亚洲欧美日韩中文字幕在线,久久国产精品夜色,国产亚洲自在精品久久

一種極為高效的釣魚技術(shù)，騙取Gmail用戶賬戶

責(zé)任編輯：editor005

作者：secist

2017-01-20 14:30:38

摘自：黑客與極客

經(jīng)常關(guān)注我們 Wordfence 的用戶會發(fā)現(xiàn)，我們網(wǎng)站會不定時的，發(fā)布一些關(guān)于 WordPress 之外的安全問題警報。啟用雙因素身份驗證，將會大大增加攻擊者登錄你賬戶的難度，即使他們已經(jīng)竊取了你的賬戶密碼，也不一定能成功登錄你的賬戶。

經(jīng)常關(guān)注我們 Wordfence 的用戶會發(fā)現(xiàn)，我們網(wǎng)站會不定時的，發(fā)布一些關(guān)于 WordPress 之外的安全問題警報。這些警報大多都是，我們認(rèn)為非常緊迫，急需解決的一些安全問題。在這篇文章中，我們將向廣大的客戶及讀者用戶，發(fā)出一項新的威脅告警。一種更加隱蔽有效的網(wǎng)絡(luò)釣魚技術(shù)，正試圖騙取 Gmail 用戶賬戶信息。它不僅針對那些普通用戶，那些經(jīng)驗豐富的高級用戶，也受到了不同程度的影響！

為了讓大家盡可能的閱讀和理解這篇文章的內(nèi)容，我對文章中的一些技術(shù)細(xì)節(jié)，做了細(xì)微的處理和簡化。希望大家在閱讀完該文后，能保護自己免受這種網(wǎng)絡(luò)釣魚攻擊，避免給自己帶來不必要的損失和麻煩。

釣魚攻擊：你所需要知道的

一項針對 Gmail 和其他服務(wù)的新型網(wǎng)絡(luò)釣魚技術(shù)，在過去的一年里，正受到越來越多攻擊者的青睞。在過去的幾個星期里，有媒體報道稱，該網(wǎng)新型絡(luò)釣魚技術(shù)，不僅針對那些普通用戶，即使是那些有著豐富經(jīng)驗的網(wǎng)絡(luò)技術(shù)人員，也難于幸免！

此類攻擊的目標(biāo)不僅僅是 Gmail 用戶，它還包括一些其他服務(wù)。

攻擊的實施過程，依舊是老套路。攻擊者首先會向你的 Gmail 帳戶發(fā)送電子郵件。該郵件的發(fā)信人，可能是你某個熟悉的人。黑客可能利用了同樣的釣魚技術(shù)，竊取了你熟人的郵箱，并以此來冒充。也可能是一封包含了圖片附件的郵件，而這張圖片可能是你認(rèn)識的某個熟人的照片。

當(dāng)你點擊圖片準(zhǔn)備預(yù)覽時，它會打開一個新的標(biāo)簽頁。此時，Gmail 會提示你重新登錄。你可以查看地址欄的 URL 信息，你會看到一個幾乎一模一樣的 Google 賬戶登錄網(wǎng)址：accounts.google.com。如下圖：

接著，你會看到一個 Gmail 的完整用戶登錄界面，如下：

完成登錄后，你的帳戶也就意味著已經(jīng)被攻擊者，成功盜用！Hacker News 的評論者，詳細(xì)地描述了他們在無意點擊該釣魚頁面后，所發(fā)生的一切：

“攻擊者在獲取登錄憑據(jù)后，會立即登錄你的帳戶。并冒用你的名義，向你聯(lián)系人列表中的好友，群發(fā)釣魚郵件。

例如，他們進入一個學(xué)生的帳戶，截取一張運動隊練習(xí)時間表，并以附件和對應(yīng)主題的形式，通過電子郵件發(fā)送給運動隊的其他成員。“

通常，在成功獲取到你的登錄憑據(jù)后，攻擊者都會在很短的時間內(nèi)登錄到你的賬戶。他們可能是利用某些程序，來自動批量登錄。也可能是通過一個專業(yè)的賬戶處理團隊，來完成。

一旦攻擊者成功登陸到你的賬戶，他們就自動獲取到了你所有郵件的訪問接收及發(fā)放權(quán)限。攻擊者還會利用密碼重置機制，來修改你使用該郵箱綁定的其他一些服務(wù)密碼。

以上我描述的是，用于竊取Gmail上的用戶名和密碼的網(wǎng)絡(luò)釣魚攻擊，它的成功率非常高。然而，這種技術(shù)不僅限于釣取 Gmail 賬戶信息，它還可以用于從許多其他平臺竊取憑證，在基本技術(shù)實現(xiàn)上，它的變化非常多樣化。

如何保護自己，免受這種網(wǎng)絡(luò)釣魚攻擊

總有人會告訴你說：“想要避免進入一個釣魚網(wǎng)站，你需要仔細(xì)的檢查地址欄的 URL 地址，是否為正確的網(wǎng)站的地址，以確保賬戶信息的安全。”

在上述攻擊中，你完成了上述操作，并在地址欄中看到了正確的 URL 地址“accounts.google.com”，因此你會放松你的警惕并點擊登錄。

為了更好的避免遭受到這類釣魚攻擊，你可能需要改變你的檢查策略。例如這類釣魚技術(shù)，使用一種被稱為“數(shù)據(jù)URI”的東西，它會在你的瀏覽器地址欄包含一個完整的文件，類似 ‘data：text / html …..’，看起來如下圖那樣：

從我紅色箭頭指向的地方開始，我們可以看到有一段非常長的文本塊。這實際上是一個在新標(biāo)簽頁中打開的文件，用于創(chuàng)建一個完整功能的假 Gmail 登錄頁面，并接收用戶的輸入內(nèi)容發(fā)送給攻擊者。

正如你所看到的，在地址欄的最左邊你看到的是以“data：text / html”開頭的 URL ，而緊隨其后的則是正常的“https：//accounts.google.com…”網(wǎng)址。此時，如果你稍不注意，就會忽略開頭的這段 ‘data：text / html’ ，并誤以為該 URL 是合法的網(wǎng)站地址。

如何保護自己

當(dāng)你登錄任何服務(wù)時，務(wù)必檢查瀏覽器地址欄并驗證協(xié)議及主機名是否匹配正確。在登錄 Gmail 或 Google 時，在 Chrome 瀏覽器中應(yīng)該顯示如下：

請確保主機名“accounts.google.com”（“https：//”除外）和鎖定符號之前，沒有任何內(nèi)容。你還應(yīng)特別注意，左側(cè)的綠色標(biāo)識部分。如果你無法驗證地址欄的協(xié)議及主機名，那么請馬上停止你的操作，并仔細(xì)回想下剛剛你點擊了什么。

如果你使用的那些服務(wù)都支持雙因素身份認(rèn)證，那么請務(wù)必開啟雙因素身份認(rèn)證。在 Gmail 下被稱為“兩步驗證“，你可以在此頁面上了解如何啟用它。

啟用雙因素身份驗證，將會大大增加攻擊者登錄你賬戶的難度，即使他們已經(jīng)竊取了你的賬戶密碼，也不一定能成功登錄你的賬戶。值得注意的是，我看到一些關(guān)于雙因素身份驗證的討論，認(rèn)為即使啟用了雙因素身份驗證，也將無法避免此類攻擊。但我沒有看到一個概念的證明，所以我不能證實這一點。

為什么 Google 解決不了這個問題，以及他們應(yīng)該做什么

Google 對用戶的問題做了以下回應(yīng)：

“地址欄仍然是瀏覽器的幾個可信 UI 組件之一，并且也是唯一一個可被信賴的，用于判斷當(dāng)前用戶訪問來源可靠性的依據(jù)。如果用戶仔細(xì)查看地址欄的內(nèi)容，那么釣魚和欺騙攻擊，顯然是微不足道的。但不幸的是，這是網(wǎng)絡(luò)的工作原理，任何修復(fù)都是基于檢測它們的外觀來進行的，但想繞過這種檢測卻很容易，有上百種方式可以選擇。數(shù)據(jù)：URL 部分在這里沒有那么重要，因為你可以在任何 http [s] 頁面上進行釣魚欺騙。”

但是我并不認(rèn)同 Google 的這個答復(fù)，有以下幾個原因：

Google 已經(jīng)修改了地址欄的行為，當(dāng)用戶打開的網(wǎng)頁使用的是 HTTPS 協(xié)議和擁有鎖定圖標(biāo)時，將會以綠顏色標(biāo)識協(xié)議，以表示當(dāng)前用戶訪問的為安全合法網(wǎng)站。

當(dāng)頁面不安全時，他們則會使用不同的方式顯示協(xié)議，并用一條斜線將其標(biāo)記為紅色：

而在這次攻擊中，用戶既看不到綠色，也看不到紅色。他們看到的只是黑色文本：

這就是為什么，這種攻擊能如此有效的最好說明。在用戶界面設(shè)計和人類感知中，通過統(tǒng)一的視覺特性連接的元素，被感知為比不相連的元素更相關(guān)。

這就是為什么這種攻擊是如此有效。在用戶界面設(shè)計和人類感知中，通過統(tǒng)一的視覺特性連接的元素被感知為比不相連的元素更相關(guān)。 [閱讀更多：Gestalt 人類感知原則和“統(tǒng)一連接”及內(nèi)容盲點]

因此，當(dāng) ‘data：text / html’ 和可信主機名顏色相同時，我們的感覺就是它們是相關(guān)的，這和 ‘data：text / html’ 部分是否多余，已經(jīng)沒有多大的關(guān)系了。

在這種情況下，Google 需要改變?yōu)g覽器中顯示的“data：text / html”的方式?？梢圆扇∫恍┎煌伾蛨D標(biāo)來標(biāo)識它們，這將起到一個視覺感知上的差異，并提醒用戶仔細(xì)檢查 URL 地址欄，更好的保護用戶的權(quán)益。

如何檢查你的帳戶是否已遭到入侵

目前沒有特別好的辦法，來檢查你的賬戶是否已經(jīng)遭到非法入侵。如果你懷疑你的賬戶已經(jīng)被其他人盜用，那么你可以立即更換你的密碼。最好能保持每隔一段時間，就更換一次密碼的習(xí)慣。

如果你使用的是 Gmail，你可以通過檢查你的登錄活動，來了解是否有其他人正登錄和使用你的帳戶。有關(guān)信息，請訪問 https://support.google.com/mail/answer/45938?hl=zh_CN。要使用此功能，請滾動到收件箱底部，然后點擊“詳細(xì)信息”（在屏幕的右下角）。這將顯示你賬戶，當(dāng)前所有的會話活動以及你最近的登錄歷史記錄。如果你發(fā)現(xiàn)有未知來源的的登錄活動，你可以強制關(guān)閉他們。如果你發(fā)現(xiàn)，你在一些自己不知道的地點登錄過，則表示你的賬戶可能已經(jīng)被黑客盜用。

在這里我向大家推薦一個，可以用來檢查你的電子郵件帳戶是否泄漏的網(wǎng)站 https://haveibeenpwned.com/。這個網(wǎng)站是由著名的安全研究員，Troy Hunt 創(chuàng)辦的。使用起來也非常的簡單，只需輸入你的電子郵件地址即可。

總結(jié)

在打開一個網(wǎng)站后，一定要仔細(xì)的檢查該頁面的 URL 地址，看看是否多了一些不該有的內(nèi)容，或被瀏覽器標(biāo)紅警告。除此之外，我建議大家在進入一些關(guān)鍵性網(wǎng)站時，最好采用手動輸入的方式，或通過搜索引擎查找有綠色官方驗證標(biāo)識的網(wǎng)站。同時，對一些重要的賬戶密碼，進行定期的密碼更換。希望通過我的簡單介紹，能提高大家的安全防范意識，避免遭遇類似的網(wǎng)絡(luò)釣魚攻擊！

Gmail 釣魚網(wǎng)站