针对NETFLIX的新型钓鱼攻击的精妙之处

最近,火眼(FireEye)实验室发现了针对Netflix(一家在世界多国提供网络视频点播的公司)的一种新型网络钓鱼攻击,该攻击旨在窃取用户的信用卡数据和其他个人信息。

该新型攻击的精妙之处在于攻击者采用的逃避技术:

1. 钓鱼网页托管在合法但被攻破的Web服务器上。 2. 客户端HTML代码通过AES加密进行混淆,以逃避基于文本的检测。 3. 如果用户IP地址的DNS解析到谷歌或PhishTank(反钓鱼网站)之类的公司,则不向该用户显示钓鱼网页。

攻击流

攻击者先发送电子邮件通知,要求用户更新其Netflix会员详细信息。电子邮件正文中的网络钓鱼链接将收件人定向到模仿Netflix登录页面的页面,如图1所示。

图1:模仿Netflix网站的虚假登录页面

受害者在提交其凭证后被定向到要求提供额外会员详细信息(图2)和支付信息(图3)的网页。这些网页也是模仿真正的Netflix网页,看起来是合法的。用户输入其信息后即被带到合法的Netflix主页。

图2:要求用户更新其个人详细信息的虚假网页

图3:用于窃取信用卡信息的Netflix钓鱼网页

技术细节

网络钓鱼工具包使用多种技术来规避网络钓鱼过滤器。其中一种技术是使用AES加密来编码在客户端呈现的内容,如图4所示。

使用这种技术的目的是代码混淆,这有助于逃避基于文本的检测。通过混淆网页,攻击者试图欺骗基于文本的分类器,并阻止其检查网页内容。

该技术使用两个文件,一个PHP文件和一个JavaScript文件——具有用于加密和解密输入字符串的函数。PHP文件用于在服务器端加密网页,如图5所示。

在客户端,加密的内容使用JavaScript文件中定义的函数来解密,如图6所示。最后,使用“document.write”函数呈现网页。

图4:使用AES加密的客户端代码混淆

图5:用于在服务器端加密的PHP代码

图6:用于在客户端解密的JavaScript代码

另一种技术是基于主机的逃避,如图7所示。将“phishtank”和“谷歌”等组织的主机名列入了黑名单,将客户端的主机名与列入黑名单的主机名进行比较。如果与黑名单匹配,则呈现“404未找到”错误页面。

图7:用于将已知主机列入黑名单的服务器端代码

与大多数网络钓鱼攻击相同,该攻击使用PHP邮件实用工具向攻击者发送窃取的凭证。使用此技术的优势是,攻击者可以在多个网站上托管他们的钓鱼工具包,但可以从一个电子邮件帐户获取所窃取的凭证和其他信息。这使攻击者能扩大攻击范围。

图8:使用mail()函数将窃取的信息发送到电子邮件地址

如何保护Netflix 账户

1. 设定Netflix专用密码并定期更改 2. 留意可能的钓鱼攻击 3. 保持自己的电脑的安全 4. 报告欺骗或可疑活动 5. 退出不使用的设备 6. 向Netflix报告安全缺陷

有关保护Netflix 账户的更多详细信息请参见:https://help.netflix.com/en/node/13243

*本文作者:华为未然实验室,参考来源:fireeye,转载请注明来自Freebuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ThoughtWorks

使用spring提高rails开发效率

###声明 目前spring只支持MRI 1.9.3, MRI 2.0.0, Rails 3.2,没有达到要求的人赶紧升级你们的ruby,rails版本吧 ##...

31260
来自专栏编程软文

小程序二维码和小程序带参数二维码生成

1.4K40
来自专栏北京马哥教育

微服务化的十个设计要点

在实施微服务的过程中,不免要面临服务的聚合与拆分,当后端服务的拆分相对比较频繁的时候,作为手机 App 来讲,往往需要一个统一的入口,将不同的请求路由到不同的服...

12320
来自专栏LEo的网络日志

分享一些好用的软件

36190
来自专栏WeTest质量开放平台团队的专栏

浅谈服务器性能测试的全生命周期——从测试、结果分析到优化策略

服务器性能测试是一项非常重要而且必要的工作,本文是作者Micheal在对服务器进行性能测试的过程中不断摸索出来的一些实用策略,通过定位问题,分析原因以及解决问题...

28940
来自专栏安恒信息

邮箱安全服务专题 | Web漏洞是表象,代码容错不足是本质

上一期我们谈到了邮箱安全扫描部分的网络和主机安全检测,狭隘的讲这类漏洞是属于静态漏洞,只要我们有心,及时更新策略库,扫描发现和修补,可以把风险控制在一定的安全范...

29480
来自专栏架构师之旅

高可用可伸缩架构实用经验谈

 移动互联网、云计算和大数据的成熟和发展,让更多的好想法得以在很短的时间内实现为产品。此时,如果用户需求抓得准,用户数量将很可能获得爆发式增长,而不需要像以往一...

20870
来自专栏ytkah

微信公众号可以快速注册认证小程序了

  今天上午微信公众平台带来两招:1、公众号可以快速注册并认证新的小程序;2、已关联了同主体公众号的小程序,可一键完成微信认证。这两个“快速通道”都无需重新提交...

60250
来自专栏王清培的专栏

性能压测诡异的Requests/second 响应刺尖问题

最近一段时间都在忙着转java项目最后的冲刺,前期的coding翻代码、debug、fixbug都逐渐收尾,进入上线前的性能压测。 虽然不是大促前的性能压测要求...

23080
来自专栏杨建荣的学习笔记

运维平台的建设思考-元数据管理(r7笔记第57天)

之前也写过一篇比较基本的文章,也算是自己对运维平台的一个基本思考。运维平台的建设思考(r6笔记第20天) 当然想法简单,而且缺乏实践,但是朝着这个方向迈进是没有...

46550

扫码关注云+社区

领取腾讯云代金券