网络钓鱼与数据URI

网络钓鱼与URI数据

钓鱼

 

网络钓鱼是一种电子邮件欺诈的方法,用于收集的个人和财务信息的接受者。根据维基百科,网络钓鱼是试图通过伪装成可信任的实体在电子通信,获取信息,如用户名,密码和信用卡详细信息(有时,间接,金钱)的行为。钓鱼网站通常是通过电子邮件欺骗或即时通讯进行,它往往引导用户输入一个假的网站,其外观和感觉是几乎相同的合法的细节

 

网络钓鱼是一种典型的社会工程技术用来欺骗用户,它利用了可用性差的当前网络安全技术。试图处理不断增加的报道网络钓鱼事件包括立法、用户培训、公众意识和技术安全措施。

 

URI数据

 

URI数据方案是一个URI(统一资源标识符)计划,提供包括网页数据线,好像他们是外部资源的方式。它是一种形式的文字文件或文件。这种技术允许在一个单一的HTTP请求,而不是多个HTTP请求,从而可以更有效地获取常单独的元素,如图片和样式表。

 

URI是一个字符串的字符标识资源。这个词包含较知名的统一资源定位器(URL)和统一资源名称(URN)。然而,尽管网址指定一个特定的网络资源,以及它应该如何被访问的位置(例如,HTTP超文本传输​​协议),URI是更加灵活,甚至可以用来承载数据“链接”。

 

网络钓鱼的老方法

 

在网络钓鱼的老方法,黑客有两个页面,一个是假的网页,另一个是一个PHP文件。假冒的页面看起来像原始网站的登录页面的用户名和密码输入块。当一个人进入他的细节,这些细节被发送到PHP文件。PHP文件被设计在这样一种方式,它创建一个新的文件,在该文件中存储的用户名和密码,或者它可以发送到攻击者的电子邮件的用户名和密码。这两个文件,​​即,假页面的PHP文件,需要上传的某处。当受害者访问URL和进入他的细节,攻击者获得用户名和密码从日志文件。

image001

假页面和PHP文件需要上传到我们的服务器。

image002

我们将这种格式在我们的日志文件中得到的结果。

image003

网络钓鱼与URI数据

 

使用URI数据方案,可以现在媒体内容在一个web浏览器没有托管在互联网上的实际数据。URI数据按照这个计划:

data:[<mediatype>][;base64],<data>

 

<mediatype>意味着你可以代表任何内容类型(例如,image / jpeg文件,文本/ HTML等),Web浏览器所支持的规范。

 

它还击败传统防御钓鱼攻击,例如网页过滤和信誉管理,因为受害者不需要沟通钓鱼攻击服务器来获取

 

在这个方法中,当受害者点击链接,他被重定向到假的页面,但是我们的假不是页面的任何地方举办。它基本上是由URI数据,正如我们稍后讨论。这假的页面与PHP文件,可以处理数据并发送邮件给攻击者的细节通过指定的攻击者。PHP文件必须托管某处。

 

数据是如何形成的URI

 

一个网站的源代码修改了攻击者在这样的细节,受害人被发送给PHP文件和PHP文件发送到攻击者的细节。源代码的web页面被修改,然后转化为base64格式。这里base64是可选的。

image004

image005

URI数据的格式

image006

如何进行这种攻击

 

打开网页,你想构建的钓鱼页面。在这里,作为一个示范,我使用Gmail页面。访问gmail.com,点击查看源文件,然后将所有的页面的源代码,并将其粘贴到记事本或任何其他编辑器。现在搜索代码为“action”。

image007

更换网址那里与我们的脚本在服务器上上传的URL。在我的例子中,它是http://localhost/gmail/act.php。

image008

复制整个代码并把它转换base64格式。你可以把你的代码base64通过使用各种在线工具,如http://www.opinionatedgeek.com/dotnet/tool​​s/base64encode/

image009

复制所有的代码,并将其粘贴在URI数据格式。

image010

无论是工作或没有进行测试,整个代码复制并粘贴到浏览器。输入您的用户名和密码。

image011

你会看到日志文件在服务器上创建的受害者的用户名和密码,你会得到如下所示。

image012

如何传播或发送到受害者

 

传播或交换我们的钓鱼页面给受害者,我们必须使用下面的JavaScript代码。

image013

像XSS漏洞的Web应用程序通过注入或通过使用这个脚本,发送给受害者,我们可以创建的HTML文件,我们可以使用这个脚本。

 

URI数据的好处

 

钓鱼网页可能是更加难以捉摸,因为他们是通过在互联网,因为钓鱼网络托管的页面不再需要。

 

我们可以更容易地创建的钓鱼网页。个性化的网络钓鱼网页,可以自动创建,根据收集到的信息,并传送到仅一名受害者。我们有理由相信URI数据方案可以提供其他未知的攻击向量。

 

它还击败传统的防御钓鱼攻击,如Web过滤和信誉管理,因为受害者并不需要沟通钓攻击服务器。

限制URI数据

 

这是很难注入JavaScript的网站。

Internet Explorer不支持URI数据。

结论

 

我们学会了一个新的钓鱼网页,使用一个相当古老的,很少使用的方式来呈现网页内容的呈现方式。使用此过程中,也没有明确的钓鱼页面的源和它的内容,这使得难以跟踪,监控运动,或建立网页的起源。此外,我们得出结论,钓鱼不再需要Web托管的页面,所以钓鱼网页,可能是在互联网传递的更难以捉摸。他们没有在互联网上建立锚点。

本文有小安攻防研究室室翻译,如有错误请联系管理员更正,谢谢。

原文地址:http://resources.infosecinstitute.com/phishing-with-data-uri/

参考

 

http://www.klevjers.com/papers/phishing.pdf.

en.wikipedia.org/wiki/Phishing

en.wikipedia.org/wiki/Data_URI_scheme‎.

 

 


发表评论

(必填)

(必填)

(以便回访)