【钓鱼】与【反钓鱼】的技术剖析

news/2024/11/15 7:24:18/

本文来自作者 肖志华 在 GitChat 上分享「钓鱼网站与反钓鱼技术剖析(圆桌会议)」,阅读原文」查看交流实录

文末高能

编辑 | 仓井

钓鱼网站的简介阐述

钓鱼网站通常指伪装成银行及电子商务,窃取用户提交的银行帐号、密码等私密信息的网站。

“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的 URL 地址以及页面内容。

或者,利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的 HTML 代码,以此来骗取用户银行或信用卡账号、密码等私人资料。

“钓鱼网站”的频繁出现,严重地影响了在线金融服务、电子商务的发展危害公众利益,影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。

它一般通过电子邮件传播,此类邮件中一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。

有趣的是现在黑产中鱼站越来越强了,一次性换模板与域名,我必须的纠正一下我以前所说的:“给别人写鱼站的,都是菜B前端。”

专业的鱼站,写的不仅仅好,功能齐全,而且还标注上“2017最新版防Xss防 sql 注入”。

价格也高到一定程度,渔民租用鱼主的服务器和域名,一天一百块,想想还是有点利润的。

我和鱼民的聊天记录,他这里的不红,意思是 发在群里 QQ里不会被拦截,不提示危险网站。

就单单这个不红就能实现绕过之后,已经有黑产人员搭话:“测试一天群发,不红了,三百一天收你这个技术。”

当然是义正言辞的拒绝了。不过在下属实缺钱也没有和黑产勾肩搭背的想法。

贴两个鱼站截图,可以看到功能完善之强,这是我之前X进去的一个站台。

目前我接触到的有针对游戏钓鱼的,比如DNF,一天钓几千号没问题。洗号洗装备洗钱几千个号上万利润没问题。

再比如,iPhoneID 锁,一次钓几个号没问题,解开一个就赚一个,利润嘛,请问现在市场二手的 iPhone7P 是多少钱?

走正题了。

钓鱼网站常见的厂商检测

现在常见的安全软件厂商有,360,腾讯,百度,等厂商。在于钓鱼网站的检测力度来讲,腾讯反钓鱼网站力度是数一数二的,因为腾讯的QQ,微信,占据了社交软件的绝大部分市场。

也是钓鱼网站转播的主要途径。当然在技术上腾讯的反钓鱼系统做的也是相当的不错,基本上能杜绝大部分钓鱼网站的伪装。

根据百度百科的介绍腾讯拥有一个全球最大的网站数据库,能敏锐鉴定网站的安全性,轻松识别假冒、诈骗、钓鱼等恶意网站。

钓鱼网站的检测方法

由于钓鱼网站的识别率很高,一开始没有理会检测方法和原理,通常钓鱼网站发出来只要几十秒就会报毒,可是当看到一个钓鱼网站连续几天都没有报毒,这时候我惊呆了。

于是我开始着手了解反钓鱼的检测方法。在度娘上找到了一篇关于钓鱼网站的检测系统的研究论文。

在该论文中大概了解到,该检测系统的原理是是对url内容特征进行匹配,在原理的介绍上是通过,url白名单过滤,和网站内容特征进行检测判断的。

我在关于“钓鱼网站”百度百科的介绍中看到腾讯也介绍了腾讯安全云库的一种url检测和过滤的原理,该原理是通过用户访问的网址在腾讯云库存储的钓鱼网站数据库和特征进行匹配,从而判断用户访问的网址是否为钓鱼网站。

腾讯云安全网址检测如上图。

反钓鱼系统进行测试实验

(由于其他原因具体详情不放出,故告知。)

为了论证该技术的可行性我自行搭建了一个钓鱼网站:

在我搭建好的第一时间发给了一个朋友进行检测测试,发现在刚刚发布的几十秒内并没有报毒。

而在几分钟后我发给我另一个朋友,得到的回复是已经被拦截。随后我在腾讯管家安全检测查询,的确被拦截判断为钓鱼网站,最关键的是紧紧在发布了30秒左右就检测到了。这让我感到管家的技术强大。然而我开始了我的实验之路。

根据上述的图片原理我进行了实验:

首先 url 白名单过滤,我找了一个新域名,所以不在白名单内,也不在钓鱼网站库里,然后第一个理论我就顺利通过 url 过滤判断。

其次在上述的原理中提到的对页面的内容特征进行检测,这个是判断钓鱼网站的核心,因为url检测域名的相似度导致误判会很高。

所以电脑管家会检测网页上的源代码特征,是否跟已在安全库中出现的钓鱼网站的页面特征进行匹配,找到相似处,从而判断是否是钓鱼网站。

然后为了躲过页面特征被检测的风险,我处理了一下页面源代码的特征。然后开始测试。结果出乎我的意料。

我发给朋友测试,管家检测并没有跟我第一次测试的时候,在30秒内检测出是钓鱼网站。

一开始觉得是发布的人数较少没被检测出来,然后我在群里群发了一下网站,但是结果还是没有被检测出是钓鱼网站,接着我来到管家网址检测,对网站再次进行检测,结果还是没有被检测出来,进过10几分钟的等待再次检测一遍,依然没有被检测出来。由此可以断定,管家的检测方法也跟上述我找到的论文方法一致。

经过几番测试,对与我处理过页面源代码特征的页面也一直没被反钓鱼系统检测出来。

复现过程到此结束,因为很多原因不能放出具体详情过程和贴代码,只能贴个论文地址了。

AdaBoost算法的网络钓鱼检测系统的研究

我直接贴个论文地址吧,我是看的这个论文,内容太多也不好引用,请读者自查。

https://wenku.baidu.com/view/ff36c5e94b35eefdc9d333b6.html

来自江西理工大学的三位同志研究论文。

关于钓鱼网站的识别与防范

对应钓鱼网站的识别与防范,大家只要记住,看url链接的地址的是不是你要访问的网站域名,还有就是不点来历不明链接。

也请记住以下五种方法防范办法:

  • 第一、查验“可信网站”

  • 第二、核对网站域名

  • 第三、比较网站内容

  • 第四、查询网站备案

  • 第五、查看安全证书

It’s your turn to speak, my friend.

近期热文

机器人的「语料」,如何获取?

一页纸,梳理你的商业模式 ,奇妙的「精益画布」

《轻松几招你也可以架构高性能网站》

突破技术发展瓶颈、成功转型的重要因素

《沉迷前端,无法自拔的人,如何规划职业生涯?》


从此

告别黑客

「阅读原文」看交流实录,你想知道的都在这里


http://www.ppmy.cn/news/637584.html

相关文章

开虚拟机服务器cpu百分之百应该管,为何我在虚拟机里开游戏CPU使用率90--100

这个病毒早成的原因也是有可能的。给你些资料参考下把。 经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面: CPU占用率高的九种可能 1、防杀毒软件造成故障 由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没…

译: Linux 操作系统知多少

译: Linux 操作系统知多少 1.1 介绍1.2 选择发行指南1.2.1 Linux Mint1.2.2 Ubuntu1.2.3 MX Linux1.2.4 Arch Linux1.2.5 Gentoo1.2.6 Slackware Linux1.2.7 Debian GNU / Linux1.2.8 Fedora1.2.9 openSUSE1.2.10 CentOS1.2.11 FreeBSD 1.3 使用建议1.4 参考资料 直到今天为止,…

主要Linux发行版和FreeBSD概述

介绍 令人困惑的选择和数量不断增加的Linux发行版可能会使那些刚接触Linux的人感到困惑。这就是创建此页面的原因。它列出了10个Linux发行版(加上对FreeBSD的荣誉称号,到目前为止,它是所有BSD中最受欢迎的发行版),这些…

Fabric学习--环境搭建

前言:这是本人学习fabric的一个安装笔记,本来觉得应该很简单,一切从头开始安装,因为很久没有干活了,所以,前后安装了好几天,因为碰到的各种问题很多,有自己小白的错误,也…

02【前端工程化初探】GitLab本地部署

概述 这篇文章先来预热一下,我们在自己的虚拟机里搭建一套GitLab环境,然后自己就可以使劲折腾。具体搭建步骤如下。 系统环境 系统:CentOS 8.1 内存:4G起步 硬盘:50G(仅供测试环境) IP:192.168.0.104 …

钓鱼网站与反钓鱼技术剖析(圆桌会议)

在昨天,一个 DNF 的钓鱼页面引起了我的注意,按照常理来说,腾讯游戏的钓鱼链接发送到 QQ 中,不到一分钟便会被拦截提示危险。而对方 URL 腾讯并不做拦截,于是我和朋友分析了其原理,通过多次实验现已经能够成…

联想 R9000 系列以及Realtek Semiconductor Co., Ltd. Device 88xx系列 Ubuntu WIFI 不能使用

1.设置bios 打开主板系统,将security boot设置为disenable,我们接下来的操作会涉及到内核级别需要关闭。 2.查询网卡型号 ➜ ~ lspci | grep Network 02:00.0 Network controller: Realtek Semiconductor Co., Ltd. Device 8852可以看…

win7系统未响应卡住_系统经常假死怎么办|win7系统经常无响应|win10系统经常未响应怎么解决...

2016-12-09 10:51:44 电脑安装windows7操作系统后,难免会遇到一些故障问题,这不有位用户说打开应用程序经常出现未响应的情况,每次都要等待很久的时间,这可怎么办呢?有些用户尝试启动任务管理器来关闭未... 2016-01-22…