最近，火眼(FireEye)實(shí)驗(yàn)室發(fā)現(xiàn)了針對Netflix（一家在世界多國提供網(wǎng)絡(luò)視頻點(diǎn)播的公司）的一種新型網(wǎng)絡(luò)釣魚攻擊，該攻擊旨在竊取用戶的信用卡數(shù)據(jù)和其他個(gè)人信息。

該新型攻擊的精妙之處在于攻擊者采用的逃避技術(shù)：

1. 釣魚網(wǎng)頁托管在合法但被攻破的Web服務(wù)器上。

2. 客戶端HTML代碼通過AES加密進(jìn)行混淆，以逃避基于文本的檢測。

3. 如果用戶IP地址的DNS解析到谷歌或PhishTank（反釣魚網(wǎng)站）之類的公司，則不向該用戶顯示釣魚網(wǎng)頁。

攻擊流

攻擊者先發(fā)送電子郵件通知，要求用戶更新其Netflix會(huì)員詳細(xì)信息。電子郵件正文中的網(wǎng)絡(luò)釣魚鏈接將收件人定向到模仿Netflix登錄頁面的頁面，如圖1所示。

圖1：模仿Netflix網(wǎng)站的虛假登錄頁面

受害者在提交其憑證后被定向到要求提供額外會(huì)員詳細(xì)信息（圖2）和支付信息（圖3）的網(wǎng)頁。這些網(wǎng)頁也是模仿真正的Netflix網(wǎng)頁，看起來是合法的。用戶輸入其信息后即被帶到合法的Netflix主頁。

圖2：要求用戶更新其個(gè)人詳細(xì)信息的虛假網(wǎng)頁

圖3：用于竊取信用卡信息的Netflix釣魚網(wǎng)頁

技術(shù)細(xì)節(jié)

網(wǎng)絡(luò)釣魚工具包使用多種技術(shù)來規(guī)避網(wǎng)絡(luò)釣魚過濾器。其中一種技術(shù)是使用AES加密來編碼在客戶端呈現(xiàn)的內(nèi)容，如圖4所示。使用這種技術(shù)的目的是代碼混淆，這有助于逃避基于文本的檢測。通過混淆網(wǎng)頁，攻擊者試圖欺騙基于文本的分類器，并阻止其檢查網(wǎng)頁內(nèi)容。該技術(shù)使用兩個(gè)文件，一個(gè)PHP文件和一個(gè)JavaScript文件——具有用于加密和解密輸入字符串的函數(shù)。PHP文件用于在服務(wù)器端加密網(wǎng)頁，如圖5所示。在客戶端，加密的內(nèi)容使用JavaScript文件中定義的函數(shù)來解密，如圖6所示。最后，使用“document.write”函數(shù)呈現(xiàn)網(wǎng)頁。

圖4：使用AES加密的客戶端代碼混淆

圖5：用于在服務(wù)器端加密的PHP代碼

圖6：用于在客戶端解密的JavaScript代碼

另一種技術(shù)是基于主機(jī)的逃避，如圖7所示。將“phishtank”和“谷歌”等組織的主機(jī)名列入了黑名單，將客戶端的主機(jī)名與列入黑名單的主機(jī)名進(jìn)行比較。如果與黑名單匹配，則呈現(xiàn)“404未找到”錯(cuò)誤頁面。

圖7：用于將已知主機(jī)列入黑名單的服務(wù)器端代碼

與大多數(shù)網(wǎng)絡(luò)釣魚攻擊相同，該攻擊使用PHP郵件實(shí)用工具向攻擊者發(fā)送竊取的憑證。使用此技術(shù)的優(yōu)勢是，攻擊者可以在多個(gè)網(wǎng)站上托管他們的釣魚工具包，但可以從一個(gè)電子郵件帳戶獲取所竊取的憑證和其他信息。這使攻擊者能擴(kuò)大攻擊范圍。

圖8：使用mail（）函數(shù)將竊取的信息發(fā)送到電子郵件地址

如何保護(hù)Netflix 賬戶

1. 設(shè)定Netflix專用密碼并定期更改

2. 留意可能的釣魚攻擊

3. 保持自己的電腦的安全

4. 報(bào)告欺騙或可疑活動(dòng)

5. 退出不使用的設(shè)備

6. 向Netflix報(bào)告安全缺陷

有關(guān)保護(hù)Netflix 賬戶的更多詳細(xì)信息請參見：https://help.netflix.com/en/node/13243

*本文作者：華為未然實(shí)驗(yàn)室，參考來源：fireeye，轉(zhuǎn)載請注明來自Freebuf.COM