社交网络里的高级钓鱼攻击

休息了个清明节,这段时间,收听的好些微信公众账号都越来越相近了啊,原因是:思维干扰……

我继续我的风格,我自己私人的公众账号是“懒人在思考”,不过好久好久没发内容了,真是应对了个“懒”字。而在这个公众账号(网站安全中心)发的内容肯定都会定位在网站安全这块。

前段时间一直在写工具党、大数据黑客相关的科普文,今天开始换点口味好了,来看看前端攻击里一些“惊悚”的攻击方式。

今天只说高级钓鱼

如果深刻知道这种钓鱼攻击的人,估计以后会谈鱼色变,这次我不科普太多文字,只简单说下这种在大众面前几乎一片空白的攻击方式,所以看完本篇文字,很多人还会继续得瑟:“反正我不会中招”,深入的讲解我一般都放在一些内部的安全培训上了,如果有时间计划整出一篇paper出来,一定很精彩。

大家想想,在社交网络里(weibo也算,具有社交属性的都算),我们对很多专属于这个社交网络的风格元素是不是习以为常了,比如漂亮的登录页面、设置页面、修改密码页面、弹出层、聊天框、发消息界面等等,天天见,天天用,对这样的风格习以为常了,哪天出现一个风格类似的新功能(比如提示“密码异常,修改密码”的弹出层),也不会怀疑,还以为是新增的友好功能……

这些对于JavaScript来说都是可以伪造的啊,而且可以超级YD的伪造,代码量也不用多少,为什么呢?这得感谢那些伟大的前端工程师,他们封装了很多超级方便的接口:)

只要一个XSS(跨站脚本攻击),就可以引入任意JavaScript代码,鬼魂一般,伪造了一个看起来真的假界面,钓到了想要的关键数据,目的就达到了。其实在真实的高级攻击里,如果能不钓就不钓,多了交互就多了攻击复杂度,一段JavaScript也许通过一些Hacking技巧就能拿到如明文密码、隐私资料等数据,只要一招。

在社交网络里,用户体验好作为第一要素,对于攻击者来说,攻击也会讲究用户体验好,哪怕没有XSS,也可以完成攻击,想想,如何伪装界面?只是利用XSS的攻击更加原汁原味(我常说的原生态攻击方式)。

原生态除了UI可以利用原生,还有相关的JS库接口,比如针对weibo.com的一个小玩笑,大家可以用Chrome浏览器登录自己的微博,然后按f12打开“开发者工具”,在Console中,复制上如下代码,回车执行:

如此简洁的代码,攻击者要是利用起来该有多方便:D

钓鱼无非就是欺骗,在社交网络里利用XSS进行的高级钓鱼攻击真的让人防不胜防,这种攻击我很早就提出,我感觉已经在逐渐流行了,这就是为什么这两年经常有人提到的“美工黑客”,恩,黑客为了生存,开始更猥琐了,开始接触美工了,美工的目的就是视觉欺骗。

最后:多一分警惕,少一次泄密……

相关推荐文章:《JavaScript控制href属性钓鱼分析》《漫谈反射xss利用

作者余弦,微信:网站安全中心(ID:wangzhan_anquan)。

link:http://blog.knownsec.com/2013/04/%E5%85%B3%E4%BA%8E%E7%A4%BE%E4%BA%A4%E7%BD%91%E7%BB%9C%E9%87%8C%E7%9A%84%E9%AB%98%E7%BA%A7%E9%92%93%E9%B1%BC%E6%94%BB%E5%87%BB/

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。