[CS-161]网络钓鱼(phishing)
[CS-161]网络钓鱼(phishing)
- 网络钓鱼(phishing)
- 受骗原因(main vulnerability)
- 检查url
- 相似的字符
- Homograph attack
- browser in browser attack
- two-factor authentication(双重认证)
- 3 main ways
- 破解2FA(relay attack)
- 考虑下面一个场景
- 双因素身份验证方案
- 攻击
- 更强的2FA
试想你收到了一封邮件,上面显示你的paypal账号已经被封,需要你人工解封,你点击了link,然后到了下面这个界面
在这里插入图片描述
你点击了confirm My Account Now,然后浏览器将你导入另一个页面
你输入了邮箱和密码
确认了你的个人信息后,paypal要求你确认信用卡信息
你输入了你的信用卡的信息以后,进入到了这个界面
你看到了网址有个绿色的标记(certificate),觉得很放心,殊不知很可能已经将个人信息泄露给attacker
网络钓鱼(phishing)
欺骗受害者,使受害者给攻击者发个人信息
受骗原因(main vulnerability)
受害者无法区别网站是否是官方网站
检查url
www.pnc.com/webapp/unsec/homepage.var.cn
对于上面这个url.很多人可能认为domain是pnc.com.但是,attacker可以把这一整个作为domain. attacker可以为这个valid domain注册一个HTTPS certificate
相似的字符
你看到这个苹果网站,是不是觉得这个是苹果官方网站的url.实际上并不是,这里‘.’并不是一个拉丁字符.它实际上来自西里尔字母,他们render的时候是一样的,但是在存贮的时候用的byte并不相同
Homograph attack
创建url,这个url看起来和legitimate url几乎(完全)一模一样
browser in browser attack
就像我之前说的一样,你会检查url前面的绿色的padlock或者其他类似的浏览器保证的security feature.
attacker 可以使用JavaScript模拟出符合上述要求的网站
实际上,phishing并不能全怪user,因为他们不是网络安全的专家。而且专家也很难做到完全不被这些东西欺骗
two-factor authentication(双重认证)
用户必须以两种不同的方式证明其身份,然后才能成功进行身份验证
3 main ways
用户知道的内容:密码、安全问题(例如,您的第一只宠物的名字)
用户拥有的东西:他们的手机、他们的电子邮件、他们的安全令牌
用户是什么:指纹,面部ID
使用2FA后,如果attack只知道一个密码,那么他并不能做任何事
但是即便如此,2FA也不是没有办法破解的
破解2FA(relay attack)
attack可以使用Phishing将两个factor都拿到
考虑下面一个场景
双因素身份验证方案
第一个因素:用户的密码(用户知道的东西)
第二个因素:发送到用户手机的代码(用户拥有的东西)
攻击
网络钓鱼网站要求用户输入其密码(第一个因素)
攻击者立即尝试以用户身份登录到实际网站
实际网站向用户发送代码
网络钓鱼网站要求用户输入代码(第二个因素)
攻击者输入代码以用户身份登录
更强的2FA
使用security key
用法
当用户注册网站时,安全密钥会生成一个新的公钥/私钥对,并将公钥提供给网站
当用户想要登录时,服务器会向安全密钥发送一个随机数
安全密钥对随机数、网站名称(来自浏览器)和密钥 ID 进行签名,并将签名提供给服务器
安全密钥可防止网上诱骗
在网络钓鱼攻击中,安全密钥会生成包含攻击者网站名称的签名(signature),而不是合法的网站名称
不受中relay attack的影响!
[CS-161]网络钓鱼(phishing)相关推荐
- 6.2 网络钓鱼攻击
目录 一.了解网络钓鱼 二.实验环境 三.实验步骤 四.实验过程中出现的一些问题 一.了解网络钓鱼 网络钓鱼(phishing)由钓鱼(fishing)一词演变而来.在网络钓鱼过程中,攻击者使用诱饵( ...
- 实例解析网络钓鱼攻击的幕后
实例解析网络钓鱼攻击的幕后 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名.口令.帐号ID.ATM PIN码或信用卡详细信息)的一种攻击方式. ...
- 垂钓之王hd_它的专业人士指南,以阻止网络钓鱼
垂钓之王hd Phishing is one of the biggest security concerns for businesses at present. Phishing used to ...
- psa加密_PSA:请注意这种新的Google翻译网络钓鱼攻击
psa加密 Akamai赤舞 You know, the thing with scammers is that they're always going to find new ways to sc ...
- 在真正的短信网络钓鱼攻击内部
SMS based phishing attacks (Smishing) are a real threat that we see every day. To help you spot them ...
- 网络钓鱼攻击技术分析及防范
网络钓鱼攻击技术分析及防范 网络钓鱼攻击技术分析及防范 Author: rayh4c [80sec] EMail: rayh4c#80sec.com Site: http://www.80sec.co ...
- 为什么网络钓鱼攻击仍然有利可图----以及如何阻止它
随着商业世界继续努力应对新常态的不断扩展,网络钓鱼攻击仍然是攻击者的一种常见策略.为什么网络钓鱼攻击仍有发生?我们该如何预防他们呢?我们采访了一位威胁分析师,他告诉了我们答案. 2020年5月,X-F ...
- 网络钓鱼攻击类型,载体及其技术途径
A survey of phishing attacks: Their types, vectors, and technical approaches 一份调查网络钓鱼攻击类型,载体及其技术途径得报 ...
- 鱼叉式网络钓鱼和网络钓鱼_您需要了解的反网络钓鱼标准–第1部分
鱼叉式网络钓鱼和网络钓鱼 *This article by Marc Laliberte was originally published in the October edition of Cybe ...
最新文章
- python 条形图-python使用Plotly绘图工具绘制水平条形图
- easyui combobox设置只读属性
- 【技术人快报】美军计划换用Linux系统+安卓系统“克隆漏洞”曝光
- 基于单TCP连接的高吞吐模型设计
- 获取当前窗口是否可见 document.visibilityState
- Struts 2 入门
- win7装oracle 11g 问题
- Java核心类笔记(字符串方法、StringBuilder(Joiner)、包装、JavaBean、枚举、Math、随机数)
- Spring AOP介绍
- Android如何缓存你的BITMAP对象
- 结对-结对编项目作业名称-开发环境搭建过程
- linux 脚本启动oracle,linux自动启动 oracle脚本
- 招聘人才的网站(杭州)
- ubuntu 的 kitti2bag安装与测试
- 最新emoji表情代码大全_7张最新有创意好看的早安问候动画表情图片 暖心的早上好问候祝福动态图片表情大全...
- python条形堆积图_python – 带有中心标签的堆积条形图
- 留下你认为程序猿最经典的感悟和搞笑事件
- Telnet 发电子邮件 E-mail
- 春运在即 360又抢了12306的风头
- 微信运动如何读取小米手环的数据
热门文章
- Portraiture中文版最新mac3.5版win5.0版插件介绍
- TOGAF之架构标准规范(一)
- linux服务器挂硬盘无法启动不了怎么办,Linux硬盘问题的八种解决技巧
- jsp70150宠物寄领养系统
- 基于SCORM标准课件的移动客户端架构设计
- 用spss进行主成分分析
- 黑阔的win10--把win10打造成kali(记录帖)
- android切换账户功能,共享不是噱头 Android 4.2多用户功能详解
- Kail Linux渗透测试教程之在Metasploit中扫描
- 光伏电池PV建模,基于Boost/Buck电路实现最大功率追踪MPPT,包括扰动观察法