- 社会工程:防范钓鱼欺诈(卷3)
- (美)Christopher Hadnagy
- 1551字
- 2020-08-29 01:09:56
1.2 人们是如何进行网络钓鱼的
如果发件人一栏中写的是“把你的钱给我”这样的信息,那么辨别一封可疑的电子邮件就会变得很容易。骗子使用的最简单的诈骗手段之一就是邮件诈骗,指将发件人一栏信息伪造为你认识的人或者其他合理来源(比如电信公司)。在第4章中,我和克里斯概括了一些简单的步骤来帮助你识别发件人是否合法。同时这也能让你意识到,邮件来自你认识的人并不代表邮件就是安全的。
骗子为他们的故事增加可信度的另一种方法是网站克隆。具体说来,骗子对合法网站进行克隆以欺骗你输入个人可识别信息(personally identifiable information, PII)或登录凭据。这些虚假网站也可以用来直接攻击你的电脑。克里斯亲身经历的一个例子就是假的亚马逊网站。从很多方面来讲,这都是一个很好的例子。首先,这是一个很常见的骗局,因为我们中的很多人都在亚马逊网站上买过东西。我们多次看过该公司的网站和电子邮件,以至于可能不会认真地看它的邮件。其次,它伪造得很好,甚至那些对这类骗局很有经验的人也可能上当受骗。
克里斯对客户进行钓鱼攻击已经好些年了(当然是经过客户许可)。他发送了数十万封钓鱼邮件,了解这些邮件的写作方式以及为什么有效。但是在去年,他收到了一封电子邮件,里面说他的亚马逊账户要被冻结了。这封电子邮件碰巧赶上了我们准备DEF CON年度竞赛的时间。克里斯一直都很忙碌,但在DEF CON召开前的那个月里,身处办公室的他基本上就是在但丁笔下的九层地狱里打转。我不知道当他收到那封伪造的亚马逊网站邮件时想了什么或说了什么,但是你大概可以想到这个故事是怎么发展的。图1-2展示了他收到的那封电子邮件。
图1-2 臭名昭著的“亚马逊网站”钓鱼邮件
仔细阅读这封邮件,你会注意到它的语言水平并不达标,甚至有点奇怪,比如单词字母随机大写。这些特性是网络钓鱼的共同特点,因为很多发件人并不是以英语为母语的。关键是,对于一个匆匆一扫邮件内容的人来说它的质量已经够好的了。
克里斯点击了邮件里的链接,然后进入了一个看起来像是亚马逊网站的网页,如图1-3所示。即使经过细致的检查也无法发现这是一个假冒的网站,因为它就是原网站的克隆版。
图1-3 假的亚马逊网站
这个时候,克里斯受过的多年训练起作用了。他看了看网站的链接(地址),然后发现这是一个非法网站。如果他输入登录信息,那么账户里包含的个人可识别信息和他的信用卡信息就会被劫持。这封邮件差点成功骗过克里斯,因为网站本身是原网站的克隆,再加上电子邮件发来时克里斯非常忙碌、疲倦、注意力分散,这一切都会阻碍他的批判性思维(详见第4章)。网站克隆的确是一种非常有说服力的方式,能让人们相信钓鱼邮件的内容是真的。
最后说一种诡计:骗子会给刚收到钓鱼邮件的人打电话。这也被称为语音钓鱼(vishing)或电话钓鱼。语音钓鱼有多种恶意目的,从增加邮件的真实性和可信度到直接请求保密信息等。这种诡计从反面强调了保护个人可识别信息的重要性。在我成长的年代,人们的社保号码和电话号码会被印在自己的支票上,就在地址下方。这简直是在说:“请来偷我的身份信息吧,罪犯先生。”想象一下,你收到了一封来自“银行”的电子邮件,随后又接到了他们的电话,要求你点击某个链接访问一个网站,然后更新你的账户信息。这件事是多么让人深信不疑啊。
最近发生了一起被称为Francophoning的企业级钓鱼攻击,之所以这么称呼是因为目标公司主要在法国。这是一起精心策划的钓鱼攻击。一位行政助理收到一封关于发票问题的邮件,随后有电话打过来,电话的另一头是一个自称公司副总裁的人,要求她立即处理刚刚邮件中提到的发票问题。助理随后点击了邮件中的链接,导致后台加载了一个恶意软件。该恶意软件使得攻击者可以控制她的电脑并窃取信息。这个例子很有趣,因为其中有很多要素在起作用,例如利用权威和性别差异。不过这里主要想说的是,如果你从多个渠道听到同一个故事,那么这个故事就会听起来更加可信。