[安全大会]2020-BCS-企业安全运营实践-1-黑产对抗的反制之道


=Start=

缘由:

趁着周末整理回顾一下前几天(20200812)观看的「企业安全运营实践论坛」中的几个议题,方便后续学习参考。

PS:另外提一句,最近发现越来越懒了,思考的也少了,动笔的也少了,身体锻炼也少了,感觉还是要变化变化了,否则再这么下去,感觉人就慢慢废了!

正文:

参考解答:

按自己的想法先大致总结整理一下:

【知己知彼】在了解自己公司的资产和业务的基础上,了解你的对手;

【举一反三】借助历史上已有的cases进行复盘和关联拓展,发掘一些类似的但暂未被发现/利用的风险,让已发生的事件产生更多的价值;

【安全合规】黑产反制的过程和手段一定要合规,且要避免被黑产挖坑利用;

【主动探索】有些时候问题不是不存在,可能只是你还不知道,这时你应该主动去想办法去感知(投放一些标记过的饵料,放置更多的蜜罐)和应对(联合更多的企业,寻求执法部门的帮助和合作)。


1、【举一反三,关联拓展】

做得好的企业安全在和黑产对抗过程中,除了要能被动感知(通过SRC或是一些举报、反馈渠道)/主动监控(实时关注一些暗网交易市场、QQ/微信/tg群)、及时修复止损(快速、完善的处理流程SOP)的基础上,还应该好好利用历史上已发生的cases(不论是自己公司的,还是业内其他公司的,每一个事件都是一个学习复盘的机会)进行不断的复盘回顾,以期能够做到举一反三,关联拓展出其它的一些实际存在问题,只是还没有被及时发现的风险,这样才能更好的避免「头疼医头脚疼医脚」的救火队长困境。

2、【了解你的对手】

在了解自己的基础上,还需要了解你的对手,了解他们的目标,他们的工作链条、运作模式,才能更好的更有针对性的去防护。

3、【反制目标】

黑产反制的3个主要目标:

  • 失效:让攻击者的攻击方法失效,进不来;
  • 迷惑:通过蜜罐或诱饵给攻击者不下迷魂阵,无法找到真正目标;
  • 打击:联合公安溯源打击,断掉整个攻击团伙,彻底击垮。

4、【反制策略】

5、【黑产反制需要注意的问题】

  • 首先,过程一定要【合规】;
  • 其次,要注意避免被【「反」反制】。

参考链接:

企业安全运营实践论坛
https://bcs.qianxin.com/2020/live/index?meeting_id=20

=END=


《 “[安全大会]2020-BCS-企业安全运营实践-1-黑产对抗的反制之道” 》 有 5 条评论

  1. 小步快跑,快速迭代:安全运营的器术法道
    https://security.tencent.com/index.php/blog/msg/162
    `
    一、前言

    在进行安全体系建设工作的时候,人们往往容易看到的成果是新研发了一个安全系统,采用了一个新的技术,似乎做出一个系统采用一种技术就可以一劳永逸地解决某类问题了。可现实告诉我们那是不可能的,因为我们面临的安全威胁总是在变化,安全本身是一个动态的持续的过程,没有任何技术和系统能够覆盖完全一劳永逸,我们既需要有系统有技术,也需要对系统和技术做持续的、长期的、细致的、有效的运营,不断对系统和技术进行迭代优化,最终才能真正解决问题。

    所以,笔者的观点是,安全系统研发完成投入使用是解决了从无到有的问题,是万里长征第一步,而之后的安全运营工作才是从有到优的不断升级之路。

    二、安全运营是什么

    互联网业务的快速发展产生了很多新概念,最重要的就是系统/产品的“运营”,即指系统的快速迭代过程,用朴素的语言描述就是业务遇到问题“先抗住,再优化”。

    那么,什么是安全运营呢?信息安全类工作只听说过写脚本、挖漏洞、黑网站、建系统,“安全运营”到底是要做什么?这个工作曾经一度让笔者很迷茫,我相信很多刚工作不久的新人都有这个困惑。记得腾讯漏洞扫描系统之父、“如入无人之境”(见聂君《企业安全建设指南:金融行业安全架构与技术实践》)的安全大神宝哥刚刚工作不久也在例会上提出过对安全运营的困惑。

    经过多年的工作经验沉淀以及与圈内大佬、同事们的反复交流讨论,笔者终于大概摸到了安全运营的门道:使用系统、发现问题、解决问题 —— 使用安全系统,在使用过程中发现系统和策略的问题,分析问题提炼出优化点,反馈给系统迭代优化,最终达成完美解决安全问题的目标。相比于传统行业,互联网业务本身讲究小步快跑快速迭代,所以运营的迭代也很快,安全运营也继承了这个特性(更多关于互联网业务系统运营的思路,可以参考腾讯的海量服务之道)。

    把安全系统真正用起来,发现安全系统的问题,不断去优化安全系统,提升系统能力最终解决安全风险,就是安全运营的核心思想所在。

    三、衡量标准探讨

    我们明确了安全运营是什么,那么,如何衡量安全运营工作的好坏呢?

    首先,需要有一系列衡量指标。

    有指标才能判断当前距离目标的差距。

    根据不同的安全系统,可能有的指标有所不同,但大的指标包括这两大类:系统覆盖率、策略有效率和误报率。前者是指安全系统对被保护对象的覆盖比率,关注工程落地,比如公司有一万台服务器,目前HIDS已部署了5000台,这个系统覆盖率就是50%;后者衡量安全系统对安全风险的有效应对情况,关注策略效果,比如HIDS理应发现各类WebShell,目前有样本1000个,HIDS能发现800个,策略有效率就是80%,实际运营过程中发现1000个WebShell,有1个最终确认不是,那这个策略误报率就是0.1% —— 一个误报率高的系统最终是没法运营的,那就等于没有。

    一个好的安全系统,一定是朝着提升覆盖率、提升有效率、降低误报的目标前进的:任何脱离覆盖率谈有效率的安全系统都是扯淡;数据上既要看率也要看绝对量,当基数足够大的时候任何一点抖动背后可能就是很大的改进空间;任何误报率高的安全系统都是没法运营的,那就等于没有。

    其次,需要进行实战检验。

    第三,需要做好完整复盘。
    每一个漏洞每一次安全事件都是一次练兵的好机会,团队需要抓住机会去复盘,看看哪些点做得不够,哪些地方还可以优化的,举一反三,从一个问题优化一类问题。没有机会怎么办?那就让蓝军创造机会。

    四、运营方法论与实践

    以下是笔者总结的一些常见运营方法论和具体实践。

    1. 关注落地

    第一诫:运营要关注落地,即解决问题,一切不以解决问题为目的的运营都是渎职。时刻自省,有则改之无则加勉。

    2. 抓大放小
    3. 控制增量
    4. 原生安全
    5. 灰度放量
    6. 群策群力

    7. 借力复盘
    普通人的安全意识是很薄弱的,企业里的员工一定是短板,好多攻击都是员工打开了邮件附件中木马引起的 —— 需要经常性地、反复地、实际地教育。一旦业界出现重大安全事件,瞬间会成为大家关注的热点,大家都会关注为什么会出这个事件,这时候就是绝佳的安全意识教育的机会,赶紧行动起来,指点一番,把安全意识植入进来。另外,他山之石可以攻玉,不要只看笑话,要搞清楚友商发生安全事件的原因,复盘自己是否存在问题,也是一个几乎不付出成本而获得经验的好的机会。

    8. 不断学习
    9. 纵深防御

    10. 关注未知
    笔者以为,“关注未知”是尽责的运营和优秀的运营的重要区别,同样是发现问题,可预期的问题就不是大问题,而未知的问题可能会是极其重要的问题。因为有个术语叫做0day,到了我们把基础安全都做得很好的时候,攻破系统的,一定是你未知的手法。当我们宣称漏洞都被修复了的时候,是不是只是指应用和系统层面,网络设备的漏洞呢?

    所以,运营过程中,一定要有发现未知的意识,一定要考虑到你的策略失效或者被针对绕过的情况。笔者一直宣称,优秀的安全策略是不依赖黑名单、通用且像公钥密码算法那样可以公开的。

    我们制定的运营策略,大部分是基于白名单和黑名单,但是介于黑白之间非黑非白的是灰名单。这一块就是未知,看不见才可怕,是需要重点关注的。以威胁情报提供的黑IP为例,既然都被拉黑了就说明攻击被人发现了,真正高级的攻击是不会再用被发现的IP的 —— 这并不是说黑IP没用,只是说对高级攻击者基本无效,当然高级攻击者也可能犯低级错误。

    对未知始终保持敬畏之心,终极的攻防对抗(APT)一定是高维度打低维度,一定存在某种你想不到的手法,但是安全策略要尽量去覆盖,还要建立纵深防御即多点布防,APT再厉害总会触碰到一个策略 —— 当然,大多数企业连低级攻击都防不住,就不要好高骛远了。

    【后记】

    安全是一个动态过程,它随着形势在不断变化,运营就是发现变化趋势调整优化安全策略达到安全目标的重要手段。比如,今年疫情让许多企业开始支持远程办公,随之而来的是远程办公的安全威胁,短期内这部分企业的安全工作重点之一应该是远程办公安全保障。
    `

  2. 浅谈蓝队反制手段
    https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ
    `
    网络安全攻防演习在国内已经逐渐常态化,从行业、区域(省份、地市)到部级…
    2020年1月份开始到现在可以说基本上每个月都有1-3场HW,红与蓝的对抗从未停息。
    红队的攻击技巧可以无穷无尽(扫描器、社工、0day、近源…),但是对于蓝队防守来说除了演习中常规的封IP、下线业务、看日志分析流量等“纯防守”操作以外,似乎实在是没有什么其他的防御手段了。
    笔者在参与的几场攻防演习项目中担任“蓝队防守”角色,就发现了这一缺陷,似乎安全防御基础较弱的厂商再怎么充足的进行演习前准备,都只有乖乖的等待被“收割”。
    转换一个思维,化被动为主动,尝试用“攻击”思路代入“防守”中,对“红队”进行反向捕获(反制)。

    # 蜜罐篇
    # 场景篇
    # 技巧篇

    只要思维活跃,枯燥无味的一件事情也可以变得生动有趣,生活如此,工作亦如此。

    蓝队反制,需要具备这几个条件才能淋漓尽至的挥洒出来:
    * 客户安全相关部门的权力要高
    * 以自家厂商为主导的防守项目
    * 最好具备现成的现代蜜罐产品

    未来,攻防对抗演习不仅仅是前几年所展示的那样:蓝队只要知道防守手段;而趋势将会慢慢的偏向于真正的攻防,蓝队不仅要会基本的防守手段,还要具备强悍的对抗能力,与红队进行对抗,这对蓝队成员的攻防技术水平也是一种更高的考验。
    `

  3. 【企业安全运营实践论坛】耿志峰:以攻为守-黑产攻防的反制之道
    https://mp.weixin.qq.com/s/F7LdXvFf23_XBOMB-nrvCg
    `
    京东每天都在抵御各种各样的网络攻击。以前黑产来攻击京东的时候,京东是主动地感知黑产的攻击,然后发现黑产的攻击点,对攻击点进行重点防护,除此之外,我们也会通过提前预演攻击进行防护。

    后来我们发现,只有防护是不够的,我们应该主动去发现弱点,比如我们的产品有哪些漏洞,基础设施开放了哪些不应开放的端口。

    再后来,我们认为,弱点是发现不完的,因为业务会越做越大,弱点也会随着业务的膨胀而膨胀。当然,企业可以用自动化的方法来控制弱点的发生概率,但是我们更应该正视弱点——弱点是不可能被完全消灭的。所以我们开始思考,如何才能站在黑产的角度,对黑产进行对抗和反制。

    前段时间,我们发现暗网上有人出售机器注册的账号(以下简称“机注账号”),里面有很多京东的账号。发现这个情况以后,我们首先去获取了一批机注账号,在系统里对它们进行了标记,然后观察这些账号的行为。我们发现,这些账号不仅活跃于暗网的账号交易市场,它们的利用也非常活跃。通过标记,我们发现了黑产的主要攻击点,并进行了修复。除了标记之外,从这些数据本身也可以看出他们的主要攻击点,因为通过这些数据的行为,我们能够进行聚类,从而发现他们的主要目标进行修复。

    通常来说,到这里攻防已经基本结束了,但还有其他问题——
    * 机注账号从哪里来的?
    * 为什么这些账号能够机注?
    * 为什么黑产拿到这些账号之后可以实施后续的攻击?
    * 除了企业资产有弱点之外,更深层次的原因是什么?
    `

  4. 谈谈我对安全运营目标的理解
    https://mp.weixin.qq.com/s/av6MbY1UxF50lOAOgfbviQ
    `
    这是笔者关于安全运营一本正经的胡说八道第四篇文章,不喜勿喷,开心一笑。

    论安全运营,体系化、能力化、服务化是安全运营的三个主目标,属主,即红花;自动化、实战化、标准化是安全运营的三个次目标,属宾,即绿叶。宾不能夺主而红花需要绿叶衬拖,不可舍本求末。长远必以红花积蓄,而短期必以绿叶生发。

    * 体系化是网络安全的基础,是安全保障的前提条件,短板不补,困境不出,如水中捞月,镜里拈花。体系化多始于安全建设,建设贵在取长补短,与时俱进,而能力化多始于安全运营,运营贵在日积月累,精益求精。建设与运营,应以常识、常理而始,以逻辑、直觉为终。

    * 能力化是网络安全的软实力,是相对体系化的硬实力而言。体系化和能力化是一体两面,相互关照。能力化最易表现在攻防方面,攻防相生,正奇相克,攻与防的技术是相互促进,共同发展迭代的,而网络攻击和企业安全的关系,如用兵打仗,以正合,以奇胜。

    * 服务化是跳出安全看安全的必然路径。从安全之内看,是从成本中心向利润中心转化的最佳实践。从安全之外看,是从局部最优解向全局最优解的数字化转型。可谓安全、非安全、非非安全之间的平衡之道(和谐共融)、练心之路。

    =

    * 自动化是提升网络安全绩效的不二法门,是安全效能改善的一剂苦口良药。凡自动之法,文化为上,工具次之;场景为上,接口次之;全动为上,半动次之。是故一切皆可自动化,万物终将智能化。

    * 实战化是网络安全最显著的验证手段之一。所谓实战,即非实战,是名实战。红队与蓝队通过真实的对抗相互成就彼此,谁高谁低谁胜谁败,也是相对而言、相互转换的。谓之红蓝相成,得失相易。文武之道,一张一弛。

    * 标准化是乌卡时代网络安全的制胜法宝,其以不变,应万变,变则通,通则久。因此,标准化是面向未来变幻莫测、不可预料的最佳秩序,标准化是以有形之程序,重塑无形之意识。

    以上是对安全运营三主三次目标的小议,网络安全的进步,需要安全从业者既志存高远,又脚踏实地,不作恶,做好人。每个企业安全团队不浮夸,不内斗,做好事。整个行业不恶意竞争,相互帮衬,才能持续发展、共同富裕。

    最后,祝福此文见闻者:体验网安人生百味,依旧独善其身,乐。
    `

  5. 2022 全球网络黑产常用攻击方法 Top 10
    https://mp.weixin.qq.com/s/lthKyH3yZPmsMtkgfZBAjA
    `
    总结:
    # 深度伪造 – AI换脸、语音/视频生成
    # 探针盒子 – 违规收集手机mac地址并进行IMEI/手机号等个人信息的匹配,后续可用于“精准营销”
    # 窃取指纹面容声音等生物信息的方式 – 可以理解为身份账号凭证信息的窃取,且信息更不容易更改
    # 撞库攻击 – 批量盗号
    # 钓鱼网站 – 利用人类天性诱骗敏感信息
    # 色情网站 – 网站通过内嵌恶意代码用于偷偷抓取用户手机号码,浏览器记录、IP地址,甚至相册、通讯录等机密信息
    # 收买内鬼 – 日防夜防家贼难防,大部分企业内部安全现在做的还不够完善,导致这条链路的投入产出比很高,已成趋势
    # 伪基站 – 伪冒基站,利用 GSM 单向认证漏洞影响一定半径范围内的 GSM 移动电话,任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信
    # DDoS攻击 – 通过各种手段进行 带宽耗尽/服务器资源耗尽 以使其无法正常服务,从而进行勒索等违法行为
    # 假冒 APP – 诱使潜在受害人点击链接或扫描二维码下载APP,进而实施诈骗活动

    近几年,借助互联网产业发展的东风,网络黑产也迎来更加巅峰的状态,不论是从攻击效率,组织规模,亦或是收益变现能力,都在一天天变的成熟完善。根据艾瑞咨询 2020 年发布的《现代网络诈骗分析报告》,全国黑产从业者已经超过 40 万人,依托其从事网络诈骗的人数至少有 160 万人,“年产值”在 1000 亿元以上。

    毫不夸张的讲,网络黑产从早期的小打小闹,发展成如今的多行业、多场景、多任务的全社会广泛渗透。在巨额经济利益的驱动下,黑灰产从业者游走在法律监管的边缘地带,利用各种网络犯罪技术与工具,逐渐形成一条分工明确、合作紧密的黑灰产业链条,并且以一种难以遏制的速度,成长起来。

    简单来说,当下网络黑产产业链可分为上中下三个层级:上游黑产主要提供“武器弹药”,收集各种信息资源,并为中游提供工具和平台;中游黑产则是针对网络系统和计算机进行直接破坏、入侵,以各种各样的方式实施资源窃取的行为;下游则相当于是“销赃”,可将黑产转化为现金收益,例如利用中上游提供的信息实施诈骗、洗钱等。

    网络黑产的快速膨胀以及对全社会的巨大危害,让全球警方深恶痛绝,各国开始制定各种政策、法规,持续打击网络黑产产业的发展。但是,它就像是融入了互联网的血液之中,在多重打击之下反而愈演愈烈,有的国家甚至已经成为网络黑产的温床。

    同时,网络黑产的手段也越来越高明,有的是利用各种黑客技术,而有的则是深谙人性的阴暗面,以各种手法诱惑他人上当受骗,DDoS 攻击、网络赌博、网络招嫖、制作木马程序、内网渗透攻击等攻击手法。

    本文列举当下最流行的网络黑产常用攻击方法,总结了 2022 全球网络黑产常用攻击方法 Top 10,带你更深刻认识网络黑产。

    # 深度伪造

    深度伪造技术是一种基于人工智能的音频、视频和图像合成技术,通过将图片、音频或视频合并叠加到源图片、音频或视频上,借助神经网络技术进行样本学习,将个人声音、面部表情及身体动作拼接合成虚假内容。

    深度伪造最常见的方式主要包括 AI 换脸技术,语音模拟、人脸合成、视频生成等,技术人员通过样本学习,逼真模仿出原人物的面部表情、肢体语言。深度伪造技术民用化最早追溯到 2017 年,当时美国一个网友发布一款名为“深度伪造”的软件,两年后,我国出现了一款“ZAO”换脸社交软件,一时风靡。

    深度伪造技术不断演进,几乎可以达到以假乱真的地步,民众仅通过肉眼无法辨别真伪,使得篡改或生成高度逼真且难以甄别的音视频内容成为可能,带来一系列安全问题,部分不法分子利用该技术恶意拼接色情视频,进行勒索活动,产生极其恶劣的社会影响。

    或许,人脸、声音、视频替换将成为网络黑产下一个阶段的重点发展方向,黑客将使用这项技术进行恐吓诈骗,网络欺诈。不仅如此,生产变脸和变声工具、提供虚假语音和视频合成服务也会成为网络黑色产业链中一个新的环节。

    # 探针盒子

    2019 年央视 3·15 晚会期间,“探针盒子”第一次走进民众视线,当天记者曝光一种 WiFi 探针盒子,当用户手机处于 wifi 打开情况时,探针盒子发现信号后,会识别出手机的 MAC 地址,然后在根据 MAC 地址转换成 IMEI,之后再转换成用户手机号码。

    直白讲,探针盒子就是一种 Wi-Fi 路由器,当用户手机连接“探针盒子”发出的 Wi-Fi 网络信号时,探针盒子会自动获得手机 MAC 地址,随后便将其上传至非法云端数据库进行匹配,在自动进行 MAC 地址、IMEI 串号、手机号之间的匹配关联,返回一系列的数据,其中有机主的号码、应用软件的下载和使用情况和相关浏览数据等。

    日常生活中,许多商场、酒店、餐厅、咖啡厅、健身设施等场地都会突然弹出免费 WiFi 蹭网提示,这些如果是非法分子布置的探针盒子,一旦用户连接,便会悄无声息盗取手机号码,后续可以用于“精准营销”。

    目前,网上仍有许多售卖 WiFi 探针盒子设备的网店,并表示帮助对接到代理商平台,导出探针盒子附近采集到的手机数字信息。我国法律规定,利用探针盒子获取他人手机号等隐私信息的行为,涉嫌侵犯他人隐私,严重情况下可能面临民事侵权责任及治安管理处罚责任。

    # 窃取指纹面容声音等生物信息的方式

    目前,生物识别信息已应用到社会各环节,生物识别信息技术利用开始逐渐平民化,极大提升了用户使用体验,但网络犯罪分子也开始盯上了这块“香饽饽”。

    相较于其它民众个人信息,生物识别信息是物联网时代背景下,将民众指纹、人脸、声音、基因、虹膜等个人特征,进行数字化处理后的信息,具有不可替代性。因此,生物特征信息无可争议属于民众个人信息中最敏感的部分。

    但近几年民众生物识别信息屡遭侵害,网络犯罪份子通过 AI 合成技术伪造人脸、声音、指纹,或者在未告知情况下,偷拍、收集民众人脸信息、指纹,进行非法行为,侵犯民众个人生命财产安全。

    目前,生物识别信息技术广泛应用于支付、日常通行、通信等几个方面,违法收集、盗取转移、贩卖民众生物识别信息构成了上下游产业链。生物识别信息如此重要,相关机构势必要对实行人脸识别、录入的单位及相关人员严格限制,应当对拥有类似虹膜、指纹、刷脸等一些生物特征识别技术的企业进行规范监管。

    政府部门已经在加快推进个人信息保护立法,近些年,网信办、工信部、信息安全标准化技术委员会等部门接连发布文件,对生物识别信息实行规范性管理。

    # 撞库攻击

    此前,网络犯罪分子获取受害者账号信息主要通过感染系统后,横向移动破解,效率低、步骤繁琐,而且仅能获得单一账号详细信息,“撞库” 出现很好解决了这些问题,成为黑客盗号的重要手段。

    对于普通民众而言,“撞库”无疑是一个专业名词。通俗讲,撞库是网络犯罪分子通过收集互联网已泄露的用户信息,生成对应字典表,尝试批量登陆其它网站后,便可以得获取一系列用户账号信息。许多用户在不同网站设置相同账号密码,可以利用获取的字典表随机登录任意网站,这个过程就可以简单理解为撞库攻击。

    常见的撞库场景主要有以下两种:

    弱密码嗅探:类似 111111、123456 这样的简单密码因为很多人用,用这样的弱口令去试探大量的账号,就有一定概率能发现一些真正在使用弱密码的账号。

    利用拖库数据:这是攻击成功率更高的一种方式,原理是大多数人倾向于在多个站点上使用同一个密码。当攻击者成功入侵一个安全防护能力很弱的站点 A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点 B 尝试,如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。

    # 钓鱼网站

    钓鱼网站一般指诱骗用户填写信息的虚假网站,毋庸置疑是安全人最熟悉的黑产模式。钓鱼网站何以坚挺十几年?离不开其诈骗网页与真实网站界面别无二致,很难区分,一旦潜在受害者进入界面,所提交的账号和密码等敏感信息便会立刻被黑客抓取。

    钓鱼网站作为网络黑产“钉子户”,虽难以彻底拔除,但也早已被安全人员研究透彻。通常情况下,网络犯罪分子会分发伪装成受害者企业内部邮箱或者某些权威性网站。这些邮箱或网站地址具有极高相似度,最大的区别在于其有且仅有几个页面,甚至只有一个页面 。

    常见钓鱼方式主要包括“鱼叉攻击”、“商业邮件欺诈”、“灯笼式钓鱼”、“克隆钓鱼”、“域名欺骗”、“短信钓鱼”、“语音钓鱼”、“域欺骗”、“水坑攻击”等方式,攻击者利用上述方式进行非法信息收集,潜在受害者往往会泄露个人信息,如姓名、电话、家庭住址、身份 ID,甚至信用卡号、账户用户名和密码等内容也会被攻击者获取。

    钓鱼网站最早案例可能要追溯到美国,几十年前,美国互联网产业发展迎来高峰期,无数网络犯罪分子企图通过钓鱼网站,攫取经济利益。随着全球互联网产业融合发展,亚非拉等区域计算机产业井喷,钓鱼网站攻击开始蔓延全球。
    钓鱼网站难以彻底拔除,根源在于即使大多数民众很清楚钓鱼网站的套路,但还是难以抵挡各种诱惑。钓鱼网站运营者熟练运用社会从工程学,抓住人类贪婪、恐惧、羡慕、虚荣、善良等各种情绪,付出极小代价便可获得受害者“秘密信息”。

    # 色情网站

    互联网江湖五花八门,黑客组织各显神通,色情网站自然占据一席之地,迫于法律法规,当下多采用地下模式存活。当用户偷偷摸摸访问这些网站时,自以为无人知悉、天衣无缝,殊不知获取视频数据过程中,网站内部嵌入程序已经在偷偷抓取用户手机信息,悄无声息窃取手机号码,浏览器记录、IP 地址,甚至相册、通讯录等机密信息也难逃一劫。

    不止如此,某些色情 APP 还会雇佣黑客组织,利用境外服务器群发附有病毒的链接,一旦点击,木马病毒便会植入手机,横向获取银行卡信息、真实姓名、通讯录等敏感信息。更可怕的是,黑客还通过用户通讯录,群发所有好友。

    部分色情网站窃取信息是征求用户同意后的行为。当用户打开一个视频,准备“欣赏”,突然弹出一个界面,需要获得存储权、相机、通讯录权限,一旦点击同意,无疑同意网站收集用户个人信息。不单技术手段,部分色情 APP 暗地里直接兜售用户个人数据,明码标价,“童叟无欺”。

    色情网站的危害远不止于此,如何终止色情网站运行,阻断色情内容扩散,是社会以及各大网络搜索平台亟需解决的问题。

    # 收买内鬼

    直接攻击获取信息的手段已经不能满足网络犯罪分子的野心了,目前,这群人也开始玩起无间道,培养内鬼。何为安全行业内鬼?潜伏在企业内部,为攻击者提供登陆凭证、漏洞情报,企业消息,资源详情的”特务人员“就是内鬼!

    有道是日防夜防家贼难防,网络犯罪分子”火力全开“使用各种攻击手段,投入大量资源,不见得能够洞穿企业安全防护体系,但只需要很小的一部分资金便可以收买内鬼,轻松突破防线,盗取、锁定企业数据。

    网络空间中,不仅有急需内鬼的买方,卖方同样无时无刻不在兜售自己。微信群聊中,部分人员打着“公司内部信息”旗号,倒卖数据的事件在日常正并不罕见,“内鬼监守自盗,成为民众、企业数据信息流向暗网交易市场的重要渠道之一。

    在 2020 年,公安机关办理的数据安全案件中,涉及到内鬼利用工作之便窃取、泄露公民个人信息的违法犯罪行为,查获重点行业内部涉案人员 500 余名。目前,圈内最火的黑客组织 LAPSUS$ 也是收买企业内鬼的”忠实拥趸“,为轻松突破目标企业安全防御体系, LAPSUS$ 提出一种创新型方法,针对目标企业,在论坛或者社交软件 Telegram 上,用各种语言广发“英雄贴”,蓄意丰厚报酬,试图招募目标企业员工献出其内部登录凭证。

    ”内鬼“之所以如此具有价值,归咎于企业机构中,对数据信息权限的管理不够明确,许多企业存在内部数据无分级,任何人都能查看、下载等情况。在高额金钱诱惑下,难免有小部分人员动歪心思。

    # 伪基站

    伪基站顾名思义就是伪冒基站,是一种利用 GSM 单向认证漏洞的非法无线电通信设备,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的 GSM 移动电话信息,并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信,常部署在汽车或者一个比较隐蔽区域。(伪基站产业猖狂时期,能够在街上看到某些车辆鬼鬼祟祟,围绕某片区域巡逻)。

    伪基站原理相对简单,当运营时覆盖范围内的用户信号被强制连接到该设备上,无法连接到三大运营商的网络信号,以影响手机用户正常使用,之后利用移动信令监测系统监测移动通讯过程中的各种信令过程,获得手机用户当前的位置信息。

    伪基站启动后会立刻工作,开始屏蔽一定范围内的信号,趁着用户信号短暂中断,搜索出附近连接伪基站的手机号,随机将短信发送到这些号码上。一般而言,伪基站的作用时间持续10 秒到 20 秒,恰好允许短信推送。

    伪基站具有隐蔽性、持久性等特点,加上往往部署在灵活性较高的汽车上,因此伪基站还具有较强流动性。目前,伪基站仍然可以通过特殊渠道购买,国家已经出台相应法规,例如《中华人民共和国刑法》第 288 条和《中华人民共和国治安处罚法》第 28 条都分别规定,擅自使用无线电台,经无线电管理部门责令停止使用后拒不停止使用的,或故意干扰无线电业务经有关部门指出后拒不采取有效措施消除的,移送司法部门处罚。

    # DDoS攻击

    DDoS 攻击,官方定义为多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了多个位于不同位置的机器并利用这些机器对受害者同步实施攻击。直白点,就是攻击者利用已被攻陷的电脑,在较短时间内对目标网站发起大量请求,大规模消耗目标网站的主机资源,集中火力”围殴“受害者,使其无法正常服务。

    DDoS 攻击表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。

    # 假冒 APP

    随着移动互联网技术快速发展,APP 已成为民众获取获取信息、娱乐交流、消费投资等各类生活需求的主要媒介。APP 大量使用便利民众同时,假冒 APP 也随之出现,成为一些网络犯罪分子攫取利益的工具。

    区分正规 APP 和假冒 APP 的关键点在于用户支付时资金流向问题。正规 APP 充值方式都是集成在平台上,在 APP 上可以直接用绑定的银行卡进行充值,假冒 APP 的充值方式通常是诱导受害者通过银行卡或者支付宝、微信直接转账到对方账户。

    从以往暴雷的事件来看,假冒 APP 并不是简单页面相仿、操作流程相似,而是经过团伙内开发人员、运维、产品等相互协作,严格分工,流程化设计,精准仿冒,量身定制假冒 APP 中各种诈骗流程,最后经下游渠道封装和分发假冒 APP。

    各环节疏通后,假冒 APP 最终流向诈骗团伙,随后诈骗团伙根据假冒 APP 的功能特点,将其包装成极具迷惑性的“正规”应用平台,诱使潜在受害人点击链接或扫描二维码下载 APP,进而实施诈骗活动。

    # 网络黑产发展趋势

    网络黑产凭借其隐匿性、复杂性、灵活性,暗地里利用 DDos 攻击、钓鱼网站、色情网站等技术手段,谋取大量的经济利益。此外,为躲避法律监管,利益最大化,国内网络黑产组织彼此之间相互配合,形成上下游一体化“作案”,上游专门负责利用系统漏洞,盗取受害者数据信息,下游组织掌握庞大交易平台,分类数据,更为精准定位目标客户,最终实现利益最大化,俨然是一派分工明确、组织严密的“和谐景象”。

    现阶段,网络黑产逐渐升级技术手段、转移运营区域、加强不同组织间协作、优化宣传方式、谋求合法身份,呈现出智能化、国际化、平台化、涉众化、产业化的发展趋势。更值得警惕的是,网络黑产早已盯上了年轻群体,青少年群体心智尚未成熟,法律意识薄弱,缺乏是非判断力,极易容易成为黑产引诱的对象。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注