研究表明:网络钓鱼也玩“黑吃黑”
通过对约1000种DIY自制网络钓鱼工具包的分析,研究人员们发现其中约有四分之一会悄悄将钓鱼信息发送回原始开发者,借以实施钓鱼网络犯罪活动。网络安全企业Imperva公司安全研究工程师卢达-拉扎表示,这种迹象意味着开发者所采用的商业模式发生了变化。相较于以往的犯罪软件即服务模式,“开发人士”如今开始以免费方式向地下网站的客户提供这些工具。然而与此同时,他们仍在悄然利用渗透机制经由自己的产品获取收集用户数据。
拉扎在其1月4日发布的Imperva博文中指出,这将使得更具经验的网络钓鱼工具开发人士能够从缺少实践经验的工具使用者手中收集相关信息,从而“减少自身压力与风险水平,同时提升投资回报率“。
这种策略之所以可行,是因为随着安全措施规避技术的出现,部分钓鱼网页及服务器的生命周期有所延长。举例来说,Imperva公司观察到的1019种网络钓鱼工具包当中,有17%包含阻止网络访问(例如网络研究人员)的机制——这将使得目标网站看似已经被删除。13%的工具包存在鲜明的黑名单逃避技术,此类技术能够将每位新的受害者重新定向至新生成的随机位置。“通过这种方法,钓鱼者能够将钓鱼工具包中的直接链接隐藏到黑名单之内,从而延长钓鱼页面及服务器的生命周期。”
钓鱼工具来源
此次发布的钓鱼工具包主要来自两个来源:TechHelpList.com与OpenPhish。Imperva公司指出,他们收集到的样本大多属于业余攻击者所经常使用的钓鱼工具,且其中一部分用户从未将其购买的工具从攻击目标服务器上移除,因此其极易受到目录遍历攻击的影响,且允许研究人员对其进行下载及分析。
聚类分析还表明,本次研究工具包中约半数由一个经验丰富的攻击者小型社区所打造,而其中三分之一来自三大最为主流的工具家族。
以下证据进一步证实了这项理论:从钓鱼工具包中提取到的271项作者签名中,有51%被确定为并非惟一,这意味着其此前就曾经被观察者发现。另外,76%的工具包被发现设有非惟一目的。
其它发现还包括:
这篇博文指出,此次大部分工具包被发现“包含复制目标网站所需要的全部资源,包括图像、HTML页面以及CSS文件。这能够减少工具包向目标站点发出的请求数量,因此能够在原始站点进行传入请求分析时有效控制被发现的机率。”
76%的工具包购买者仅购买了一套钓鱼工具包,16%的买家购买两套工具包,其余8%则购买了三套甚至更多以实现利润最大化。
目前约15%的钓鱼工具包针对Google Docs。
页:
[1]