編者按:當(dāng)前網(wǎng)絡(luò)詐騙花樣層出不窮,就像是不斷更新迭代的“病毒”,雖然“疫苗”研制出來了,但似乎總會(huì)出現(xiàn)新型的“病毒”。此次Google有效攻克網(wǎng)絡(luò)釣魚,終究讓人松了一口氣。Wired在題為“Inside Google’s Global Campaign to Shut Down Phishing”中細(xì)致分析了Google是如何一步步打贏這場反釣魚詐騙的硬仗的。
5月初,網(wǎng)絡(luò)上涌現(xiàn)出許多網(wǎng)絡(luò)詐騙,它們偽裝成Google文檔請求,有的電子郵件甚至偽裝成熟人身份。只要受害者點(diǎn)擊并授予看似無害的權(quán)限,他們的整個(gè)Gmail帳戶信息就會(huì)暴露無疑。
Google的反技術(shù)濫用總監(jiān)Mark Risher說:“我們組建了戰(zhàn)爭反應(yīng)室,將人們聚集在現(xiàn)實(shí)的房間里。當(dāng)然,我們公司其他分部的各領(lǐng)域?qū)<乙矔?huì)很快聚集起來”。
Google成為攻擊的靶心,安全防御亟待提高
不幸的是,這種危機(jī)對Google來說早已是家常便飯。Google坐擁巨大的用戶群,在網(wǎng)頁上留下了的足跡眾多,因此且不說其他方式的黑客攻擊,Google的服務(wù)和客戶都已成為釣魚攻擊的靶心。但話又說回來,釣魚也是個(gè)棘手難題,演進(jìn)速度極快,很難通過設(shè)計(jì)進(jìn)行偵察。
Gmail反濫用團(tuán)隊(duì)的項(xiàng)目經(jīng)理Sri Somanchi表示:“惡勢力處心積慮搞破壞,我們更應(yīng)艱苦抗戰(zhàn)、奮勇向前,因?yàn)槲覀円欢↑c(diǎn)的疏忽都會(huì)給用戶帶來莫大的損失”。
加大技術(shù)防御,捍衛(wèi)名聲與光榮
當(dāng)Google Docs受到網(wǎng)絡(luò)釣魚的攻擊時(shí),0.1%的Gmail用戶,即約100萬個(gè)帳戶都會(huì)受到影響。Google反技術(shù)濫用團(tuán)隊(duì)采取應(yīng)對措施,首先進(jìn)行信息分享,然后在全球各地的Google辦公室進(jìn)行傳送,確保24小時(shí)覆蓋。
“目前一個(gè)團(tuán)隊(duì)專門負(fù)責(zé)Gmail入站,努力確保電子郵件信息不會(huì)泄露,”Risher說。“還有一個(gè)團(tuán)隊(duì)負(fù)責(zé)處理帳戶濫用模式,查看誰正在使用已被訪問的憑據(jù)。第三個(gè)團(tuán)隊(duì)則監(jiān)測信息的傳播。”
在幾個(gè)小時(shí)內(nèi),Google遏制了網(wǎng)絡(luò)釣魚攻擊的進(jìn)一步傳播。一天之內(nèi),Google將反釣魚安全警告擴(kuò)展到Android的Gmail上。
在這次戰(zhàn)爭中,Google使用了其最近幾年來新推出的反釣魚和威脅警告工具,如Chrome擴(kuò)展密碼警報(bào)。如果它認(rèn)為用戶剛剛將Google用戶名和密碼輸入冒牌登錄頁面,則會(huì)發(fā)出警告。Google還宣布要針對企業(yè)用戶提供新的網(wǎng)絡(luò)釣魚保護(hù)措施,包括在企業(yè)用戶嘗試向公司外部發(fā)送數(shù)據(jù)時(shí)發(fā)出警告,以及提供其他防止勒索軟件的保護(hù)措施。
Google致力于盡可能地降低用戶做出安全選擇和防止上當(dāng)?shù)碾y度,但公司的重點(diǎn)是采用技術(shù)解決方案,即無縫實(shí)現(xiàn)最少的用戶購買。一些網(wǎng)絡(luò)釣魚專家認(rèn)為,強(qiáng)化用戶培訓(xùn)是阻止網(wǎng)絡(luò)釣魚的關(guān)鍵所在,但是用戶培訓(xùn)公司PhishMe的首席技術(shù)官Aaron Higbee表示:“我們要充分利用技術(shù)手段,至少Google必須這樣做。”專注于技術(shù)解決方案可以發(fā)揮Google的優(yōu)勢。
如果用戶在Chrome,Android,Search和Gmail上訪問或下載惡意網(wǎng)頁,Google的安全瀏覽基礎(chǔ)設(shè)施則會(huì)顯示警告消息。Google還為第三方開發(fā)人員提供了安全瀏覽功能,例如Firefox和Safari瀏覽器。Google在其廣告服務(wù)中使用安全瀏覽來捕捉試圖宣傳惡意內(nèi)容的廣告??傊珿oogle表示,安全瀏覽每天都造福了20億個(gè)設(shè)備。
安全瀏覽警告給長期憂心電子威脅的互聯(lián)網(wǎng)用戶吃了一粒定心丸。但對Google來說,這是推進(jìn)了十多年的長期投資項(xiàng)目。Google為其旗艦搜索引擎搜索互聯(lián)網(wǎng)時(shí),它會(huì)使用該數(shù)據(jù)來標(biāo)記攜帶社會(huì)工程攻擊、惡意軟件、網(wǎng)絡(luò)釣魚廣告系列等的惡意網(wǎng)頁。
“很多用戶接觸安全瀏覽主要是通過一張大大的紅色警告頁面。”安全瀏覽團(tuán)隊(duì)領(lǐng)導(dǎo)的Allison Miller說道。但警告頁面背后看不到的是多少辛勤的付出,以及多少艱巨的挑戰(zhàn)。
“我們必須守衛(wèi)每扇門,每個(gè)窗,每個(gè)開放口。而壞人只需突破其中一個(gè)”,Risher說,“在大事不妙的時(shí)候,要努力防止事態(tài)進(jìn)一步惡化,這可能很艱難,但名聲和榮耀大多都來源于此。
防御最前線,采用多層次保護(hù)的深度防御戰(zhàn)略
數(shù)以百計(jì)的Google員工在各個(gè)層面上開展安全防范和反濫用工作。他們的做法取決于多層次保護(hù)的深度防御戰(zhàn)略。
釣魚者和用戶Gmail帳戶之間的第一層防御是一種自動(dòng)化的批量過濾過程,它利用安全瀏覽和其他黑名單工具來阻止大量的垃圾。在阻止Gmail發(fā)送到用戶之前,Google會(huì)攔截發(fā)送到Gmail電子郵件量的90%,這還不包括垃圾箱中的內(nèi)容。
Somanchi說:“這很多都是通過維護(hù)世界各地發(fā)信人的聲譽(yù)來實(shí)現(xiàn)的,在不斷收到的電子郵件中計(jì)算出數(shù)千個(gè)電子郵件屬性的聲譽(yù),然后我們使用這些聲譽(yù)來預(yù)先確定發(fā)件人是否合法。”Google還會(huì)掃描錯(cuò)誤的鏈接,這意味著如果用戶不小心向Gmail朋友發(fā)送了已知的網(wǎng)絡(luò)釣魚鏈接,這封電子郵件將不會(huì)被傳送。
Google會(huì)將第一個(gè)剪輯的信息作為更重要的過濾選項(xiàng),Gmail則會(huì)在此期間查找模擬和偽造的信息,因?yàn)檫@決定了是否將某一郵件移入垃圾箱或是收件箱。 在不確定的情況下,Gmail會(huì)讓該郵件通過,但會(huì)添加警告,表示這可能是從某個(gè)受損帳戶發(fā)送過來的。
同樣,如果Gmail沒有足夠的信息來對電子郵件做出最終決定,那么可能會(huì)提供保護(hù)措施,例如添加警告并禁用電子郵件的鏈接或附件。Gmail依靠的不是一兩個(gè)修復(fù)措施,而是提供圖層。
“若壞人獲知了用戶的密碼,他們也仍然無法使用,即使能使用,那也是我們持續(xù)的基于風(fēng)險(xiǎn)認(rèn)證的一部分”,Risher說。
灰色地帶,不要走極端
Google員工說,網(wǎng)絡(luò)釣魚防范和反濫用的最大挑戰(zhàn)一般在于處理潛在的惡意內(nèi)容。“你必須調(diào)整應(yīng)對措施,確保不會(huì)阻止所有灰色地帶的人”,Risher說,“了解當(dāng)前不利情況很重要,但也要適應(yīng)良好的活動(dòng),即正常合法的活動(dòng),而不是走到另一個(gè)極端,這最終會(huì)損害廣泛的[Google]生態(tài)系統(tǒng)。”
Somanchi表示,垃圾郵件和網(wǎng)絡(luò)釣魚識(shí)別中有95%來自機(jī)器學(xué)習(xí)。而且在過去幾年中,這些Gmail機(jī)制已經(jīng)發(fā)展成為將傳統(tǒng)的監(jiān)督學(xué)習(xí)(其中使用大數(shù)據(jù)集訓(xùn)練的算法)與更新的無監(jiān)督學(xué)習(xí)技術(shù)相結(jié)合,其中算法會(huì)從惡意程序中判斷哪些為合法輸入。“雖然普通電腦會(huì)作出非黑即白的武斷決策,但是深入的學(xué)習(xí)大大提高了主觀性,并且更接近真實(shí)性”Risher說。
Google還強(qiáng)調(diào),利用機(jī)器學(xué)習(xí)也有助于保護(hù)用戶隱私。Miller說:“這些系統(tǒng)是對聚合數(shù)據(jù)進(jìn)行操作的,而且這些工作完全中沒有人能了解對潛在的私人信息。我們將集中注意力,識(shí)別攻擊者及其方法,安全瀏覽和反網(wǎng)絡(luò)釣魚防御系統(tǒng)會(huì)識(shí)別出攻擊模式的共同點(diǎn)。
編譯組出品。編輯:郝鵬程