转自CSO,作者 Lucian Constantin
安全研究人员发现,越来越多的钓鱼网站使用网络分析服务,并在其代码中使用唯一的跟踪ID。无论是有意还是无意,使用这样的ID可以帮助防御者发现在大型攻击活动中使用的钓鱼网页。
来自内容分发网络Akamai的研究人员分析了一组来自28906个唯一域名的54,261个活跃的钓鱼网页,发现有874个域名有与之相关的网络分析ID。大约396个ID来自谷歌分析,75个用于多个网站。
Web分析服务为客户分配独特的用户ID (UID)来跟踪访问者如何与他们的网站交互,并收集关于他们的浏览器、操作系统、地理位置和其他详细信息。
这些数据对网站所有者很重要,因为它帮助他们了解受众的行为,并相应地调整内容,这就是为什么据估计,互联网上超过一半的网站使用某种形式的网络分析。
网络罪犯也了解这些数据的价值,以衡量他们的攻击表现和实现更细粒度的目标。因此,网络钓鱼工具(用于建立网络钓鱼网站的商业工具)的创造者们已经开始将网络分析整合到他们的产品中,并且经常依赖于合法网站使用的相同的分析服务。
在某些情况下,在钓鱼网页上出现唯一的UID可能是偶然的,也是攻击者在抓取和复制网站时未能删除合法UID的结果。
UID是防御者的信标攻击者很少只假冒一个网站或只设置一个钓鱼网址。钓鱼攻击通常是针对多个网站的大型活动的一部分,这些活动由分布在多个域的钓鱼页面组成,以绕过检测并抵御攻击。
例如,如果某个组织的安全团队手动阻止了某个员工在恶意电子邮件通过了公司的垃圾邮件过滤器后报告的钓鱼URL,则不能保证针对该公司的整个攻击已经被阻止。
另一名员工收到的另一封钓鱼邮件可能有不同的URL,即使它是同一活动的一部分。自动URL黑名单解决方案也依赖于来自安全供应商的情报反馈,只有在供应商检测到攻击活动并识别出其中的恶意URL之后才会更新。
但是,防御者可以很容易地在多个钓鱼页面上使用相同的分析UID来创建检测签名或Web防火墙规则,从而阻止来自同一活动的所有页面。这对安全供应商和企业安全团队都很有用。
此外,如果攻击者在他们的钓鱼网页中留下一个克隆网站的合法分析UID,被假冒网站的所有者可以跟踪他们,并向域名注册商报告,因为他们可能会在分析帐户中得到关于这些网页上用户流量的报告。
Akamai的研究人员在今天发布的一份报告中说:“分析可以帮助罪犯锁定受害者,并将他们的攻击范围缩小到特定的区域或设备类型。”
“网络钓鱼攻击目标是iOS设备,而忽略安卓系统,这种情况并不少见;有时这是由于罪犯一直跟踪最常见的用户到他们的页面,并且知道Android用户不太可能成为受害者。
但当罪犯使用他们自己的UID时,他们会在所有的套件中都使用UID,因此不仅可以跟踪单个的钓鱼活动,有时还可以同时跟踪多个活动,并相应地调整防御。”
UID已经被用来发现钓鱼活动Akamai提供了两个例子,其中网络分析uid在钓鱼网页上的使用使其研究人员能够识别更大的活动。
其中一个是针对LinkedIn用户的活动,他们使用了许多具有误导性的域,这些域都共享相同的谷歌分析UID,这可能是钓鱼工具包的创建者添加的。
第二个是针对AirBnB用户的一场运动,他们使用了合法网站托管服务000webhostapp.com上的子域名。第二场活动使用了最初的AirBnB web分析UID,这使得恶意的子域名很容易被识别出来。
Akamai的安全研究员Tomer Shlomo通过电子邮件告诉CSO:“企业安全团队可以跟踪他们自己的分析UID,这些UID是由于他们的网站内容被复制用于构建钓鱼网站而在外使用的。”
“安全研究人员和安全供应商将使用网络钓鱼工具包UID,这将使他们能够跟踪其他网络钓鱼网站,并能够评估活动的规模或发现由同一威胁行动者部署的其他网络钓鱼活动。”
精彩在后面
Hi,我是超级盾
更多干货,可移步到,超级盾订阅号!精彩与您不见不散!
超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势
,
