如何保护自己免受网络劫持攻击
网络药房攻击是一种高级的机制,它在大多数情况下诈骗用户而不需要任何“愚蠢的错误”。让我们解码并看看如何保护。
想象一下,使用合法的网址登录您的在线银行账户,然后不久后发现您的积蓄消失了。
这就是药房攻击的一种方式。
药房这个词起源于钓鱼(攻击)和农耕 🚜。
简单来说,钓鱼需要您点击可疑的链接(愚蠢的错误),从而下载恶意软件导致财务损失。此外,它可能是您的“ceo”发送的要求向一个“供应商”进行“紧急”银行转账的电子邮件,这是一种特殊类别的诈骗,被称为鲸鱼式钓鱼欺诈。
简而言之,钓鱼需要您的积极参与,而药房攻击(在大多数情况下)不需要。
什么是药房攻击?
我们习惯于使用域名(如yaoweibin.com),而机器则理解ip地址(如24.237.29.182)。
当我们输入一个网址(域名)时,它(查询)发送到dns服务器(互联网的电话簿),该服务器将其与相关的ip地址匹配。
因此,域名与实际网站几乎没有关系。
例如,如果dns服务器将域名与非真实ip地址匹配,该ip地址托管了一个伪造的网站,那么不管您输入了“正确”的url,您都会看到该伪造网站。
接下来,用户轻松地将详细信息(如卡号、身份证号、登录凭据等)交给这个仿冒网站,而他们以为这是合法的。
这使得药房攻击非常危险。
它们制作精良,悄无声息地工作,终端用户事先一无所知,直到他们从银行收到“金额已被划走”的消息。或者,他们的个人身份信息在暗网上被出售。
让我们详细了解它们的工作方式。
药房攻击是如何工作的?
这些攻击是在用户级别或整个dns服务器上进行的。
#1. 用户级药房攻击
这类似于钓鱼,您点击一个可疑的链接,下载恶意软件。随后,主机文件(也称为本地dns记录)被更改,用户访问一个恶意仿冒的原始网站。
主机文件是一个标准的文本文件,用于保存本地管理的dns记录,并为更快的连接提供了途径,减少了延迟。
通常,网站管理员会在实际的域名注册商修改dns记录之前使用主机文件来测试网站。
然而,恶意软件可能会向您计算机的本地主机文件写入虚假条目。这样,即使输入正确的网站地址,也会解析到一个欺诈性的网站。
#2. 服务器级药房攻击
发生在单个用户身上的事情也可以发生在整个服务器上。
这被称为dns污染、dns欺骗或dns劫持。由于这是在服务器级别上发生的,受害者可能是数百人甚至更多。
目标dns服务器通常更难控制,是一种风险较大的操作。但如果成功,对于网络犯罪分子来说,回报将是指数级增长。
服务器级别的药物攻击是通过物理劫持dns服务器或中间人攻击(mitm)来完成的。
后者是用户与dns服务器之间或dns服务器与权威dns名称服务器之间的软件操纵。
此外,黑客还可以更改您的wifi路由器的dns设置,这被称为本地dns定位。
文档化的药物攻击
用户级别的药物攻击通常隐藏并且很少被报道。即使注册了,这也很少进入新闻媒体。
此外,服务器级别攻击的复杂性也使得它们很难被注意到,除非网络犯罪分子抹去了大量资金,影响了许多人。
让我们来看看一些实际案例中的攻击是如何进行的。
#1. curve finance
curve finance是一个加密货币交易平台,在2022年8月9日遭受了dns中毒攻击。
我们从iwantmyname得到了一份简短的报告,内容是:dns缓存中毒,而不是名称服务器被攻破。https://t.co/pi1zr96m1z
— curve finance (@curvefinance) august 10, 2022
在幕后,这是一次经典的dns缓存中毒攻击,curve的dns提供商iwantmyname通过状态报告(与curve的推文中的内容相同)讨论了可能的原因。
这次攻击将curve的用户发送到了一个仿冒网站,导致损失超过550,000美元。
#2. myetherwallet
对于一些myetherwallet用户来说,2018年4月24日是个黑暗的日子。这是一个具有强大安全协议的免费开源以太坊(一种加密货币)钱包。
尽管一切都很好,但这次经历给用户留下了痛苦的记忆,造成了净盗窃1700万美元。
从技术上讲,myetherwallet所使用的amazon route 53 dns服务进行了bgp劫持,将一些用户重定向到一个钓鱼复制品。他们输入了登录凭据,使罪犯能够访问他们的加密货币钱包,导致了突然的财务损失。
然而,用户的一个明显错误是忽略了浏览器的ssl警告。
myetherwallet官方声明,有关这个骗局。
#3. 主要银行
回到2007年,几乎有50家银行的用户成为药物攻击的目标,导致了不明金额的损失。
这种经典的dns妥协会将用户发送到恶意网站,即使他们输入了官方网址。
然而,这一切都始于受害者访问了一个恶意网站,该网站因为windows漏洞(现已修补)下载了一个特洛伊木马。
随后,病毒要求用户关闭杀毒软件、防火墙等。
之后,用户被发送到美国、欧洲和亚太地区领先金融机构的恶搞网站上。还有更多类似的事件,但它们的运作方式相似。
仿冒网站的迹象
仿冒基本上将您感染的在线账户完全控制给威胁者。可以是您的 facebook个人资料、在线银行账户等。
如果您是受害者,您会看到莫名其妙的活动。可能是一篇帖子、一项交易,或者仅仅是您个人资料图片的有趣变化。
最终,如果有任何您不记得做过的事情,您应该开始采取补救措施。
防范仿冒网站
根据您遭受的攻击类型(用户级或服务器级),有几种方法可以保护自己。
由于本文不涉及服务器级实施,我们将着重介绍您作为终端用户可以做些什么。
#1. 使用高级杀毒软件
一个好的 杀毒软件已经完成了一半的工作。这有助于保护您免受大多数恶意链接、恶意下载和诈骗网站的侵害。虽然有一些免费的杀毒软件适用于您的电脑,但付费的通常表现更好。
#2. 设置强密码路由器
wifi路由器也可以充当迷你dns服务器。因此,它们的安全性至关重要,而且从更改公司默认密码开始。
#3. 选择有声誉的isp
对于我们大多数人来说,互联网服务提供商也充当dns服务器。根据我的经验,与免费公共dns服务(如google public dns)相比,isp的dns速度稍有提升。但是,选择最佳可用的isp对于速度和整体安全性都很重要。
#4. 使用自定义dns服务器
切换到不同的dns服务器并不困难或不常见。您可以使用opendns、cloudflare、google等免费公共dns。然而,重要的是dns提供者可以看到您的网络活动。因此,您应该谨慎地将您的网络活动授权给谁。
#5. 使用带有私有dns的vpn
使用vpn可以提供多层安全保护,包括他们的自定义dns。这不仅可以保护您免受网络犯罪分子的侵害,还可以保护您免受isp或政府的监视。但是,您应该验证vpn是否具有加密的dns服务器,以获得最佳保护。
#6. 保持良好的网络卫生
点击恶意链接或过于美好的广告是被骗的主要途径之一。虽然良好的杀毒软件会提醒您,但没有任何 网络安全 工具可以保证100%的成功率。最后,责任在您的肩上,要保护好自己。
例如,有人应该将任何可疑的链接粘贴到 搜索引擎 中查看来源。此外,在信任任何网站之前,我们应该确保在url栏中显示有一个带锁的https。
此外,定期 清空你的dns 一定会有所帮助。
小心!
虽然劫持攻击是古老的,但它的操作方式很微妙,很难确定。此类攻击的根本原因是本地dns的不安全性,这个问题尚未得到完全解决。
因此,这并不总是取决于你。尽管如此,上述的保护措施将会有所帮助,特别是使用像protonvpn这样带有加密dns的vpn。
虽然劫持攻击是基于dns的,但是你知道骗局也可以基于蓝牙吗?可以点击 蓝牙短信攻击101 来了解如何进行这种攻击以及如何保护自己。
