烽火18台系列之十——钓鱼网站监控的需求与实战

身边的网络钓鱼

提到钓鱼网站，大家再熟悉不过了。如果您是网站运维人员，尤其是金融、电子商务、教育行业的，很有可能就经历过自己的网站被仿冒的事件。如果作为个人，我敢说您百分百经历过钓鱼事件。比如您一定收到过以下类似信息：

1、运营商良心发现：

钓鱼短信

2、邮箱都知道我业务多：

钓鱼邮件

3、又或者好久不见的同学的突然问候：

钓鱼微信

这一切可能都是发生在您身边的钓鱼事件。网络钓鱼已形成庞大的黑色产业，在网上简单搜索，你就会发现一系列网络钓鱼工具，其仿造的网站也是多种多样，甚至可以进行定制。下面就是两个仿冒QQ相关网页的钓鱼软件，被欺骗者在这里被称为“小鱼儿”……

一次网络钓鱼的分析

网络钓鱼的攻击过程一般为黑客先构建网站（一般为国外地址），再通过邮件、短信等方式大量发送钓鱼链接，在这一过程多数会使用社会工程学攻击，将点击率提高；最后诱导收信人输入信息。上面这种方式则是人们常提到的网络钓鱼，随着攻防的不断演进，网络钓鱼又衍生出多种方式，比如通过重定向方式直接指向仿冒页面，或利用中间人的方式获取帐号密码、个人信息以及交易口令等。

但除此之外，也有一些攻击者，通过仿冒目标网站，而进行网页内容的篡改，或抹黑目标网站、或借用目标网站的知名度为其修改的内容做宣传。站在网站运营者角度，这些行为都大大损害了网站的公信力，都是不能容忍的。本次我们监控到的钓鱼攻击则是第二种情况。

首先我们通过烽火台-网站监控预警平台发现了互联网上存在与某一客户网站相似度较高的网站（如下图所示），其却在一政府网站的域名之下，通过查看，该页面所显示的内容是一条新闻，但其标题却为枪支相关，明显是恶意行为，我们立即通知客户进行了处理。通过分析，我们基本还原了本次攻击过程。黑客首先是利用漏洞入侵了一政府网站，并获取管理员权限，并在该域名下构建了一孤岛页面，并将仿冒的目标网站的内容进行了复制，并在仿冒的页面上修改了内容。并且该仿冒页面的所有栏目支持调转回原网站。并且网站通过程序调用，在点击链接后会自动弹出QQ好友认证（如图二）

这种攻击行为对于该政府网站来说是典型的非法篡改行为，而对于该仿冒的目标网站来说则是钓鱼行为，对其名誉造成很大影响。了解了该攻击手段后，我们扩大了调查范围，又发现了多个使用相同手段的攻击行为，均与网安及客户进行了通报。

烽火台网络钓鱼监控

虽然钓鱼网站多数是由黑客进行仿冒产生的，与网站运维人员毫无关系，更多的应该在用户日常的网络访问中加强安全意识，但网站运维人员并不能放任不管，而是应该联手抵制钓鱼网站的产生，对于政府以及监管部门更是应该加强监测能力，避免不法分子借助政府网站的公信力进行欺骗或者宣传非法内容。

WebRAY烽火台-网站监控预警系统在产品中增加了网络钓鱼检测能力，不仅可以对少量网站提供检测服务，还可用于大范围网站的网络钓鱼监测。钓鱼攻击有多种形式，目前烽火台-网站监控预警系统支持以下几种钓鱼检测方式：

1、    DNS钓鱼

原理：DNS钓鱼黑客通常是修改某一地区某个运营商的DNS，而WebRAY通过全国20多个站点进行云检测可以发现是否有异常解析（本地部署无此能力）。或者通过对上一次检测的DNS进行对比，来识别DNS是否发生了变化。

2、    搜索引擎钓鱼

原理：通常黑客会在网站代码中插入js语句，从而将搜索引擎来的访问指向某IP。监控平台通过爬虫抓取代码进行代码检查，看其是否存在此类语句。

3、    反弹式钓鱼

原理：中间人劫持会导致外界的访问IP出现异常，通过部署在本地的监控平台，进行流量分析可识别。

4、    仿冒页面钓鱼

原理：通过相关算法，利用搜索引擎在互联网上发现疑似钓鱼网站，并通过页面相似度对比，来识别是否为钓鱼网站，并进行告警。