欧美日韩一区二国产日韩精品欧美一区喷水 ,亚洲春色cameltoe一区

首頁 > 新聞資訊 > 行業(yè)新聞

風(fēng)控前置-“動態(tài)安全”｜防范社工釣魚攻擊風(fēng)險

2022-7-14 0:00:00瀏覽量：2231編輯：管理員來源：天暢

隨著網(wǎng)絡(luò)攻擊的升級和“社工“手段的發(fā)展，網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，如今的各種釣魚攻擊仿真度越來越高，真假難辨，網(wǎng)絡(luò)釣魚結(jié)合了社會工程學(xué)和欺詐技巧，通常利用人性的弱點：貪婪、恐懼好奇、同情、對權(quán)威的敬畏、認(rèn)知的局限性及偏差來實現(xiàn)。

知名反網(wǎng)絡(luò)釣魚組織APWG (Anti-Phishing Working Group)2021年第三季度對目前的網(wǎng)絡(luò)釣魚事件態(tài)勢分析總結(jié)如下：

2021年7月共監(jiān)測到260,642次網(wǎng)絡(luò)釣魚攻擊，這是APWG報告歷史上最高的月度。

自2020年初以來，網(wǎng)絡(luò)釣魚攻擊的數(shù)量翻了一番。

軟件即服務(wù)和網(wǎng)絡(luò)郵件領(lǐng)域是第三季度最常受網(wǎng)絡(luò)釣魚攻擊的領(lǐng)域，占所有攻擊的29.1%。

針對金融機和支付服務(wù)提供商的攻擊持續(xù)不斷，占所有攻擊總數(shù)的 34.9%。

針對加密貨幣目標(biāo)（加密貨幣交易所和錢包提供商）的網(wǎng)絡(luò)釣魚占攻擊的 5.6%。

2021 年，受到攻擊的品牌數(shù)量有所增加，從每月 400 多個增加到 9 月的 700 多個。

巴西的網(wǎng)絡(luò)釣魚攻擊從第二季度的 4,275 次上升到第三季度的 7,741 次。

釣魚的各種套路

釣魚郵件：

釣魚郵件指利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復(fù)給指定的接收者；或引導(dǎo)收件人鏈接到特制的網(wǎng)頁，這些網(wǎng)頁通常會偽裝成和真是網(wǎng)站一樣，如銀行或理財?shù)木W(wǎng)頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。

釣魚二維碼：

網(wǎng)站地址（URL）被編成QR二維碼，有些網(wǎng)站將網(wǎng)站登錄的URL存儲在QR碼上。攻擊者用偽造的QR碼替換合法的QR碼，篡改登錄網(wǎng)站的URL信息，將用戶導(dǎo)向一個假冒的登錄頁面。在這種情況下，用戶掃描QR碼后，訪問了偽造的登錄頁面，將個人信息泄露給了攻擊者。

釣魚WIFI：

偽造一個假的WIFI，欺騙用戶登錄，然后竊取用戶信息。偽基站又稱假基站、假基地臺，是一種利用GSM單向認(rèn)證缺陷的非法無線電通信設(shè)備，主要由主機和筆記本電腦組成，能夠搜去以其為中心、一定半徑范圍內(nèi)的GSM移動電話信息，并任意冒用他人手機號碼強行向用戶手機發(fā)送詐騙、推銷等垃圾短信，通常安放在汽車或者一個比較隱蔽的地方發(fā)送。

標(biāo)簽釣魚：

標(biāo)簽釣魚(tabnabbing)是一種新的網(wǎng)絡(luò)釣魚攻擊手法，該攻擊手法是由Mozilla Firefox瀏覽器的界面及創(chuàng)意負責(zé)人Aza Raskin發(fā)現(xiàn)和命名的，tabnabbing可改變用戶瀏覽網(wǎng)頁的標(biāo)簽及接口，以誘導(dǎo)用戶輸入網(wǎng)絡(luò)服務(wù)的賬號與密碼。因此，Raskin將此手法稱為標(biāo)簽綁架（tabnapping），他指出當(dāng)使用者連上一個嵌有第三方程序或Flash工具的網(wǎng)頁時，就會讓自己曝露于風(fēng)險中，因為相關(guān)的惡意軟件得以偵測使用者經(jīng)常使用或正在使用的網(wǎng)絡(luò)服務(wù)，在用戶暫時離開該網(wǎng)頁后，該網(wǎng)頁內(nèi)容及網(wǎng)頁標(biāo)簽會悄悄地變身成為偽造的網(wǎng)絡(luò)服務(wù)，并誘導(dǎo)用戶輸入個人信息。

標(biāo)簽釣魚漏洞介紹

漏洞原理和介紹

tabnabbing是一種釣魚攻擊漏洞，網(wǎng)上將該漏洞翻譯為反向標(biāo)簽劫持攻擊，大致原理就是黑客通過某種方法在頁面A中植入一個a標(biāo)簽，也就是一個超鏈接，鏈接的指向是黑客精心準(zhǔn)備的頁面B，頁面B的內(nèi)容有一個javascript代碼，內(nèi)容就是window.opener.location=“C頁面的鏈接”，這句話的意思是如果用戶點擊了該鏈接，那么window.opener這個對象就是原鏈接也就是A頁面的window對象，這樣原頁面就跳轉(zhuǎn)到了C頁面，而C頁面也是黑客準(zhǔn)備的與A頁面非常相似的釣魚頁面，并且此時用戶并沒有發(fā)現(xiàn)A頁面已經(jīng)變成了C頁面，于是用戶繼續(xù)在C頁面瀏覽或登錄等一些操作，導(dǎo)致了信息的泄露。

漏洞產(chǎn)生的原因和條件

該漏洞產(chǎn)生的條件有：

該頁面存在xss漏洞，能夠執(zhí)行用戶輸入的js腳本；

用戶能夠使用a標(biāo)簽，且target=_blank，沒有使用rel=noopener/noreferrer屬性；

漏洞的演示

首先是A頁面（正常頁面）

然后是B頁面（黑客準(zhǔn)備的跳轉(zhuǎn)頁面）

最后是C頁面（釣魚頁面）

用戶進入A頁面后

點擊其中一個鏈接（這兩個鏈接都能實現(xiàn)同樣的效果）

可以注意到點擊之后彈出了B頁面，并且原來的A頁面跳轉(zhuǎn)到了C頁面

C頁面的設(shè)計和A頁面一模一樣，這樣能夠很大程度上欺騙用戶，中了黑客的套。

各種釣魚攻擊仿真度越來越高，真假難辨，如何更有效對抗攻擊？

防護三板斧

攔工具：被動掃描器防護

通過屏蔽錯誤信息、banner等方式，讓被動掃描器獲取不到有價值的內(nèi)容，通過重放檢測，對發(fā)起探測請求進行識別攔截

擾人工：反調(diào)試、前端調(diào)試干擾

干擾攻擊者調(diào)試分析，防止通過瀏覽器開發(fā)者工具對網(wǎng)站進行調(diào)試分析，獲取業(yè)務(wù)流程接口

擾人工：鏈接地址隱藏

URL狀態(tài)變化成亂碼，攻擊者無法通過分析代碼，定位攻擊入口

保護前：

保護后：

擾人工：前端邏輯隱藏、JS代碼混淆

JavaScript混淆: 通過高強度、動態(tài)混淆機制，保證前端JavaScript代碼不被泄漏。

保護前：

保護后：

擾人工：防中間人攻擊、提交參數(shù)混淆

參數(shù)內(nèi)容被動態(tài)變化成亂碼，防止攻擊者攔截請求，偽造請求。

斷跳板

當(dāng)攻擊者獲取了系統(tǒng)的權(quán)限時，對攻擊者所利用的WebShell等跳板工具進行阻斷

動態(tài)安全利用四大模塊可有效對抗社工釣魚攻擊與交易欺詐行為。

動態(tài)封裝：

隨返回網(wǎng)頁動態(tài)封裝一段JS，該JS完成與機器人防火墻的通訊及瀏覽器側(cè)運行環(huán)境驗證等功能的執(zhí)行。

動態(tài)驗證:

動態(tài)驗證通過對客戶端與服務(wù)器的動態(tài)雙向驗證，防止惡意終端訪問，且每次均隨機選取檢測的項目與數(shù)量，以增加應(yīng)用的不可預(yù)測性，大幅提高攻擊成本。動態(tài)驗證包含真實瀏覽器形態(tài)驗證、瀏覽器指紋、異常行為模式監(jiān)測及數(shù)據(jù)完整性驗證四大模塊。動態(tài)驗證過程中，會根據(jù)威脅態(tài)勢生成不同的檢測代碼，以增加應(yīng)用的不可預(yù)測性，提升攻擊者或自動化工具假冒合法客戶端的難度；有效克服現(xiàn)有終端感知產(chǎn)品使用靜態(tài)采集代碼，被逆向后易于被繞過的安全難題。

動態(tài)混淆：

對網(wǎng)頁上敏感的傳輸數(shù)據(jù)進行動態(tài)混淆，主要包括：Cookie、Post data、URL等，防止偽造請求、惡意代碼注入、竊聽或篡改交易內(nèi)容等攻擊行為。使用動態(tài)混淆算法對終端用戶請求的內(nèi)容進行保護，有效提升中間人攻擊的難度，防止偽造請求、惡意代碼注入、竊聽或篡改交易內(nèi)容等攻擊行為。每次混淆均使用不同算法，攻擊者無法預(yù)知混淆算法，大幅提升攻擊難度。

動態(tài)令牌：

對當(dāng)前訪問頁面內(nèi)的合法請求地址授予一定時間內(nèi)有效的一次性動態(tài)令牌，瑞數(shù)動態(tài)安全Botgate會攔阻沒有令牌的非法請求。動態(tài)令牌可保障業(yè)務(wù)邏輯的正確運行并防止攻擊者發(fā)出非法請求，可抵御越權(quán)訪問、網(wǎng)頁后門、重放攻擊、應(yīng)用層DDoS等自動化惡意攻擊行為。

通過動態(tài)安全可有效對抗標(biāo)簽釣魚tabnabbing等攻擊。通過高強度、動態(tài)混淆機制，保證前端JavaScript代碼不被泄漏、參數(shù)內(nèi)容被動態(tài)變化成亂碼，防止攻擊者攔截請求，偽造請求，有效對抗攻擊。并且通過分級分層的對抗思路，多維度的方法組合，最終實現(xiàn)主動防御。

上一篇：全方位筑牢數(shù)字安全長城，數(shù)據(jù)跨境2022年9月1日迎新規(guī)

下一篇：風(fēng)控前置-“動態(tài)安全”｜防范撞庫和拖庫攻擊風(fēng)險

快分享給好友吧！

<tfoot id="2i8c0"></tfoot>

久久综合给合久久,色偷偷久久9999kkkk,欧美阿V大胆视频在线观看,99久久精品免费看国产一区二

服務(wù)熱線

020-38921330

風(fēng)控前置-“動態(tài)安全”｜防范社工釣魚攻擊風(fēng)險