垂钓系列(一)—— 漫谈钓鱼
记忆犹新的两次钓鱼都是金融类项目:一次是和三个小伙伴硬怼了一个月银行后,还要靠社工大佬钓鱼才勉强完成红队测评报告。另一次是团队的小伙伴辛辛苦苦WEB打点啦一周,才发现大家都在钓鱼,因为目标同样是金融类,结果可想而知。
在经历过N次技不如人,甘拜下风之后,是时候静下心来好好学习下钓鱼啦!接下来,我们便从常见鱼种、钓法、装备及技巧几方面了解下钓鱼!/手动狗头
网络钓鱼(Phishing)
攻击者利用欺骗性的电子邮件或伪造的 Web 站点等进行网络诈骗活动。
关于网络钓鱼的概念解读,我觉得越抽象越合适,它只是社会工程学的一个思想,传统的网络钓鱼一般无特定人群或对象,随着钓鱼技术和思路的发展,针对钓鱼手法、技巧、对象等衍生出大量分支叫法,但如果忽视这些,结果只有一个,PUA SUCCESS!
鱼叉式网络钓鱼(Spear Phishing)
鱼叉式网络钓鱼相对于普通网络钓鱼,起攻击对象并非一般普通人,而是特定公司、组织之成员,故受窃之资讯已非一般网络钓鱼所窃取之个人资料,而是其他高度敏感性资料,如知识产权及商业机密。
鲸钓(whaling)
也被成为捕鲸式钓鱼。鲸钓的目标多为特定公司、组织内的最高决策层,比如CEO,CFO等等。这些人可以获取非常有价值的信息,包括商业秘密和管理公司账户的密码。
鲸钓和鱼叉式网络钓鱼的区别在于,鲸钓只针对组织内的高级别人员,而鱼叉式网络钓鱼的目标是重要的组织,它可能会向该组织内的所有员工发钓鱼邮件,而不单单针对高层。
水坑攻击(Watering Hole Attack)
早在 2012 年,国外就有研究人员提出了“水坑攻击”的概念。这种攻击方式的命名受狮子等猛兽的狩猎方式启发。在捕猎时,狮子并不总是会主动出击,他们有时会埋伏水坑边上,等目标路过水坑停下来喝水的时候,就抓住时机展开攻击。这样的攻击成功率就很高,因为目标总是要到水坑“喝水”的。
水坑攻击时一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染,由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。
虽然少有资料把水坑攻击放到钓鱼攻击一类,但我们通过对水坑攻击方式对解读可以看出,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
毕竟,谁说站在岸上的才叫渔夫?谁说污泥满身的不算英雄!
网络交友诈骗(Catfishing )
主要针对的是利用社交网站交友、婚恋的人群。攻击者在社交网站上创建虚假个人资料,欺骗交友者,进而骗财骗色骗感情,甚至窃取个人信息进行更多恶意活动。
所谓鲶鱼,有一个故事:为了让活鳕鱼在运输过程中保持新鲜和活力,人们一般会在鳕鱼群中放入一条鲶鱼(catfish)。因为鲶鱼是鳕鱼的天敌,为了躲避鲶鱼,鳕鱼会一直保持警惕,不会在死水中纹丝不动。
面对鲶鱼,没有一个鳕鱼会选择无视,而这也促成了Catfishing计划的推进!之前接触的一些诈骗案件,来自婚恋交友网站或者APP的占比还是挺高的。
其他
以上分类按照钓鱼方法进行了简单的分类,倘若按照媒介分类的话,基站钓鱼、wifi钓鱼、badusb钓鱼、邮箱钓鱼、短信钓鱼等等等等,而且随着钓鱼技术的发展,在技术范畴上也一直在革新,如针对区块链的51% Attack等等,借本次垂钓系列,我们将在合法的范围内对主流垂钓技术展开一些技术探讨。
总结
回顾一下自己的职业生涯,虽然一边说着不擅钓鱼,但仔细想来,钓鱼其实也一直在用,主要是围绕水坑攻击技术展开。在真实的攻击场景下,我们没必要徒增桎梏,所有的钓鱼思想和方案是可以并行的。
笔者性格也算腼腆,catfishing可能真的不太适合我,在如今的攻防演练盛行的时代,如何在合情合理合三观的实施社工,达成成果,这便是写本系列的初衷。