生命是由黑色的板块组成，我就是黑板

社会工程学之网络钓鱼攻击案例分析
HaK_BaN[B.C.T]

       社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。
      总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。它蕴涵了各式各样的灵活构思与各种嬗变的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作，这些准备工作甚至要比其本身还更为繁重。
      社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式，从合法用户那里套取用户系统的秘密，例如：用户名单、用户密码及网络结构。比如：如果抗拒不了好奇心而打开了充满诱惑字眼的邮件，邮件携带的病毒就有可能被传播。MYDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。
      随着网络的发展，社会工程学走向多元化，网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。社会工程学是一种与普通的欺骗/诈骗不同层次的手法。系统以及程序所带来的安全往往是可以避免得，而在人性以及心理的方面来说，社会工程学往往是一种利用人性脆弱点，贪婪等等的心理进行攻击，是防不胜防的。借此我们从现有的社会工程学攻击的手法来进行分析，借用分析来提高我们对于社会工程学的一些防范方法。

一、网络钓鱼攻击手法

网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，从而创造了“Phishing”，Phishing 发音与 Fishing相同。
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。

1.网络钓鱼特点

网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的，存在着多个特点:

(1)存在着虚假性（欺骗性）大家都已经听说过假币，利用极度模仿的手法去伪造真实货币的样貌，不管是什么角度来看都是和真实的没有什么两样，钓鱼者可以利用自己的站点去模仿被钓网站的克隆，然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器，在服务器上面做相同的事情，让自己可以更好的脱离其中，逃避追踪以及调查。

(2)存在针对性，我们可以在APWG（Anti-Phishing Working Group）的钓鱼报告看出，通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等，随着互联网飞速的发展，电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动，带动了很多的新兴行业，也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。

反钓鱼攻击工作组(APWG)成立于2003年，致力于对付网络上的各种身份盗窃和邮件诱骗。该工作组在信息安全业界是一个优秀的工会，拥有超过1700个成员，分别来自世界各地1000多家金融服务企业、网络服务提供商、安全解决方案提供商、法律执行机构、法庭、规章机构和消费者组织。APWG的网站是www.antiphishing.org。

(3)存在着多样性，网络钓鱼一种针对人性弱点的攻击手法，钓鱼者不会千篇一律的去进行攻击，不管是网络、现实到处都存在着钓鱼式攻击的影子。钓鱼者不会局限于常用的伪造网站，虚假邮件等等的手法，钓鱼者会结合更多的便民服务，人性的贪婪去想象更多令人容易心动，容易受骗的形式去骗被钓者，从而在更短的时间内得到最好的效果。

(4)存在可识别性，网络钓鱼并不是无懈可击，更加不是说可以完完全全的没有破绽。从钓鱼者的角度出发，钓鱼者本身会利用最少的资源去构造自己的钓鱼网站，因为无法去利用真实网站一些独有的资源（例如：域名，USBKEY，数字验证等等）。所以，在伪造网站的方面，会利用近似或者类似的方法来进行欺骗，通常我们可以查看伪造网站以及根据经验去识别其真实性，当我们查看HTML源码或者是一些独有的资源时，我们就可以很容易看出虚假网站的真实性了。

数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决“我是谁”的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。
数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一 把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。

(5)存在结合性，我们正在使用的操作系统以及程序都会出现很多的安全隐患以及漏洞，钓鱼者会利用这些漏洞从而来进行攻击，例如：利用Internet Explorer的一些漏洞去构造连接地址，或者利用漏洞去种植间谍软件或者键盘木马等等。


2.网络钓鱼攻击剖析

(1)利用虚假的网站进行网络钓鱼式攻击
      反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。我们就分析分析国内如何利用虚假网站钓鱼进行骗取QQ密码或者银行帐号信息的。
最近QQ对战平台出现了一群钓鱼“高手”，利用对战平台的悄悄话发布虚假中奖信息，致使被钓者访问虚假网站留下相关的敏感信息。我们来看看他们如何进行钓鱼攻击的。

实际案例:
[12:17:36] 系统提示 对 **** 悄悄说：尊敬的QQ对战玩家，恭喜您，您已被QQ对战平台温馨系统随机抽选成为幸运玩家，您将获得由腾讯公司送出价值$4，577RMB的诺基亚6680时尚手机一部，请您登陆活动网站battleqq.**.cn 联系电话:013-9767*****领取您的奖品。（您的激活码DQJM）

      当我们上去访问这个网站的时候，却发现我们所访问的网站与官方的网站有着一定的可识别性。从截图来看，钓鱼网站的图片以及连接都是连接过去一些与自身无关网站的地址，我们可以把这些地址视为盗链，因为要Copy一个网站只需要几个步骤就可以了。第二就是从图中我们可以看到一个PLMM指着手提电脑的那张图片，有点上网意识的朋友一看就知道是来自●IT.COM.CN●网站的，因为有图显示着来自网站的水印。试问以一个国内大型IM网站的实力，会不会让一个活动网站的宣传页面也需要Copy别人的？！再看看接下来的会有什么特别的注意的。直到登记中奖部分的了，从图2来说，可以看到所谓的官方，需要我们输入相关的个人资料以及帐号等等的信息。先抛开是否是真正的中奖的性质，如果基于钓鱼网站来说，就算不需要你输入银行的密码，也千万千万别输入任何关于你的信用卡或者是银行帐号的信息以及个人身份的信息。钓鱼者可以利用你所泄漏的帐号以及身份证号码进行密码的猜测，从而进行数次的密码碰撞，然后拿取你银行所有的钱。这样子的手法就是我们上面所说的“密码心理学”。借用官方的一句话来说：“我方并不采用QQ信息方式来通知用户中奖信息，也不会贸然让用户泄漏其自身的个人资料”。当我们在使用IM程序的时候，如果接收到这样子的信息或者是活动通知，首先应该访问官方网站，查看是否近期有该类活动。如果没有的话，请不要贸然去相信任何自认是官方的人员。最好的方法就是上官方查看客户服务电话。在没有弄清楚情况下，千万别泄漏自己的任何信息。

(2)利用虚假的邮件进行网络钓鱼式攻击
      虚假邮件的网络钓鱼和虚假网站的网络钓鱼，通常都是结合使用，因为要使影响面可以得到大面积的传播，所以就必须借助E-mail进行传播。当IM开始慢慢取替E-MAIL的今天，IM成为了钓鱼者进行传播虚假信息以及进行社会工程学的战场。让我们好好看看网络钓鱼如何在邮件当中的运用。

实际案例:
      某天，喜欢在网上购物的黑仔收到了一封貌似某网络购物网站寄来的帐号更新邮件，如图3。因为黑仔整天在此网站进行网络购物，所以没有提防该信件是否存在病毒就打开查看了。从信中黑仔得知，因为该网站的政策规定，必须要核对每个用户的真实身份，以便确认网站用户的真实身份是否有假。所以在接收到此信息的时候，请按照给予的地址访问网站，输入自身的个人信息以及网站的账号和密码。看邮件的布局以及信件内容来说，黑仔并没有发现什么问题。为了更深层的确认邮件的真实性，我们必须要查看邮件的原始信息。从原始信息来看，我们可以很容易的发现，邮件的图片都是来自于哪个网站的，而且并没有什么特别之处。 但是有一点令人感觉不解的是，是不是因为太过着急了？新建的Title竟然是一个与此内容不相关的题目，而且更新地址竟然是一个不知道哪里来的地址。就是这个地址令黑仔感到不解。http://66.35.***.**/.us/index.php?MfcISAPICommand=3DSignInFPP。凭着黑仔这么多年的网络经验，涉及大型银行或者是网络购物的网站来说，用户的帐号密码是关系到用户自身的财产安全，一个普普通通的地址竟然是用来更新网站用户的资料，有点不正常不像是大型网站的做法。黑仔的意思是每个金融机构的网站，在涉及敏感信息的情况都不会使用HTTP协议的，HTTP协议（Hypertext Transfer Protocol，超文本传输协议）是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示(如文本先于图形)等。这就是你为什么在浏览器中看到的网页地址都是以"http://"开头的原因。因为超文本协议的不安全性，所以都是采用HTTPS进行交互访问的。所以黑仔根据经验可以大致确定这个地址有诈，此时，我们可以致电网站的客户来确认此事真伪。

HTTPS是一个安全通信信道，它基于HTTP 开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层 (SSL)进行信息交换，简单来说它是HTTP 的安全版。而SSL就是Secure socket layer(SSL)协议，最初由Netscape企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装数字证书，或服务器证书就可以激活服务器功能了。虚假邮件钓鱼的可识别性，总体来说对比起虚假网站来说还是比较容易识别的，因为地址的来源，以及邮件的原始信息分析，我们就可以得到邮件的真伪，而且邮件服务商自身也会帮你进行过滤的。

(3) 利用各种各样的特洛伊木马进行钓鱼式攻击
      在利用虚假网站钓鱼的掩护下，很多钓鱼者都会在虚假的网站上面留下木马。这些网站只是在内容当中相似，但是并不会盗取或者诱骗用户提供信息，而是利用网站诱骗访问者下载网站组件或者是软件。利用这些虚假组件或者是软件对用户的计算机进行控制，或者利用键盘木马来盗取用户相关的帐号以及密码。防御方法其实很简单，就是安装杀毒软件以及防火墙，千万别相信网站所说的什么组件。在你不使用该网站服务的前提下，千万别下载或者安装任何的程序，避免导致主机被种植木马。

(4) 利用IM程序进行网络钓鱼式攻击
      最近，连我们广州的某些电视新闻报道也报道了关于IM程序被实施网络钓鱼的案例，钓鱼者利用发布虚假信息以及结合网站进行网络钓鱼攻击。
即时消息传递，通常称为IM。是一种类似电子邮件的联机通信方式。顾名思义，主要区别是IM具有即时性，IM需要特殊的软件程序（如腾讯QQ、Windows Messenger、MSN Messenger、AOL Instant Messenger、Yahoo Messenger 等）。使用IM程序进行通信具有一些与使用电子邮件相同的安全和隐私风险，但值得一提的是，有些风险较为独特。
当用户在使用IM程序的时候，钓鱼者就会利用虚假信息欺骗用户，然后让用户在交谈的时候泄漏自身的敏感信息。

案例分析:
[14:20:47] 客户服务(1) 对 我 悄悄说：
尊敬的用户，您好：现特举行幸运用户的评选活动，经过随机抽选，您的游戏帐户已经成为幸运用户号码。恭喜您!您可以获得本公司送出的奖品。请您接收到此消息后联系客服工作人员的QQ:422801957联系领取您所获得的奖品

钓鱼者 12:18:02
您好。这里是QQ客服中心。请问您是收到系统温馨消息提示的幸运用户吗？
 
被钓者 12:16:54
是啊
  
钓鱼者 12:18:42
请问您的腾讯QQ号是多少，QQ昵称叫什么? 

被钓者 12:18:10
61**** ****
  
钓鱼者 12:22:50
请您到我们指定的中奖活动首页填写表格: http://***.***.cn。并按提示办理，或是通过客服进行填写表格。
 
被钓者 12:22:34
能不能使用电话进行填写啊!?我比较不想打字啊  

钓鱼者 12:25:10
公司领导为了提高人工客服质量。所以此次活动是不提供任何电话的。

被钓者 12:25:11
那好吧，有什么需要填写?!

钓鱼者 12:26:42
请给予你的身份证号码 住址 出生年月以及你的联系电话

被钓者 12:25:32
地址是:******************
身份证:******************
出生年月:********
电话号码:************

钓鱼者 12:27:39
好的，你的表格已经填写完毕了，您应该清楚你中奖的事项吧？

被钓者 12:35:25
中奖5000元，但是不清楚是如何取得？

钓鱼者 12:36:54
因为本次活动是由***公司赞助，支持，奖金是他们给予您的，我们是不可以扣除奖金的。所以你可以选择网上转帐，因为***公司只接收网上转帐，实在太多用户中奖了。

被钓者 12:35:43
那好的，我给你我的帐号。
**银行帐号:**********************
 
钓鱼者 12:37:43
奖金会在三天之类转入您的帐号，请您在三天之后查询是否已经转帐。

从这里就可以看出，当钓鱼者拿到帐号以及你的个人信息之后，他就会利用这些信息去组合你银行帐号有可能会使用的密码，从而盗取帐号上的资金。
      当你收到这些信息的时候，首先一定要理智的去判断，千万别给物质所吸引。应该去官方查看有没有相关的服务，然后应打电话去官方的客户服务部咨询之后，方可决定是否提交自身的信息。