“精品”釣魚工具流程初體驗以及背后技術大揭秘！

時間：2023-07-22 02:18:01 | 來源：網(wǎng)站運營

時間：2023-07-22 02:18:01 來源：網(wǎng)站運營

“精品”釣魚工具流程初體驗以及背后技術大揭秘?。禾祀H友盟安全團隊經(jīng)過長時間對釣魚工具的積累、建模、技術分析，發(fā)現(xiàn)釣魚工具有越來越專業(yè)化、越來越難發(fā)現(xiàn)的趨勢。本文分為套路篇和技術篇，選取了一個使用多種反偵察手段的釣魚網(wǎng)站工具作為案例進行分析，帶你切身體驗如何一步步“上套”，探究釣魚網(wǎng)站背后的技術手段。

套路篇

Step1.用戶使用PC版User-Agent信息訪問釣魚網(wǎng)站，提示需要手機端訪問，效果如下圖：

由于手機端或者聊天工具相對PC端來說，更容易讓人忽視網(wǎng)址的異常，所以之前許多釣魚站都會在頁面中嵌入JS代碼或者引入JS文件來判斷用戶是否是手機端訪問，如果是手機端的話則會展示釣魚頁面，如果不是手機端則會跳轉(zhuǎn)到官網(wǎng)或者搜索引擎頁面等合法頁面，躲避偵察。

Step 2.在手機聊天軟件中打開釣魚網(wǎng)址，效果如下：

從視覺上來說，該站點非常像正規(guī)網(wǎng)站，頁面的各種細節(jié)都沒有明顯的問題，比如頁面組件的對齊、沒有突兀的字體，讓普通人很難分辨。聊天軟件中或者手機瀏覽器訪問十分不容易發(fā)現(xiàn)網(wǎng)址本身的異常，迷惑性很高。

Step 3.一般警惕性高的人會使用假名字、假身份證號來測試系統(tǒng)，看是不是釣魚網(wǎng)站，但是這個釣魚工具使用假名字和假身份證號測試效果如下，明顯是有對身份證號合法性的校驗：

Step 4.名字就使用“真實姓名”， 我們通過分析代碼生成了能通過驗證的假身份證號。執(zhí)行完這步后犯罪分子已經(jīng)收集到用戶的身份信息，跳轉(zhuǎn)至如下頁面。該站點謊稱用戶認證失敗，需要進一步使用銀聯(lián)信息認證，這是在為收集受害人的銀行卡信息做準備：

Step 5.點擊“立即認證按鈕”，展示如下頁面：

這里多說一句，這個“卡余額”有點多余了，不過這個信息對犯罪分子是有意義的。他們一方面可以自己去盜取被害人資金，另一方面也可以將釣魚到的用戶信息進行打包出售，信息售價會根據(jù)標稱的“卡余額”而有所不同。

Step 6.一般警惕性高的人還是會隨便編一個銀行卡號測試網(wǎng)站的真實性，而這一套釣魚網(wǎng)站代碼中有對銀行卡有效性的校驗，更具迷惑性。用戶輸入普通銀行卡號后不會提示輸入有效期和CVN，只有輸入信用卡號才會，因為犯罪分子使用信用卡套現(xiàn)的時候需要用到這兩個信息：

Step 7.不像一般的釣魚網(wǎng)站直接會在上一個頁面就要求輸入銀行卡密碼，這一套釣魚網(wǎng)站都是等點擊提交之后，模仿銀行APP的密碼輸入頁面提示要輸入密碼驗證，而且這個密碼輸入頁面的樣式與之前的樣式明顯不同，會讓人誤以為是真的調(diào)出了手機上的支付軟件而放松警惕：

上面這個頁面為示意圖，真實的密碼輸入頁面與之類似，也是灰色背景，不過是暗紅色數(shù)字按鈕。不知道是犯罪分子發(fā)現(xiàn)了我們在測試還是真有積壓，現(xiàn)在訪問返回的是如下提示：

Step 8.到此犯罪分子已經(jīng)收集到了受害人的銀行信息，但是他們依舊會彈出一個加載中的頁面，難道真的是有人在后臺蹲守？頁面如下：

Step 9.我們常見的釣魚手法分為兩種，一種是利用惡意SEO手段，或者在論壇、各種社交媒體散布虛假信息，增加釣魚網(wǎng)站的曝光度，引導受害人上鉤；另一種是不去散播釣魚網(wǎng)站，而是通過短信、郵件、群聊天等形式定向的投送釣魚網(wǎng)站鏈接給受害人，更有甚者會假扮客服將受害人拉入一個視頻會議，視頻會議中有詐騙團伙專門精通詐騙話術的人快速的用各種違法收集到的信息沖擊受害人，降低受害人的辨別能力，再輔助明顯出自違法團隊開發(fā)的釣魚工具而生成釣魚網(wǎng)站，一般人很難防范。

天際友盟DRP數(shù)字風險防護服務致力于反釣魚欺詐等數(shù)字風險防護場景，經(jīng)過長時間的積累，對大量的釣魚工具進行了建模。本次分析的釣魚工具生成的頁面已經(jīng)建模過，與之前的針對“XX銀行”、“ETCXXX” 、“XXX保障部”的釣魚站是一套釣魚工具所為。

DRP有專業(yè)的威脅分析團隊，除了持續(xù)監(jiān)控每日新增域名之外，我們一直在對釣魚網(wǎng)站進行特征建模、關聯(lián)分析發(fā)現(xiàn)。您可以把針對您定向投送的釣魚網(wǎng)站（指通過短信、郵件、群聊天等形式投送的釣魚網(wǎng)站）提交給我們，我們可以幫助您及時快速地發(fā)現(xiàn)更多應用該模型的釣魚網(wǎng)站。例如上述案例中的釣魚站域名注冊的時間為7月5日，基于我們模型的關聯(lián)分析能力，該站于5號當日即被我們偵測到。

技術篇

1.使用PC瀏覽器訪問釣魚網(wǎng)站被攔截，網(wǎng)絡請求響應如下：

之前大部分釣魚網(wǎng)站是會加載一個JS文件，或者直接在頁面HTML代碼中嵌入JS代碼，JS代碼中有對User-Agent判斷，如果判定是PC端訪問則會使用"window.location.href=''www.正版網(wǎng)站.com" JS代碼跳轉(zhuǎn)到正版的官網(wǎng)或者某些常用的正規(guī)頁面，如果判定是手機端訪問才會展示釣魚頁面。

參照上圖，并沒有請求JS文件，HTML代碼中也沒有引用其它多余的資源，而是服務器端直接判斷，返回了提示語，也就是說頁面特征很少，目的是防止釣魚網(wǎng)站被很容易建模、被發(fā)現(xiàn)。

常見的終端類型判斷JS代碼示例：

2.JS代碼段或者文件犯罪分子使用了這幾種方式加密，主要有以下幾個目的：

1）避免常規(guī)的建模、偵測手段，因為索引到的內(nèi)容都是亂碼，不容易提取特征；

2）現(xiàn)階段釣魚網(wǎng)站越來越向產(chǎn)業(yè)鏈方向發(fā)展。真正搭建釣魚網(wǎng)站的人只是從釣魚工具制作者手中買來的工具，然后自己購買域名和服務器部署釣魚網(wǎng)站。制作團伙為了阻止自己的工具被販賣或者修改，使用了加密技術，讓一般沒有編碼基礎的人很難自己修改；

3）許多釣魚工具中是內(nèi)嵌后門的，代碼加密之后，后門代碼更不容易被發(fā)現(xiàn)，真正用釣魚工具實施釣魚的人反倒成了釣魚工具制作團伙的“肉雞”。

這套釣魚工具JS沒有使用常見的JS加密方案，而是自己開發(fā)的算法，而且犯罪分子將解密函數(shù)寫入了常用的JS通用組件中，一般人不注意非常容易漏掉。

3.各種數(shù)據(jù)有效性驗證函數(shù)，能迷惑許多有一定警惕性的人：

4.釣魚工具模板定制化。國內(nèi)外的釣魚工具都支持讓使用者自由選擇預置的釣魚模板，這個釣魚工具支持以下模板：

5.釣魚工具市場一瞥：

6.釣魚工具持續(xù)進化，加入了各種反偵察手段。例如以下幾種：

總結(jié)

1.釣魚工具從早期單人作戰(zhàn)逐步發(fā)展為了成熟的產(chǎn)業(yè)鏈。從早期需要犯罪分子自己復制官方源代碼，修改Form表單的提交地址為自己寫的PHP頁面，PHP頁面中直接把受害人填寫的賬戶信息以郵件方式發(fā)送，自己購買服務器自己部署運維的方式，變?yōu)榱酥恍枰徺I犯罪團伙制作好的預置多個釣魚模板的釣魚工具，使用自動化運維工具，自動部署到遠程服務器。新模式大大降低了釣魚的技術門檻。

2.釣魚與反釣魚是持續(xù)對抗的過程。早期釣魚網(wǎng)頁使用PHP編寫頁面，而現(xiàn)在逐步轉(zhuǎn)為用VueJS、ReactJS等前端框架編寫，并且使用JS加密技術對頁面源碼進行加密，避免被各種偵測引擎監(jiān)控到。

3.天際友盟DRP數(shù)字風險防護服務依托專業(yè)的威脅分析團隊，除了持續(xù)監(jiān)控每日新增域名之外，一直持續(xù)對釣魚網(wǎng)站進行特征建模、關聯(lián)分析發(fā)現(xiàn)。同時，我們有專業(yè)的法律及處置團隊，跟全世界的主要運營商保持著良好的合作關系，能夠及時對釣魚網(wǎng)站、侵權網(wǎng)站進行關停。您也可以把針對您的通過短信、郵件、群聊天等形式定向投送的釣魚網(wǎng)站提交給我們，我們能幫助您及時快速地發(fā)現(xiàn)更多應用該模型的釣魚網(wǎng)站。

4.天際友盟DRP服務不僅包括釣魚網(wǎng)站場景的監(jiān)控和處置服務，同時也覆蓋釣魚APP、品牌侵權、數(shù)據(jù)泄漏、版權盜版、代碼泄漏、威脅誤報、暗網(wǎng)監(jiān)控等數(shù)字風險場景，為您提供全方位的數(shù)字風險防護服務。

關于DRP數(shù)字風險防護

隨著企業(yè)的數(shù)字化進程，對DRP(Digital Risk Protection)數(shù)字風險防護管理的需求，正與日俱增。企業(yè)的數(shù)字足跡、數(shù)字資產(chǎn)、甚至高管的個人形象，都可能成為不法分子的攻擊目標。保護關鍵數(shù)字資產(chǎn)與數(shù)據(jù)免受外部威脅，提升在線業(yè)務的運營穩(wěn)健性，其價值毋庸置疑。DRP數(shù)字風險防護，是與企業(yè)數(shù)字化轉(zhuǎn)型配套的業(yè)務安全解決方案。

天際友盟致力于為企業(yè)提供涵蓋識別、監(jiān)測、響應、恢復全生命周期的數(shù)字風險管理。通過多種威脅情報來源匯聚、多維度內(nèi)容識別與分析引擎、專業(yè)威脅與風險分析能力、覆蓋全球平臺的關停處置網(wǎng)絡、專業(yè)的法律服務支持團隊、SaaS化的服務支撐平臺，天際友盟將多種專業(yè)能力有機結(jié)合，構(gòu)建了完備的DRP數(shù)字風險防護支撐能力，可以協(xié)助客戶建立現(xiàn)代企業(yè)成熟的數(shù)字風險防范體系，清理數(shù)字風險隱患、對抗行業(yè)風險潮汐、培養(yǎng)內(nèi)部風險意識、完善應急響應機制，為數(shù)字時代的業(yè)務安全保駕護航。




網(wǎng)站釣魚欺詐：攻擊者仿冒企業(yè)真實網(wǎng)站的URL 地址以及頁面內(nèi)容，試圖騙取各類受害用戶的銀行卡賬戶、身份賬號、各種密碼等私密信息。

APP釣魚欺詐：攻擊者開發(fā)仿冒的企業(yè)APP，試圖騙取各類受害用戶的銀行卡賬戶、身份賬號、各種密碼等私密信息。

社交媒體釣魚欺詐：社交媒體釣魚這種手法又被稱為燈籠式釣魚，攻擊者通過在社交媒體平臺上仿冒企業(yè)賬號，或假冒企業(yè)高管個人，試圖騙取各類受害用戶的銀行卡賬戶、身份賬號、各種密碼等私密信息，并進行欺詐。

電子郵件欺詐：商業(yè)郵件欺詐，始終是全球惡意欺詐手法中的一大主流。欺詐者通過注冊與客戶主體接近的域名，并發(fā)送相關郵件，利用社會工程學技巧，進行仿冒和欺詐活動。與純粹的電子郵件欺騙(Email Spoofing，偽造電子郵件頭，散播釣魚網(wǎng)址鏈接或惡意附件)不同，這類郵件欺詐往往更加隱蔽，目標對方一般是公司管理層或財務等核心部門人員，其欺詐目標和意圖也更高，給企業(yè)帶來的危害更大。

品牌侵權：與直接的釣魚欺詐不同，攻擊者通過未授權的網(wǎng)站、APP、社交媒體平臺，濫用品牌Logo、商標，誤導性地暗示與品牌之間的關聯(lián)；或利用品牌知名度，注冊與品牌相似的域名進行不正當競爭，以達到其惡意的目的。

數(shù)據(jù)泄露：企業(yè)用戶信息泄露、市場戰(zhàn)略、技術發(fā)明等核心內(nèi)部資料遭到非法竊取，并公開在網(wǎng)站、文庫、網(wǎng)盤、社交媒體等平臺傳播，不僅直接導致企業(yè)利益受損，也會給供應鏈環(huán)節(jié)的第三方企業(yè)造成不良影響，甚至導致供應鏈合作關系的破裂。

代碼泄露：企業(yè)的系統(tǒng)源碼里，往往會包含企業(yè)系統(tǒng)的配置文件甚至密碼等敏感信息，如果泄露到第三方開放平臺，攻擊者可以進一步深入分析的代碼邏輯漏洞，公司網(wǎng)站被攻擊和入侵的風險大大增加。

威脅誤報：殺毒軟件等廠商為了確?！敖^對”安全，有時會攔截所有敏感操作，加之機器學習等技術手段不夠成熟，如果提取到"混淆"特征，對客戶網(wǎng)站、軟件、手機APP文件存在一定程度的誤判，會引發(fā)病毒誤報等錯誤告警，令客戶應用無法上線，損害品牌形象和商業(yè)收益。

更多詳情