11月、12月都是一场网络购物季的狂欢,无论是国内的”双十一“、”双十二“,还是美国的”黑五“和”网络星期一“,参与人数和创造的销售额每年都在刷新纪录,有钱的捧个钱场,没钱的捧个人场,国内的买完了就去买国外的。在双十一期间,很多国内安全团队和安全实验室都发布了安全购物指南,有的谈消费者如何避免成为网络欺诈的受害者,有的帮助真心卖货的商家抵御恶意羊毛党,还有的聊了网络购物季背后的地下黑产。
在这篇文章里,国内网络购物的安全情况就不再赘述了,主要聊聊美国购物季上网络黑手的两大套路,帮助伙伴们在跨洋消费时规避网络安全风险。
Carbon Black的《假日网络安全》研究报告指出,鱼叉式网络钓鱼攻击占比最高,通常是将包含恶意代码\软件的文件伪装成正常业务往来邮件的附件,或是引诱用户点击邮件内容中的恶意链接。以前类似的网络攻击主要针对消费者个人,现在有转向大品牌工作人员、供应链合作伙伴的趋势,直接瞄准以百万计的客户记录和信用卡号码,受损企业往往要付出极高的成本来解决相关事件。
电子邮件对于国外本土消费者和我国海购党来说是主要的信息传递和确认渠道,在购物季用户的邮箱常常塞满了各种确认函、活动邀请、发货清单或者通知之类的主题邮件,网络犯罪分子正是利用这一点,采用长得很像的电子邮件地址或者直接伪造大大品牌客服邮箱来群发假冒上述主题的邮件。
可能躺在用户收件箱里诱惑最大邮件是伪装成赠送电子礼品卡、优惠券的一些了。
点击其中附件将下载包含恶意Office宏代码的Word,然后用户打开该文档是就会将Geodo/Emotet网银木马释放到本地,或者让受害者接受退款、进行支付等。危害最大的还是针对品牌商的网络攻击,通过接管管理员账户来进行针对旗下用户的大面积的鱼叉式网网络钓鱼攻击。
随着各大品牌在年底消耗最后一波预算,恶意广告在网络购物季期间也变得更加活跃。
投放恶意广告的人都是机会主义者,他们也会根据当前的环境增加投入、调整投放的频次和位置来获取更多的黑色利益。只要投资回报率还可以,他们的商业模式或者说是黑产的雪球就会越滚越大,将数据、受感染的设备大量变现,甚至将业务出租给别人。在2018年美国感恩节假期期间,光某一家安全厂商就检测到和阻止了2000万次攻击。攻击者在大量的网络平台之间不断切换,平台管理员往往疲于应对且效果不佳。
水坑攻击是一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
目前多数国内外电商使用的广告网络平台是实施水坑攻击的有效途径。水坑攻击可以通过攻击目标网站使用的广告网络来执行。这涉及将恶意网站广告或者恶意广告 (文字或图片)插入到将被传送到不同网站的跳转广告。由于大部分网站都使用同一广告网络,因此布设攻击网络时可以达到事半功倍的效果。
在网络购物季期间,越来越多的水坑攻击案例浮出水面。这种攻击方式付出的精力要比交叉式网络钓鱼多,以前多用于商业间谍、国家间的网络暗战等领域。现在,攻击者正在使用这种技术来瞄准大品牌和忠于它们的客户。水坑攻击应当成为是电子商务网站的主要关注点,在面对这些攻击时,不仅仅是IT部门要出钱出力,网站、Web管理员、市场部门也不能袖手旁观, 随着水坑攻击面的扩大,现在网络安全技术问题已经演变品牌声誉问题了。
最典型的例子是JSONP,它可以通过发起JavaScript的跨域请求来绕过同源策略。然而,绕过同源策略会导致不同源或域之间的数据泄漏。而且,尤其是当JSONP涉及到了用户的数据信息时,这样是极其危险的。既然JSONP请求/回应能够绕过同源策略,那么恶意网站便能够通过这种机制,让目标主机发起跨域JSONP请求,并使用”脚本”标签来读取用户的隐私数据。
在个人平时使用网络银行和网上购物的过程中,可以做到以下几点来防范网络钓鱼和水坑攻击:
在登陆不是经常访问的银行网站时,要注意核对最终的跳转页面与原始链接的区别,观察是否存在多级跳跃。当发生这种情况的时候,容易进人钓鱼网站。
在收到其他朋友或者陌生人传来的即时在线消息的时候,要注意查看跳转地址是否与真实地址一致。有时候这些消息还有可能是由聊天bot发出的。这时候与朋友取得其他途径的联系来核对时最有效的办法。
收到陌生人发送的电子邮件时,并察觉到任何异常时,比如锁定的网页地址,透明的窗口等异常时,一定要及时停止操作,这样就不会被攻击者利用,从而避免经济损失。
小编觉得能够做到以上几点的普通用户并不多,哪怕做到了还是难以彻底防范这两种攻击方式。如果真的买了很多东西:
一则是打开本地安全软件的邮件和流量扫描功能为好;
二则当在线邮箱提示邮件内容或附件不安全时,真的不要打开,不能当成注册机、破解补丁常说的“请把我加入白名单,某卫士都是误报”之类的来处理。