随着互联网的普及,人们越来越依赖网络进行各种活动,包括工作、社交、支付等。然而,网络安全问题也随之而来,其中钓鱼攻击是一个常见但危害巨大的问题。钓鱼攻击是指攻击者利用虚假的电子邮件、短信、网站等手段,诱骗受害者提供个人敏感信息,如用户名、密码、信用卡号码等,从而实施欺诈、恶意软件传播、网络钓鱼等活动。
本报告基于一周的钓鱼网站数据(2023年2月1日至2月7日),探究了钓鱼网站的几项数据特征,以及钓鱼网站对个人和组织的危害和潜在风险。本报告旨在提供有关钓鱼攻击的实证研究和实际问题的讨论。通过分析和总结,我们可以更深入地了解钓鱼攻击的模式和趋势,为网络安全从业者和普通用户提供针对性的建议和解决方案。
本报告利用PhishTank、OpenPhish、PhishStats和CertSream作为钓鱼数据来源,利用自研发的多特征钓鱼检测模型和基于相似度的PhishPedia模型获取、检测并验证相关数据,筛选出钓鱼网站,并对获取的钓鱼数据做数据分析,并利用whois做溯源调查,获得钓鱼网站数据相关结果。
通过数据爬取与分析,2023年2月1日至2月7日期间获取独立钓鱼网站URL共计9845个,其中包含不同的域名6821个,平均每天都能检测到约1000个独立的新建钓鱼网站。部分钓鱼URL具有相同的域名,通过归类分析,表1中是URL最多的几个域名,图1为该数据的CDF图。可以看出,一部分钓鱼网站共用同一个域名,大部分钓鱼域名只包含一个独立的钓鱼网站。
表1 拥有较多不同钓鱼URL的域名
图1 域名的URL数量CDF图
在获取到的6821条钓鱼域名中,域名部分为IP地址的有45条,占到总比例的0.45%,且全部为IPv4形式,未发现IPv6地址。纯IP形式的域名相比于正常的域名更难以欺骗用户。因此,纯IP形式的域名数量较少可以认为是钓鱼网站攻击形式的发展进步。
通过对钓鱼网站域名的TLD(顶级域名)分析,发现了248种不同的TLD,其中“.com”,“.app”,“.dev”等顶级域名使用较多,如表2所示。图2所示为TLD 出现频率的zipf图,约10%的TLD占到了所有探测到钓鱼网站的约86%。
表2 顶级域名TLD出现次数
图2 顶级域名TLD zipf图同时注意到,部分域名之间存在明显的相似关系,例如“uuphgoin-lofgin.godaddysites.com”和” uuphoeld-logzin.godaddysites.com”等一系列域名相似度非常高,可以认为是同一批钓鱼者创建的钓鱼网站。利用Levenshtein编辑距离和层次聚类算法构建的简单字符串聚簇分类器,计算获得了5975个不同的相似簇,构建的zipf图见图3。其中最大的相似簇包含146个不同的钓鱼域名,其域名之一为“www--wellsfargo--com--wq49329d48d6c.wsipv6.com”,是仿冒美国富国银行Wells Fargo的官网建立的一系列钓鱼网站。
图3 相似簇 zipf图
利用基于相似度的检测算法,报告对所获取钓鱼网站的攻击目标网站进行了探测,获取了所有钓鱼网站中的21.32%,总计2099个钓鱼网站的目标网站,本小节对这些目标网站进行分析。
这2099个钓鱼网站所针对的是89个目标品牌,涵盖了金融、电信、社交等多个品牌领域。各品牌的钓鱼网站数量及zipf图如表3和图4所示。可以看到,微软、敦豪物流和美国富国银行是钓鱼网站占比最多的三个品牌。钓鱼网站所攻击的品牌比较集中,20%的品牌被超过80%的钓鱼网站所仿冒并攻击。
表3 目标品牌钓鱼网站数量
图4 目标品牌钓鱼网站数量zipf图
通过对89个品牌的调研,大致将品牌人工分类为11个大类,分别为“社交”、“银行”、“物流”、“电信/网络”、“视频”、“软件服务”、“支付”、“电商”、“搜索引擎/门户”、“赌博”、“游戏”,并对检测到目标网站的钓鱼网站进行分类,得到分类饼图如图5所示。可以看到软件服务和银行占比最高,是最受钓鱼攻击者青睐的攻击目标网站。
图5 钓鱼网站所属类别饼图
通过whois对钓鱼网站进行溯源调查,根据其中"country"、"registrant_country"和"registrar_country"字段对钓鱼网站的来源国家/地区进行调查。其中,50.08%(共计3416条)的钓鱼域名的国家/地区字段为非空。对含义来源国家/地区的钓鱼网站进行分析,发现这些网站来自98个不同国家/地区。其中,来自美国(US)的钓鱼网站数量最多,占到所有钓鱼网站的45.4%。钓鱼网站所属国家/地区数据饼图和世界分布图分别如图6、图7所示。
图6 钓鱼网站所属国家/地区饼图
图7 钓鱼网站所属国家/地区世界地图
本报告收集了2023年2月1日至2月7日期间将近1万条新建的独立钓鱼网站数据,其中包含6821个不同的域名,并以该数据为基础,探究了钓鱼网站的几项数据特征,以及钓鱼网站的危害和潜在风险。
经过数据调研我们发现,钓鱼网站仍在以日均约1千条的速度出现,危害企业与个人的信息与财产安全。由IP地址构成的钓鱼网站域名数量占比较低,非IP地址的钓鱼网站域名更容易获取受骗用户的信任。“.com”,“.app”,“.dev”等顶级域名使用较多,且钓鱼部分域名具有较高相似度,明显来自同一批攻击者。钓鱼攻击的目标品牌较为集中,微软、敦豪物流和美国富国银行是占比最多的三个目标品牌,软件服务和银行占比最高,是最受钓鱼攻击者青睐的攻击目标类别。通过whois对钓鱼网站进行溯源调查,发现来自美国的钓鱼网站数量最多,占到总比例的超过四成。
本报告的结果证明,钓鱼网站仍处于数量上的高速增长期,企业与普通用户仍需对钓鱼攻击提高警惕性。同时,钓鱼网站也呈现出域名字符串、TLD、攻击目标以及所属国家等特性上的聚簇效应,反钓鱼组织和研究者可以更进一步针对上述特征展开探索,提高钓鱼攻击防范能力。
原文始发于微信公众号(风眼实验室):钓鱼网站特征分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论