編者按：當(dāng)前網(wǎng)絡(luò)詐騙花樣層出不窮，就像是不斷更新迭代的“病毒”，雖然“疫苗”研制出來(lái)了，但似乎總會(huì)出現(xiàn)新型的“病毒”。此次Google有效攻克網(wǎng)絡(luò)釣魚(yú)，終究讓人松了一口氣。Wired在題為“Inside Google’s Global Campaign to Shut Down Phishing”中細(xì)致分析了Google是如何一步步打贏這場(chǎng)反釣魚(yú)詐騙的硬仗的。

5月初，網(wǎng)絡(luò)上涌現(xiàn)出許多網(wǎng)絡(luò)詐騙，它們偽裝成Google文檔請(qǐng)求，有的電子郵件甚至偽裝成熟人身份。只要受害者點(diǎn)擊并授予看似無(wú)害的權(quán)限，他們的整個(gè)Gmail帳戶信息就會(huì)暴露無(wú)疑。

Google的反技術(shù)濫用總監(jiān)Mark Risher說(shuō)：“我們組建了戰(zhàn)爭(zhēng)反應(yīng)室，將人們聚集在現(xiàn)實(shí)的房間里。當(dāng)然，我們公司其他分部的各領(lǐng)域?qū)＜乙矔?huì)很快聚集起來(lái)”。

Google成為攻擊的靶心，安全防御亟待提高

不幸的是，這種危機(jī)對(duì)Google來(lái)說(shuō)早已是家常便飯。Google坐擁巨大的用戶群，在網(wǎng)頁(yè)上留下了的足跡眾多，因此且不說(shuō)其他方式的黑客攻擊，Google的服務(wù)和客戶都已成為釣魚(yú)攻擊的靶心。但話又說(shuō)回來(lái)，釣魚(yú)也是個(gè)棘手難題，演進(jìn)速度極快，很難通過(guò)設(shè)計(jì)進(jìn)行偵察。

Gmail反濫用團(tuán)隊(duì)的項(xiàng)目經(jīng)理Sri Somanchi表示：“惡勢(shì)力處心積慮搞破壞，我們更應(yīng)艱苦抗戰(zhàn)、奮勇向前，因?yàn)槲覀円欢↑c(diǎn)的疏忽都會(huì)給用戶帶來(lái)莫大的損失”。

加大技術(shù)防御，捍衛(wèi)名聲與光榮

當(dāng)Google Docs受到網(wǎng)絡(luò)釣魚(yú)的攻擊時(shí)，0.1％的Gmail用戶，即約100萬(wàn)個(gè)帳戶都會(huì)受到影響。Google反技術(shù)濫用團(tuán)隊(duì)采取應(yīng)對(duì)措施，首先進(jìn)行信息分享，然后在全球各地的Google辦公室進(jìn)行傳送，確保24小時(shí)覆蓋。

“目前一個(gè)團(tuán)隊(duì)專門負(fù)責(zé)Gmail入站，努力確保電子郵件信息不會(huì)泄露，”Risher說(shuō)。“還有一個(gè)團(tuán)隊(duì)負(fù)責(zé)處理帳戶濫用模式，查看誰(shuí)正在使用已被訪問(wèn)的憑據(jù)。第三個(gè)團(tuán)隊(duì)則監(jiān)測(cè)信息的傳播。”

在幾個(gè)小時(shí)內(nèi)，Google遏制了網(wǎng)絡(luò)釣魚(yú)攻擊的進(jìn)一步傳播。一天之內(nèi)，Google將反釣魚(yú)安全警告擴(kuò)展到Android的Gmail上。

在這次戰(zhàn)爭(zhēng)中，Google使用了其最近幾年來(lái)新推出的反釣魚(yú)和威脅警告工具，如Chrome擴(kuò)展密碼警報(bào)。如果它認(rèn)為用戶剛剛將Google用戶名和密碼輸入冒牌登錄頁(yè)面，則會(huì)發(fā)出警告。Google還宣布要針對(duì)企業(yè)用戶提供新的網(wǎng)絡(luò)釣魚(yú)保護(hù)措施，包括在企業(yè)用戶嘗試向公司外部發(fā)送數(shù)據(jù)時(shí)發(fā)出警告，以及提供其他防止勒索軟件的保護(hù)措施。

Google致力于盡可能地降低用戶做出安全選擇和防止上當(dāng)?shù)碾y度，但公司的重點(diǎn)是采用技術(shù)解決方案，即無(wú)縫實(shí)現(xiàn)最少的用戶購(gòu)買。一些網(wǎng)絡(luò)釣魚(yú)專家認(rèn)為，強(qiáng)化用戶培訓(xùn)是阻止網(wǎng)絡(luò)釣魚(yú)的關(guān)鍵所在，但是用戶培訓(xùn)公司PhishMe的首席技術(shù)官Aaron Higbee表示：“我們要充分利用技術(shù)手段，至少Google必須這樣做。”專注于技術(shù)解決方案可以發(fā)揮Google的優(yōu)勢(shì)。

如果用戶在Chrome，Android，Search和Gmail上訪問(wèn)或下載惡意網(wǎng)頁(yè)，Google的安全瀏覽基礎(chǔ)設(shè)施則會(huì)顯示警告消息。Google還為第三方開(kāi)發(fā)人員提供了安全瀏覽功能，例如Firefox和Safari瀏覽器。Google在其廣告服務(wù)中使用安全瀏覽來(lái)捕捉試圖宣傳惡意內(nèi)容的廣告。總之，Google表示，安全瀏覽每天都造福了20億個(gè)設(shè)備。

安全瀏覽警告給長(zhǎng)期憂心電子威脅的互聯(lián)網(wǎng)用戶吃了一粒定心丸。但對(duì)Google來(lái)說(shuō)，這是推進(jìn)了十多年的長(zhǎng)期投資項(xiàng)目。Google為其旗艦搜索引擎搜索互聯(lián)網(wǎng)時(shí)，它會(huì)使用該數(shù)據(jù)來(lái)標(biāo)記攜帶社會(huì)工程攻擊、惡意軟件、網(wǎng)絡(luò)釣魚(yú)廣告系列等的惡意網(wǎng)頁(yè)。

“很多用戶接觸安全瀏覽主要是通過(guò)一張大大的紅色警告頁(yè)面。”安全瀏覽團(tuán)隊(duì)領(lǐng)導(dǎo)的Allison Miller說(shuō)道。但警告頁(yè)面背后看不到的是多少辛勤的付出，以及多少艱巨的挑戰(zhàn)。

“我們必須守衛(wèi)每扇門，每個(gè)窗，每個(gè)開(kāi)放口。而壞人只需突破其中一個(gè)”，Risher說(shuō)，“在大事不妙的時(shí)候，要努力防止事態(tài)進(jìn)一步惡化，這可能很艱難，但名聲和榮耀大多都來(lái)源于此。

防御最前線，采用多層次保護(hù)的深度防御戰(zhàn)略

數(shù)以百計(jì)的Google員工在各個(gè)層面上開(kāi)展安全防范和反濫用工作。他們的做法取決于多層次保護(hù)的深度防御戰(zhàn)略。

釣魚(yú)者和用戶Gmail帳戶之間的第一層防御是一種自動(dòng)化的批量過(guò)濾過(guò)程，它利用安全瀏覽和其他黑名單工具來(lái)阻止大量的垃圾。在阻止Gmail發(fā)送到用戶之前，Google會(huì)攔截發(fā)送到Gmail電子郵件量的90％，這還不包括垃圾箱中的內(nèi)容。

Somanchi說(shuō)：“這很多都是通過(guò)維護(hù)世界各地發(fā)信人的聲譽(yù)來(lái)實(shí)現(xiàn)的，在不斷收到的電子郵件中計(jì)算出數(shù)千個(gè)電子郵件屬性的聲譽(yù)，然后我們使用這些聲譽(yù)來(lái)預(yù)先確定發(fā)件人是否合法。”Google還會(huì)掃描錯(cuò)誤的鏈接，這意味著如果用戶不小心向Gmail朋友發(fā)送了已知的網(wǎng)絡(luò)釣魚(yú)鏈接，這封電子郵件將不會(huì)被傳送。

Google會(huì)將第一個(gè)剪輯的信息作為更重要的過(guò)濾選項(xiàng)，Gmail則會(huì)在此期間查找模擬和偽造的信息，因?yàn)檫@決定了是否將某一郵件移入垃圾箱或是收件箱。 在不確定的情況下，Gmail會(huì)讓該郵件通過(guò)，但會(huì)添加警告，表示這可能是從某個(gè)受損帳戶發(fā)送過(guò)來(lái)的。

同樣，如果Gmail沒(méi)有足夠的信息來(lái)對(duì)電子郵件做出最終決定，那么可能會(huì)提供保護(hù)措施，例如添加警告并禁用電子郵件的鏈接或附件。Gmail依靠的不是一兩個(gè)修復(fù)措施，而是提供圖層。

“若壞人獲知了用戶的密碼，他們也仍然無(wú)法使用，即使能使用，那也是我們持續(xù)的基于風(fēng)險(xiǎn)認(rèn)證的一部分”，Risher說(shuō)。

灰色地帶，不要走極端

Google員工說(shuō)，網(wǎng)絡(luò)釣魚(yú)防范和反濫用的最大挑戰(zhàn)一般在于處理潛在的惡意內(nèi)容。“你必須調(diào)整應(yīng)對(duì)措施，確保不會(huì)阻止所有灰色地帶的人”，Risher說(shuō)，“了解當(dāng)前不利情況很重要，但也要適應(yīng)良好的活動(dòng)，即正常合法的活動(dòng)，而不是走到另一個(gè)極端，這最終會(huì)損害廣泛的[Google]生態(tài)系統(tǒng)。”

Somanchi表示，垃圾郵件和網(wǎng)絡(luò)釣魚(yú)識(shí)別中有95％來(lái)自機(jī)器學(xué)習(xí)。而且在過(guò)去幾年中，這些Gmail機(jī)制已經(jīng)發(fā)展成為將傳統(tǒng)的監(jiān)督學(xué)習(xí)（其中使用大數(shù)據(jù)集訓(xùn)練的算法）與更新的無(wú)監(jiān)督學(xué)習(xí)技術(shù)相結(jié)合，其中算法會(huì)從惡意程序中判斷哪些為合法輸入。“雖然普通電腦會(huì)作出非黑即白的武斷決策，但是深入的學(xué)習(xí)大大提高了主觀性，并且更接近真實(shí)性”Risher說(shuō)。

Google還強(qiáng)調(diào)，利用機(jī)器學(xué)習(xí)也有助于保護(hù)用戶隱私。Miller說(shuō)：“這些系統(tǒng)是對(duì)聚合數(shù)據(jù)進(jìn)行操作的，而且這些工作完全中沒(méi)有人能了解對(duì)潛在的私人信息。我們將集中注意力，識(shí)別攻擊者及其方法，安全瀏覽和反網(wǎng)絡(luò)釣魚(yú)防御系統(tǒng)會(huì)識(shí)別出攻擊模式的共同點(diǎn)。

 編譯組出品。編輯：郝鵬程