經(jīng)常關(guān)注我們 Wordfence 的用戶會發(fā)現(xiàn),我們網(wǎng)站會不定時的,發(fā)布一些關(guān)于 WordPress 之外的安全問題警報。這些警報大多都是,我們認(rèn)為非常緊迫,急需解決的一些安全問題。在這篇文章中,我們將向廣大的客戶及讀者用戶,發(fā)出一項新的威脅告警。一種更加隱蔽有效的網(wǎng)絡(luò)釣魚技術(shù),正試圖騙取 Gmail 用戶賬戶信息。它不僅針對那些普通用戶,那些經(jīng)驗豐富的高級用戶,也受到了不同程度的影響!
為了讓大家盡可能的閱讀和理解這篇文章的內(nèi)容,我對文章中的一些技術(shù)細節(jié),做了細微的處理和簡化。希望大家在閱讀完該文后,能保護自己免受這種網(wǎng)絡(luò)釣魚攻擊,避免給自己帶來不必要的損失和麻煩。
釣魚攻擊:你所需要知道的
一項針對 Gmail 和其他服務(wù)的新型網(wǎng)絡(luò)釣魚技術(shù),在過去的一年里,正受到越來越多攻擊者的青睞。在過去的幾個星期里,有媒體報道稱,該網(wǎng)新型絡(luò)釣魚技術(shù),不僅針對那些普通用戶,即使是那些有著豐富經(jīng)驗的網(wǎng)絡(luò)技術(shù)人員,也難于幸免!
此類攻擊的目標(biāo)不僅僅是 Gmail 用戶,它還包括一些其他服務(wù)。
攻擊的實施過程,依舊是老套路。攻擊者首先會向你的 Gmail 帳戶發(fā)送電子郵件。該郵件的發(fā)信人,可能是你某個熟悉的人。黑客可能利用了同樣的釣魚技術(shù),竊取了你熟人的郵箱,并以此來冒充。也可能是一封包含了圖片附件的郵件,而這張圖片可能是你認(rèn)識的某個熟人的照片。
當(dāng)你點擊圖片準(zhǔn)備預(yù)覽時,它會打開一個新的標(biāo)簽頁。此時,Gmail 會提示你重新登錄。你可以查看地址欄的 URL 信息,你會看到一個幾乎一模一樣的 Google 賬戶登錄網(wǎng)址:accounts.google.com。如下圖:
接著,你會看到一個 Gmail 的完整用戶登錄界面,如下:
完成登錄后,你的帳戶也就意味著已經(jīng)被攻擊者,成功盜用!Hacker News 的評論者,詳細地描述了他們在無意點擊該釣魚頁面后,所發(fā)生的一切:
“攻擊者在獲取登錄憑據(jù)后,會立即登錄你的帳戶。并冒用你的名義,向你聯(lián)系人列表中的好友,群發(fā)釣魚郵件。
例如,他們進入一個學(xué)生的帳戶,截取一張運動隊練習(xí)時間表,并以附件和對應(yīng)主題的形式,通過電子郵件發(fā)送給運動隊的其他成員。“
通常,在成功獲取到你的登錄憑據(jù)后,攻擊者都會在很短的時間內(nèi)登錄到你的賬戶。他們可能是利用某些程序,來自動批量登錄。也可能是通過一個專業(yè)的賬戶處理團隊,來完成。
一旦攻擊者成功登陸到你的賬戶,他們就自動獲取到了你所有郵件的訪問接收及發(fā)放權(quán)限。攻擊者還會利用密碼重置機制,來修改你使用該郵箱綁定的其他一些服務(wù)密碼。
以上我描述的是,用于竊取Gmail上的用戶名和密碼的網(wǎng)絡(luò)釣魚攻擊,它的成功率非常高。然而,這種技術(shù)不僅限于釣取 Gmail 賬戶信息,它還可以用于從許多其他平臺竊取憑證,在基本技術(shù)實現(xiàn)上,它的變化非常多樣化。
如何保護自己,免受這種網(wǎng)絡(luò)釣魚攻擊
總有人會告訴你說:“想要避免進入一個釣魚網(wǎng)站,你需要仔細的檢查地址欄的 URL 地址,是否為正確的網(wǎng)站的地址,以確保賬戶信息的安全。”
在上述攻擊中,你完成了上述操作,并在地址欄中看到了正確的 URL 地址“accounts.google.com”,因此你會放松你的警惕并點擊登錄。
為了更好的避免遭受到這類釣魚攻擊,你可能需要改變你的檢查策略。例如這類釣魚技術(shù),使用一種被稱為“數(shù)據(jù)URI”的東西,它會在你的瀏覽器地址欄包含一個完整的文件,類似 ‘data:text / html …..’,看起來如下圖那樣:
從我紅色箭頭指向的地方開始,我們可以看到有一段非常長的文本塊。這實際上是一個在新標(biāo)簽頁中打開的文件,用于創(chuàng)建一個完整功能的假 Gmail 登錄頁面,并接收用戶的輸入內(nèi)容發(fā)送給攻擊者。
正如你所看到的,在地址欄的最左邊你看到的是以“data:text / html”開頭的 URL ,而緊隨其后的則是正常的“https://accounts.google.com…”網(wǎng)址。此時,如果你稍不注意,就會忽略開頭的這段 ‘data:text / html’ ,并誤以為該 URL 是合法的網(wǎng)站地址。
如何保護自己
當(dāng)你登錄任何服務(wù)時,務(wù)必檢查瀏覽器地址欄并驗證協(xié)議及主機名是否匹配正確。在登錄 Gmail 或 Google 時,在 Chrome 瀏覽器中應(yīng)該顯示如下:
請確保主機名“accounts.google.com”(“https://”除外)和鎖定符號之前,沒有任何內(nèi)容。你還應(yīng)特別注意,左側(cè)的綠色標(biāo)識部分。如果你無法驗證地址欄的協(xié)議及主機名,那么請馬上停止你的操作,并仔細回想下剛剛你點擊了什么。
如果你使用的那些服務(wù)都支持雙因素身份認(rèn)證,那么請務(wù)必開啟雙因素身份認(rèn)證。在 Gmail 下被稱為“兩步驗證“,你可以在此頁面上了解如何啟用它。
啟用雙因素身份驗證,將會大大增加攻擊者登錄你賬戶的難度,即使他們已經(jīng)竊取了你的賬戶密碼,也不一定能成功登錄你的賬戶。值得注意的是,我看到一些關(guān)于雙因素身份驗證的討論,認(rèn)為即使啟用了雙因素身份驗證,也將無法避免此類攻擊。但我沒有看到一個概念的證明,所以我不能證實這一點。
為什么 Google 解決不了這個問題,以及他們應(yīng)該做什么
Google 對用戶的問題做了以下回應(yīng):
“地址欄仍然是瀏覽器的幾個可信 UI 組件之一,并且也是唯一一個可被信賴的,用于判斷當(dāng)前用戶訪問來源可靠性的依據(jù)。如果用戶仔細查看地址欄的內(nèi)容,那么釣魚和欺騙攻擊,顯然是微不足道的。但不幸的是,這是網(wǎng)絡(luò)的工作原理,任何修復(fù)都是基于檢測它們的外觀來進行的,但想繞過這種檢測卻很容易,有上百種方式可以選擇。數(shù)據(jù):URL 部分在這里沒有那么重要,因為你可以在任何 http [s] 頁面上進行釣魚欺騙。”
但是我并不認(rèn)同 Google 的這個答復(fù),有以下幾個原因:
Google 已經(jīng)修改了地址欄的行為,當(dāng)用戶打開的網(wǎng)頁使用的是 HTTPS 協(xié)議和擁有鎖定圖標(biāo)時,將會以綠顏色標(biāo)識協(xié)議,以表示當(dāng)前用戶訪問的為安全合法網(wǎng)站。
當(dāng)頁面不安全時,他們則會使用不同的方式顯示協(xié)議,并用一條斜線將其標(biāo)記為紅色:
而在這次攻擊中,用戶既看不到綠色,也看不到紅色。 他們看到的只是黑色文本:
這就是為什么,這種攻擊能如此有效的最好說明。在用戶界面設(shè)計和人類感知中,通過統(tǒng)一的視覺特性連接的元素,被感知為比不相連的元素更相關(guān)。
這就是為什么這種攻擊是如此有效。 在用戶界面設(shè)計和人類感知中,通過統(tǒng)一的視覺特性連接的元素被感知為比不相連的元素更相關(guān)。 [閱讀更多:Gestalt 人類感知原則 和“統(tǒng)一連接”及內(nèi)容盲點]
因此,當(dāng) ‘data:text / html’ 和可信主機名顏色相同時,我們的感覺就是它們是相關(guān)的,這和 ‘data:text / html’ 部分是否多余,已經(jīng)沒有多大的關(guān)系了。
在這種情況下,Google 需要改變?yōu)g覽器中顯示的“data:text / html”的方式??梢圆扇∫恍┎煌伾蛨D標(biāo)來標(biāo)識它們, 這將起到一個視覺感知上的差異,并提醒用戶仔細檢查 URL 地址欄,更好的保護用戶的權(quán)益。
如何檢查你的帳戶是否已遭到入侵
目前沒有特別好的辦法,來檢查你的賬戶是否已經(jīng)遭到非法入侵。如果你懷疑你的賬戶已經(jīng)被其他人盜用,那么你可以立即更換你的密碼。最好能保持每隔一段時間,就更換一次密碼的習(xí)慣。
如果你使用的是 Gmail,你可以通過檢查你的登錄活動,來了解是否有其他人正登錄和使用你的帳戶。有關(guān)信息,請訪問 https://support.google.com/mail/answer/45938?hl=zh_CN。要使用此功能,請滾動到收件箱底部,然后點擊“詳細信息”(在屏幕的右下角)。這將顯示你賬戶,當(dāng)前所有的會話活動以及你最近的登錄歷史記錄。如果你發(fā)現(xiàn)有未知來源的的登錄活動,你可以強制關(guān)閉他們。如果你發(fā)現(xiàn),你在一些自己不知道的地點登錄過,則表示你的賬戶可能已經(jīng)被黑客盜用。
在這里我向大家推薦一個,可以用來檢查你的電子郵件帳戶是否泄漏的網(wǎng)站 https://haveibeenpwned.com/。這個網(wǎng)站是由著名的安全研究員,Troy Hunt 創(chuàng)辦的。使用起來也非常的簡單,只需輸入你的電子郵件地址即可。
總結(jié)
在打開一個網(wǎng)站后,一定要仔細的檢查該頁面的 URL 地址,看看是否多了一些不該有的內(nèi)容,或被瀏覽器標(biāo)紅警告。除此之外,我建議大家在進入一些關(guān)鍵性網(wǎng)站時,最好采用手動輸入的方式,或通過搜索引擎查找有綠色官方驗證標(biāo)識的網(wǎng)站。同時,對一些重要的賬戶密碼,進行定期的密碼更換。希望通過我的簡單介紹,能提高大家的安全防范意識,避免遭遇類似的網(wǎng)絡(luò)釣魚攻擊!