美国SANS技术研究院院长Johannes Ullrich 6月20日指出,使用TLS(安全传输层协议)认证网站的Netflix网络钓鱼邮件一直在增长。
Ullrich在一篇文章中阐述了他的发现和相关分析。获取TLS 证书过程大致如下:
钓鱼攻击的幕后黑手利用未修补的安装、插件或弱密码,来破坏可疑的CMS软件,比如WordPress或Drupal。从那里,他们可以创建可能被误认为是真正的Netflix域名的钓鱼网站;
使用通配符DNS记录,*anything.domain.com将指向相同的IP地址;
攻击者利用子域/主机名来发起攻击;
攻击者可以获取与netflix相关的主机名的TLS证书,如netflix.domain.com或netflix.login.domain.com;
获取有效TLS证书有助于网站避免被安全浏览器软件标记,提高钓鱼攻击成功率,但在以前尚未引起足够重视。
Ullrich指出,Netflix 新型钓鱼攻击中,最开始的欺诈电子邮件是最易被识别出的一个环节。邮件被标记成了垃圾邮件,行文措辞也漏洞百出。在Ullrich展示的例子中,邮件链接指向冒充Netflix官网的注册域名hxxps://www.safenetflax.com。
点击链接进入网站后,伪造的细节几乎一模一样,相对明显的差异是,使用其他非官网账号的替代登录入口不见了。因为Netflix是一家提供网络视频点播的公司,其账号订阅并不属于价值不菲的服务类型。但Netflix钓鱼攻击对黑客的吸引力在于攻击过程很容易变得自动化,而且受害者很难发现账号被攻击。单一订阅者的账号能同时让多人使用,即使在非订阅者的计算机或设备上也能登录服务,这意味着一旦账号被侵入,使用权通常会在受害者不知情的情况下被长期“共享”。除非账号主人因使用过多视频流被“踢下线”,否则,他/她可能永远不会知道。
百密终有一疏,虽然伪站使用TLS证书可以避免被安全浏览器标记,但Netflix或其他公司可以通过证书透明度日志找到网站。
近年来,使用TLS进行网络钓鱼攻击的方法急剧增加;全球信息安全公司Zscaler去年的数据也表明:与2016年SSL / TLS相比,黑客企图发起的钓鱼攻击数量增加了400%。其安全研究主管Deepen Desai说:“黑客在他们已经入侵的合法域名上发布钓鱼页面。这些合法网站中的很多都支持SSL / TLS,但很少有网络安全解决方案可以支持大规模检测加密数据包。”
对此Netflix给用户的建议是,避免点击通过电子邮件发送的链接;及时通过官网报告任何可疑信息。