![盘点2022全球网络黑产常用攻击方法]( "盘点2022全球网络黑产常用攻击方法")
点击↑蓝字
关注墨云安全
![盘点2022全球网络黑产常用攻击方法]( "盘点2022全球网络黑产常用攻击方法")
近几年,顺着互联网产业发展的东风,网络黑产也愈演愈烈,不论是从攻击效率,组织规模,亦或是收益变现能力,都在一天天成熟完善。毫不夸张的讲,网络黑产从早期的小打小闹,发展成如今的多行业、多场景、多任务的全社会广泛渗透。在巨额经济利益的驱动下,黑灰产从业者游走在法律监管的边缘地带,利用各种网络犯罪技术与工具,逐渐形成一条分工明确、合作紧密的黑灰产业链条,并且以一种难以遏制的速度,成长起来。
网络黑产的快速膨胀以及对全社会的巨大危害,手段也越来越高明,有的是利用各种黑客技术,而有的则是深谙人性的阴暗面,以各种手法诱惑他人上当受骗,DDoS 攻击、网络赌博、制作木马程序、内网渗透攻击等攻击手法。
本文列举当下最流行的网络黑产常用攻击方法,总结了 2022 全球网络黑产常用攻击方法,带你更深刻认识网络黑产。
深度伪造技术是一种基于人工智能的音频、视频和图像合成技术,通过将图片、音频或视频合并叠加到源图片、音频或视频上,借助神经网络技术进行样本学习,将个人声音、面部表情及身体动作拼接合成虚假内容。深度伪造最常见的方式主要包括 AI 换脸技术,语音模拟、人脸合成、视频生成等,技术人员通过样本学习,逼真模仿出原人物的面部表情、肢体语言。
深度伪造技术不断演进,几乎可以达到以假乱真的地步,民众仅通过肉眼无法辨别真伪,使得篡改或生成高度逼真且难以甄别的音视频内容成为可能,带来一系列安全问题,部分不法分子利用该技术恶意拼接色情视频,进行勒索活动,产生极其恶劣的社会影响。
或许,人脸、声音、视频替换将成为网络黑产下一个阶段的重点发展方向,黑客将使用这项技术进行恐吓诈骗,网络欺诈。不仅如此,生产变脸和变声工具、提供虚假语音和视频合成服务也会成为网络黑色产业链中一个新的环节。
探针盒子就是一种 Wi-Fi 路由器,当用户手机连接“探针盒子”发出的 Wi-Fi 网络信号时,探针盒子会自动获得手机 MAC 地址,随后便将其上传至非法云端数据库进行匹配,在自动进行 MAC 地址、IMEI 串号、手机号之间的匹配关联,返回一系列的数据,其中有机主的号码、应用软件的下载和使用情况和相关浏览数据等。
日常生活中,许多商场、酒店、餐厅、咖啡厅、健身设施等场地都会突然弹出免费 WiFi 蹭网提示,这些如果是非法分子布置的探针盒子,一旦用户连接,便会悄无声息盗取手机号码,后续可以用于“精准营销”。
目前,网上仍有许多售卖 WiFi 探针盒子设备的网店,并表示帮助对接到代理商平台,导出探针盒子附近采集到的手机数字信息。我国法律规定,利用探针盒子获取他人手机号等隐私信息的行为,涉嫌侵犯他人隐私,严重情况下可能面临民事侵权责任及治安管理处罚责任。
相较于其它民众个人信息,生物识别信息是物联网时代背景下,将民众指纹、人脸、声音、基因、虹膜等个人特征,进行数字化处理后的信息,具有不可替代性。因此,生物特征信息无可争议属于民众个人信息中最敏感的部分。
但近几年民众生物识别信息屡遭侵害,网络犯罪分子通过 AI 合成技术伪造人脸、声音、指纹,或者在未告知情况下,偷拍、收集民众人脸信息、指纹,进行非法行为,侵犯民众个人生命财产安全。
目前,生物识别信息技术广泛应用于支付、日常通行、通信等几个方面,违法收集、盗取转移、贩卖民众生物识别信息构成了上下游产业链。生物识别信息如此重要,相关机构势必要对实行人脸识别、录入的单位及相关人员严格限制,应当对拥有类似虹膜、指纹、刷脸等一些生物特征识别技术的企业进行规范监管。
政府部门已经在加快推进个人信息保护立法,近些年,网信办、工信部、信息安全标准化技术委员会等部门接连发布文件,对生物识别信息实行规范性管理。
此前,网络犯罪分子获取受害者账号信息主要通过感染系统后,横向移动破解,效率低、步骤繁琐,而且仅能获得单一账号详细信息,“撞库”成为黑客盗号的重要手段。
对于普通民众而言,“撞库”无疑是一个专业名词。通俗讲,撞库是网络犯罪分子通过收集互联网已泄露的用户信息,生成对应字典表,尝试批量登陆其它网站后,便可以得获取一系列用户账号信息。许多用户在不同网站设置相同账号密码,可以利用获取的字典表随机登录任意网站,这个过程就可以简单理解为撞库攻击。
常见的撞库场景主要有以下两种:
弱密码嗅探:类似 111111、123456 这样的简单密码因为很多人用,用这样的弱口令去试探大量的账号,就有一定概率能发现一些真正在使用弱密码的账号。
利用拖库数据:这是攻击成功率更高的一种方式,原理是大多数人倾向于在多个站点上使用同一个密码。当攻击者成功入侵一个安全防护能力很弱的站点 A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点 B 尝试,如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。
钓鱼网站一般指诱骗用户填写信息的虚假网站,毋庸置疑是安全人最熟悉的黑产模式。钓鱼网站何以坚挺十几年?离不开其诈骗网页与真实网站界面别无二致,很难区分,一旦潜在受害者进入界面,所提交的账号和密码等敏感信息便会立刻被黑客抓取。
钓鱼网站作为网络黑产“钉子户”,虽难以彻底拔除,但也早已被安全人员研究透彻。通常情况下,网络犯罪分子会分发伪装成受害者企业内部邮箱或者某些权威性网站。这些邮箱或网站地址具有极高相似度,最大的区别在于其有且仅有几个页面,甚至只有一个页面 。
常见钓鱼方式主要包括“鱼叉攻击”、“商业邮件欺诈”、“灯笼式钓鱼”、“克隆钓鱼”、“域名欺骗”、“短信钓鱼”、“语音钓鱼”、“域欺骗”、“水坑攻击”等方式,攻击者利用上述方式进行非法信息收集,潜在受害者往往会泄露个人信息,如姓名、电话、家庭住址、身份 ID,甚至信用卡号、账户用户名和密码等内容也会被攻击者获取。
钓鱼网站难以彻底拔除,根源在于即使大多数民众很清楚钓鱼网站的套路,但还是难以抵挡各种诱惑。钓鱼网站运营者熟练运用社会工程学,抓住人类贪婪、恐惧、羡慕、虚荣、善良等各种情绪,付出极小代价便可获得受害者“秘密信息”。
伪基站顾名思义就是伪冒基站,是一种利用 GSM 单向认证漏洞的非法无线电通信设备,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的 GSM 移动电话信息,并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信,常部署在汽车或者一个比较隐蔽区域。
伪基站原理相对简单,当运营时覆盖范围内的用户信号被强制连接到该设备上,无法连接到三大运营商的网络信号,以影响手机用户正常使用,之后利用移动信令监测系统监测移动通讯过程中的各种信令过程,获得手机用户当前的位置信息。
伪基站启动后会立刻工作,开始屏蔽一定范围内的信号,趁着用户信号短暂中断,搜索出附近连接伪基站的手机号,随机将短信发送到这些号码上。一般而言,伪基站的作用时间持续10 秒到 20 秒,恰好允许短信推送。伪基站具有隐蔽性、持久性等特点,加上往往部署在灵活性较高的汽车上,因此伪基站还具有较强流动性。
DDoS 攻击,官方定义为多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了多个位于不同位置的机器并利用这些机器对受害者同步实施攻击。直白点,就是攻击者利用已被攻陷的电脑,在较短时间内对目标网站发起大量请求,大规模消耗目标网站的主机资源,集中火力”围殴“受害者,使其无法正常服务。
DDoS 攻击表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。
当企业系统被 DDoS 攻击时,主要表现出以下几种情况:
2. 网络中充斥着大量的无用的数据包,源地址为假。
3. 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
4. 利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。
针对企业的 DDoS 频频发生,从《2022 上半年全球 DDoS 威胁报告》数据显示,随着企业数字化、云化,DDoS 攻击次数已连续数年高速增长,已达去年同期的 3 倍,并且攻击手段、攻击烈度也在不断进化。
值得一提的是,网络犯罪分子为增加非法收入,会在暗网上出售 DDoS 服务,无差别攻击企业机构,获取佣金、赎金双倍利益。更有甚者部分勒索团伙毫无职业精神,即使受害者选择支付赎金,也不会解绑系统,甚至会“转卖受害者”,进行双重勒索。
随着移动互联网技术快速发展,APP 已成为民众获取获取信息、娱乐交流、消费投资等各类生活需求的主要媒介。APP 大量使用便利民众同时,假冒 APP 也随之出现,成为一些网络犯罪分子攫取利益的工具。
区分正规 APP 和假冒 APP 的关键点在于用户支付时资金流向问题。正规 APP 充值方式都是集成在平台上,在 APP 上可以直接用绑定的银行卡进行充值,假冒 APP 的充值方式通常是诱导受害者通过银行卡或者支付宝、微信直接转账到对方账户。
从以往暴雷的事件来看,假冒 APP 并不是简单页面相仿、操作流程相似,而是经过团伙内开发人员、运维、产品等相互协作,严格分工,流程化设计,精准仿冒,量身定制假冒 APP 中各种诈骗流程,最后经下游渠道封装和分发假冒 APP。
各环节疏通后,假冒 APP 最终流向诈骗团伙,随后诈骗团伙根据假冒 APP 的功能特点,将其包装成极具迷惑性的“正规”应用平台,诱使潜在受害人点击链接或扫描二维码下载 APP,进而实施诈骗活动。
![盘点2022全球网络黑产常用攻击方法]( "盘点2022全球网络黑产常用攻击方法")
原文始发于微信公众号(墨云安全):盘点2022全球网络黑产常用攻击方法
评论