Malwarebytes:移动端钓鱼攻击的两三事

 

一、前言

IBM在2011年发布的报告中指出,通过对钓鱼活动涉及的网站中的访问日志进行分析,他们发现与PC端用户相比,移动端用户更可能遭遇网络钓鱼诈骗,其可能性要比PC端用户高出三倍。

如今,越来越多的而移动端网络钓鱼攻击出现,且有明显的增加趋势。而且其首选的目标用户为:iPhone用户。移动安全解决方案提供商Wandera通过大量的跟踪和分析后发现,iOS用户遇到的网络钓鱼攻击次数是Android用户的两倍。

 

二、分析

移动网络钓鱼介绍

下面是最近一段时间有关移动端网络钓鱼的概述:

Lookout(私人IT安全公司)在其发布的“Mobile phishing 2018: Myths and facts facing every modern enterprise today(2018年移动网络钓鱼报告)”白皮书中指出,自2011年以来,用户点击网络钓鱼链接的次数平均增长了85%。

Anti-Phishing Working Group (APWG,反网络钓鱼工作组)在其最新的报告“Phishing Activity Trend Report(网络钓鱼活动趋势报告)”中指出,在2018年第一季度的统计中,网络钓鱼攻击的首要目标一直是与支付服务相关的行业,占比36%。

APWG在报告中还提到,所有的网络钓鱼站点中有35%使用HTTPS和SSL证书,APWG预计在以后的网络钓鱼活动中会出现更多的HTTPS滥用手段。

Wombat Security(一家软件公司)在他们的报告 “2018 State of Phish”中提到了smishing的概念,smishing是通过短信息进行移动端的网络钓鱼。Wombat Security认为,这种网络钓鱼方式将会持续增加。

PhishLabs在其名为“2018 Phishing Trends & Intelligence Report(2018网络钓鱼趋势和情报报告)”的报告中表示:2017年下半年与电子邮件/在线服务相关的恶意事件居首位(26.1%),并且有许多网络钓鱼的URL模仿Microsoft Office 365的登录页面,这表明针对企业的钓鱼活动呈上升趋势。

PhishLabs还指出,通过SaaS(软件即服务,是一种软件交付模式)模式进行的网络钓鱼活动急剧增加,这种类似的攻击方式在2015年之前很少发生。但在接下来的两年中增加了一倍以上。

Wandera(一家私人安全公司)声称:移动端的钓鱼攻击占所有的钓鱼攻击的48%ios用户遭遇网络钓鱼的可能性比下载恶意软件高出18倍

移动网络钓鱼诈骗类型

网络钓鱼攻击不再仅限于电子邮件,在移动端也变得越来越多,移动设备具有固定的设计和功能,网络钓鱼者利用这一点创建获取他人数据的有效方法。

虽然很多人熟知PC端的网络钓鱼行为,但他们往往对smishing和vishing等词汇感到陌生,下面我们将会逐一介绍。

SMiShing

SMiShing是通过SMS(短信息服务)完成的网络钓鱼方式,Android专家和高级分析师Nathan Collier攥写了一篇文章,文章链接如下:

https://blog.malwarebytes.com/cybercrime/2018/09/mobile-menace-monday-sms-phishing-attacks-target-the-job-market/

文章上分享了一个和SMiShing相关的实例,Nathan Collier的同事在自己的移动设备上接收到了一条信息,该信息称自己是一家人力资源公司,实际上该公司所说的是虚假信息。类似的情况还有很多,下图是Reddit(娱乐、社交及新闻网站)上的一条消息,该消息对iPhone用户进行警告,并诱使用户点击URL链接。

Vishing

Vishing是一种通过语音进行网络钓鱼的方式,通过VoIP或电话使用语音窃取来自呼叫接收者的信息,该方法通常与网络钓鱼相结合,利用人们认为移动电话服务更安全的固有思想。

Ars Technica(技术新闻资讯网站)在2018年7月发布的一篇文章中讲述了Vishing相关实例:

https://arstechnica.com/information-technology/2018/07/click-on-this-ios-phishing-scam-and-youll-be-connected-to-apple-care/

该本章写道:攻击者会通过电子邮件将用户引诱到一个虚假的Apple网站,该网站会弹出对话框并呼叫名字为“Lance Roger at AppleCare.”的账号,AppleCare是苹果的售后保修服务。如下图所示:

在Android移动端,我们找到了Fakebank木马,该木马能够拦截银行的短息和电话。比如,当用户打电话给合法的银行时,该木马会重定向到伪装成银行工作人员的诈骗者处,安全人员在韩国银行的相关活动中发现了该木马。

其他类型:messenger phishing,social phishing,ad-network phishing

messenger phishing

“messenger phishing”是指通过移动端的应用程序进行网络钓鱼的方法,下图所示是“messenger phishing”的相关例子,通过Facebook Messenger(一个提供文字和语音服务的即时通讯服务和软件应用程序)进行传播,当你收到一些视频链接并点击时,可能被定向到其他地址,该地址可能会让你进行“登录”。Facebook Messenger网络钓鱼,相似的手段还可能出现在WhatsApp,Instagram,Viber,Skype,Snapchat和Slack等应用程序上。

social phishing

这是一种通过社交网站传播网络钓鱼的方式,下图是通过LinkedIn的InMail功能进行网络钓鱼的事件捕获:

下图是social phishing另一个案例,一个Twitter帐户冒充NatWest(英国的大型零售和商业银行)银行回答其银行客户的问题。

ad-network phishing

广告网络钓鱼,在移动设备上,广告以多种形式存在:可能存在于免费应用中,也可能在网页访问时弹出,这些广告可能是网络钓鱼或恶意软件的相关链接。

最后说一下网络钓鱼应用程序,这些程序伪装成正常程序,在被下载和安装后,会获取权限并收集用户凭证等信息,我们在Google Play上看到了多个此类应用程序,且下载次数多达150万次。

移动网络钓鱼预防方法

对于不熟悉常见钓鱼策略的人来说,预防移动网络钓鱼是一个难点,我们在下面列出了一些移动网络钓鱼的迹象,可用于预防当中:

1.当收到的短信声称以下信息时,请谨慎回复:

(1)赢得奖品

(2)账户或订阅服务突然停用(通常没有透露理由)

(3)迫切需要你做一些事情来解决问题

2.收到来自未知的号码或发件人的邮件,如果邮件声称是您所使用的某个服务商发送,请在不能确定其邮件安全性的前提下,谨慎点击或联系服务提供商的客服。

3.避免点击伪造的超链接,熟悉自己经常使用的URL。

4.如果收到的消息包含shortened URL(URL缩短,此服务可以提供一个非常短小的URL以代替原来的可能较长的URL,将长的URL地址缩短),请谨慎点击。

5.收到的消息或电话要求您提供个人信息时,请谨慎回答,尤其涉及到账户密码等敏感信息。大多数合法企业不会要求您提供个人敏感信息。

6.收到的邮件或电话没有告知您的姓名时,请小心,大多数企业都知道自己的客户的名字。

7.非安全链接(非HTTPS链接)请谨慎点击访问。

8.访问的URL后包含很长的破折号,如下图所示,这是一种被称为URL padding的技术,该技术会填充自己想要访问的域并进行隐藏。

从上图我们可以看到,完整的URL是:

hxxp://m.facebook.com----------------validate----step1.rickytaylk[dot]com/sign_in.html

其中,rickytaylk[dot]com是域名,m.facebook.com—————-validate—-step1是长子域名,由于移动设备屏幕尺寸有限,用户可能很难发现完整的URL。

9.homograph attacks攻击同样适用于移动端,这是一种欺骗方法,攻击者创建有虚假域的URL并诱使用户访问。现在已经有许多应用程序对此类方法构造的URL进行报警。

 

三、总结

随着网络钓鱼数量的急剧增加,移动设备上的网络钓鱼防护不足以确保用户免受攻击。改进移动设备及其应用程序的安全性能,普及网络钓鱼相关知识和预防措施十分必要。

(完)