首页 > 信息安全
防御者可以通过Web分析ID发现网络钓鱼站点
时间:2019/11/13 10:14:29

安全研究人员发现,越来越多的网络钓鱼网站使用Web分析服务,并在其代码中具有唯一的跟踪ID。无论是有意还是无意,使用此类ID都可以帮助防御者发现用于大型攻击活动的网络钓鱼页面。


[查看这11项网络钓鱼预防技巧,以获取最佳技术实践,员工教育和社交媒体精明。| 订阅我们的新闻通讯,从CSO获得最新信息。]


内容分发网络Akamai的研究人员分析了来自28,906个唯一域的一组54,261个活动的网络钓鱼页面,发现874个域具有与之关联的网络分析ID。大约396个ID来自Google Analytics(分析),其中75个ID在多个网站上使用。


Web分析服务为客户分配了唯一的用户ID(UID),以跟踪访问者如何与他们的网站进行交互以及收集有关其浏览器,操作系统,地理位置和其他详细信息的信息。此类数据对网站所有者非常重要,因为它可以帮助他们了解受众的行为并相应地调整其内容,这就是为什么估计互联网上超过一半的网站使用某种形式的Web分析的原因。


[ 通过PluralSight的综合在线课程,准备成为一名经过认证的信息安全系统专业人员。现在提供10天免费试用!]

网络犯罪分子还了解这些数据的价值,以评估其攻击的性能并实现更细化的针对性。因此,网络钓鱼工具包(用于设置网络钓鱼网站的商业工具)的创建者已开始将Web分析纳入其产品中,并且通常依赖于合法网站使用的相同分析服务。


在某些情况下,网络钓鱼页面上唯一UID的出现可能是偶然的,并且是攻击者在抓取和复制网站时未能删除合法UID的结果。


UID是防御者的灯塔

攻击者很少假冒一个网站或仅设置一个钓鱼网址。相反,网络钓鱼攻击通常是大型攻击活动的一部分,这些攻击会同时针对多个网站,并由分布在多个域中的网络钓鱼页面组成,以绕过检测并抵御删除请求。


例如,如果组织的安全团队在恶意电子邮件通过公司垃圾邮件筛选器之后手动阻止了由员工报告的网络钓鱼URL,则不能保证对公司的整个攻击都受到了阻止。其他员工收到的其他网络钓鱼电子邮件也可能具有不同的URL,即使它是同一广告系列的一部分也是如此。自动化的URL黑名单解决方案还依赖于安全性供应商提供的情报源,并且仅在供应商检测到攻击活动并识别出其中的恶意URL后才对其进行更新。


但是,防御者可以轻松地在多个网页仿冒页面中使用相同的分析UID,以创建检测签名或Web防火墙规则,以阻止来自同一活动的所有页面。这对安全供应商和企业安全团队都很有用。


此外,如果攻击者错误地将克隆的网站的合法分析UID留在了网络钓鱼页面中,则假冒网站的所有者可以对其进行跟踪,并将其报告给域注册商,因为他们很可能会在其分析帐户中获得有关用户访问量的报告。这些页面。


Akamai研究人员在今天发布的一份报告中说:“分析人员可以帮助犯罪分子关注受害者,并将攻击范围缩小到给定的区域或设备类型。” “例如,无视Android的情况下,看到针对目标iOS设备的网络钓鱼攻击并非罕见。有时,这是由于犯罪分子一直在追踪其页面上最常见的用户,并且知道Android用户受害的可能性较小。但是,当罪犯使用自己的UID时,他们会在所有工具包中都这样做,因此不仅可以跟踪单个网络钓鱼活动,有时还可以一次跟踪多个网络钓鱼并相应地调整防御。”


已用于发现网络钓鱼活动的UID

Akamai提供了两个示例,其中在网页仿冒页面上使用Web分析UID使其研究人员能够识别出更大的活动。一个活动是针对LinkedIn用户,并使用了许多误导性域名,它们共享相同的Google Analytics(分析)UID,这可能是网络钓鱼工具的创建者添加的。第二个是针对AirBnB用户的运动,该运动使用了000webhostapp.com(一个合法的网站托管服务)上的子域。第二个活动使用原始的AirBnB Web分析UID,该ID可以轻松识别恶意子域。


Akamai安全研究员Tomer Shlomo通过电子邮件告诉CSO:“企业安全团队可以跟踪自己的分析UID,这些UID是通过复制其网站内容来构建网络钓鱼网站而被广泛使用的。” “安全研究人员和安全供应商将使用网络钓鱼工具包UID,这将使他们能够跟踪其他网络钓鱼网站,并能够评估活动规模或查找同一威胁参与者部署的其他网络钓鱼活动。”


研发分享·IT技术分享—分享技术前沿、精品干货
Copyright 2018-2020 All rights reserved 桂ICP备18008490号 904035044