一个危言耸听的电子邮件主题行,你的骗局警报器应该已经在响了。
这样的主题行可能会写着“立即更改密码”或“趁还有折扣时快来抢购”。
如果对方制造紧急感,想触动你的情绪,让你做出冲动决定,你应该开始怀疑他们的意图。
要么是合法的(?)营销邮件,要么是意图欺骗你的诱饵攻击。在很多情况下,两者并不像我们希望的那样界限分明。
- 索要个人/敏感信息
如果对方请求你提供个人或敏感信息,如你的信用卡号码,千万不要提供。
没有任何合法公司会通过电子邮件或直接消息要求敏感信息。这是因为敏感信息就是敏感的——它关系到你的身份,只有你应该知道。
99.99%请求此类信息的电子邮件都是诱饵攻击。其余的0.01%要么是不专业的公司,要么是正在处理特别严重安全问题的公司。
- 发件人地址或域名是假的
当你收到一封来自你认识的人(甚至是你的上司)的奇怪电子邮件时,看看他们的电子邮件地址或域名。
然后将其与你通讯录中的真实信息进行比较。它们是否相同?或者邮件中使用的地址略有不同?
也许它多了一个字母,或者使用了大写锁定,或者某个字母被重复了。那就是一封精心(或不精心)制作的钓鱼电子邮件地址,目的是欺骗你。
2. 教育措施与技术防护
由于诱饵攻击是钓鱼攻击的一个子类别,我将引导你阅读我的关于钓鱼攻击的指南。
预防方法和警告信号对两者都是完全相同的:
- 语法错误
- 出现意外的附件
- 在奇怪的地方使用大写锁定
- 紧急的语气
高级反恶意软件服务提供商将帮助你防止感染,以防你误入诱饵攻击并下载了恶意软件。
你可能还想选择一个更私密和安全的电子邮件提供商,比如Proton。他们的电子邮件过滤器更适合识别潜在的垃圾邮件和钓鱼攻击(这些电子邮件将自动被发送到垃圾邮件文件夹)。
这将让你更好地了解这些电子邮件的预期。但要小心——并不是你垃圾邮件文件夹中的所有电子邮件都是钓鱼邮件。
电子邮件过滤器并非总是100%准确,所以它们可能会犯错。
结论
诱饵攻击是最常见的钓鱼攻击形式。它们利用心理学诱骗你访问感染链接或下载恶意附件。
但它们也是一些最容易防御的攻击。防御诱饵攻击只需要两件事:
- 网络安全意识 —— 如果你知道诱饵攻击就是诱饵攻击,你就不会上当
- 自我控制 —— 在意识到你正在处理什么之前,不要变得冲动。诱饵电子邮件制造人为紧急情况,让你采取冲动行动
说真的,只需要这两样东西,你就永远不会再上诱饵攻击的当。
尽管如此,识别诱饵攻击并不总是容易的。因此,让这个指南(和关于钓鱼攻击的另一个指南)教你如何做到!
来源
CRN — 美国军方确认2008年对美国军队的网络攻击
CSO Online — Stuxnet解释:已知的第一个网络武器
Gizmodo — Stuxnet被发现的内幕故事
JPost — “Stuxnet病毒将伊朗的核计划推迟了两年”
CS Monitor — 窃取美国商业机密:专家识别中国的两个巨大网络“团伙”
Google Blog — 对中国的新策略
隐私事务 – 为什么钓鱼攻击如此普遍 & 如何防范?