除了常規(guī)手段以外，網(wǎng)絡(luò)罪犯還會(huì)利用社會(huì)工程的方式，試圖讓安全意識(shí)較弱的人泄露私人信息或是有價(jià)值的證書(shū)。很多網(wǎng)絡(luò)釣魚(yú)騙局的實(shí)質(zhì)都是攻擊者偽裝成信譽(yù)良好的公司或組織，然后借此大規(guī)模傳播病毒或惡意軟件。

[[315251]]攻擊" title="誤植攻擊">

誤植Typosquatting就是其中一個(gè)常用的手法。它是一種社會(huì)工程學(xué)的攻擊方式，通過(guò)使用一些合法網(wǎng)站的錯(cuò)誤拼寫(xiě)的 URL 以引誘用戶訪問(wèn)惡意網(wǎng)站，這樣的做法既使真正的原網(wǎng)站遭受聲譽(yù)上的損害，又誘使用戶向這些惡意網(wǎng)站提交個(gè)人敏感信息。因此，網(wǎng)站的管理人員和用戶雙方都應(yīng)該意識(shí)到這個(gè)問(wèn)題帶來(lái)的風(fēng)險(xiǎn)，并采取措施加以保護(hù)。

一些由廣大開(kāi)發(fā)者在公共代碼庫(kù)中維護(hù)的開(kāi)源軟件通常都被認(rèn)為具有安全上的優(yōu)勢(shì)，但當(dāng)面臨社會(huì)工程學(xué)攻擊或惡意軟件植入時(shí)，開(kāi)源軟件也需要注意以免受到傷害。

下面就來(lái)關(guān)注一下誤植攻擊的發(fā)展趨勢(shì)，以及這種攻擊方式在未來(lái)可能對(duì)開(kāi)源軟件造成的影響。

什么是誤植?

誤植是一種非常特殊的網(wǎng)絡(luò)犯罪形式，其背后通常是一個(gè)更大的網(wǎng)絡(luò)釣魚(yú)騙局。不法分子首先會(huì)購(gòu)買(mǎi)和注冊(cè)域名，而他們注冊(cè)的域名通常是一個(gè)常用網(wǎng)站的錯(cuò)誤拼寫(xiě)形式，例如在正確拼寫(xiě)的基礎(chǔ)上添加一個(gè)額外的元音字母，又或者是將字母“i”替換成字母“l”。對(duì)于同一個(gè)正常域名，不法分子通常會(huì)注冊(cè)數(shù)十個(gè)拼寫(xiě)錯(cuò)誤的變體域名。

用戶一旦訪問(wèn)這樣的域名，不法分子的目的就已經(jīng)成功了一半。為此，他們會(huì)通過(guò)電子郵件的方式，誘導(dǎo)用戶訪問(wèn)這樣的偽造域名。偽造域名指向的頁(yè)面中，通常都帶有一個(gè)簡(jiǎn)單的登錄界面，還會(huì)附上熟悉的被模仿網(wǎng)站的徽標(biāo)，盡可能讓用戶認(rèn)為自己訪問(wèn)的是真實(shí)的網(wǎng)站。

如果用戶沒(méi)有識(shí)破這一個(gè)騙局，在頁(yè)面中提交了諸如銀行卡號(hào)、用戶名、密碼等敏感信息，這些數(shù)據(jù)就會(huì)被不法分子所完全掌控。進(jìn)一步來(lái)看，如果這個(gè)用戶在其它網(wǎng)站也使用了相同的用戶名和密碼，那就有同樣受到波及的風(fēng)險(xiǎn)。受害者最終可能會(huì)面臨身份被盜、信用記錄被破壞等危險(xiǎn)。

最近的一些案例

從網(wǎng)站的所有方來(lái)看，遭到誤植攻擊可能會(huì)帶來(lái)一場(chǎng)公關(guān)危機(jī)。盡管網(wǎng)站域名的所有者沒(méi)有參與到犯罪當(dāng)中，但這會(huì)被認(rèn)為是一次管理上的失職，因?yàn)橛蛎姓哂兄鲃?dòng)防御誤植攻擊的責(zé)任，以避免這一類(lèi)欺詐事件的發(fā)生。

在幾年之前就發(fā)生過(guò)一起案件，很多健康保險(xiǎn)客戶收到了一封指向 we11point.com 的釣魚(yú)電子郵件，其中 URL 里正確的字母“l”被換成了數(shù)字“1”，從而導(dǎo)致一批用戶成為了這一次攻擊的受害者。

最初，與特定國(guó)家/地區(qū)相關(guān)的頂級(jí)域名是不允許隨意注冊(cè)的。但后來(lái)國(guó)際域名規(guī)則中放開(kāi)這一限制之后，又興起了一波新的誤植攻擊。例如最常見(jiàn)的一種手法就是注冊(cè)一個(gè)與 .com 域名類(lèi)似的 .om 域名，一旦在輸入 URL 時(shí)不慎遺漏了字母 c 就會(huì)給不法分子帶來(lái)可乘之機(jī)。

網(wǎng)站如何防范誤植攻擊

對(duì)于一個(gè)公司來(lái)說(shuō)，最好的策略就是永遠(yuǎn)比誤植攻擊采取早一步的行動(dòng)。

也就是說(shuō)，在注冊(cè)域名的時(shí)候，不僅要注冊(cè)自己商標(biāo)名稱(chēng)的域名，最好還要同時(shí)注冊(cè)可能由于拼寫(xiě)錯(cuò)誤產(chǎn)生的其它域名。當(dāng)然，沒(méi)有太大必要把可能導(dǎo)致錯(cuò)誤的所有頂級(jí)域名都注冊(cè)掉，但至少要把可能導(dǎo)致錯(cuò)誤的一些一級(jí)域名搶注下來(lái)。

如果你有讓用戶跳轉(zhuǎn)到一個(gè)第三方網(wǎng)站的需求，務(wù)必要讓用戶從你的官方網(wǎng)站上進(jìn)行跳轉(zhuǎn)，而不應(yīng)該通過(guò)類(lèi)似群發(fā)郵件的方式向用戶告知 URL。因此，必須明確一個(gè)策略：在與用戶通信交流時(shí)，不將用戶引導(dǎo)到官方網(wǎng)站以外的地方去。在這樣的情況下，如果有不法分子試圖以你公司的名義發(fā)布虛假消息，用戶將會(huì)從帶有異樣的頁(yè)面或 URL 上有所察覺(jué)。

你可以使用類(lèi)似 DNS Twist 的開(kāi)源工具來(lái)掃描公司正在使用的域名，它可以確定是否有相似的域名已被注冊(cè)，從而暴露潛在的誤植攻擊。DNS Twist 可以在 Linux 系統(tǒng)上通過(guò)一系列的 shell 命令來(lái)運(yùn)行。

還有一些網(wǎng)絡(luò)提供商(ISP)會(huì)將防護(hù)誤植攻擊作為他們網(wǎng)絡(luò)產(chǎn)品的一部分。這就相當(dāng)于一層額外的保護(hù)，如果用戶不慎輸入了帶有拼寫(xiě)錯(cuò)誤的 URL，就會(huì)被提示該頁(yè)面已經(jīng)被阻止并重定向到正確的域名。

如果你是系統(tǒng)管理員，還可以考慮運(yùn)行一個(gè)自建的 DNS 服務(wù)器，以便通過(guò)黑名單的機(jī)制禁止對(duì)某些域名的訪問(wèn)。

你還可以密切監(jiān)控網(wǎng)站的訪問(wèn)流量，如果來(lái)自某個(gè)特定地區(qū)的用戶被集體重定向到了虛假的站點(diǎn)，那么訪問(wèn)量將會(huì)發(fā)生驟降。這也是一個(gè)有效監(jiān)控誤植攻擊的角度。

防范誤植攻擊與防范其它網(wǎng)絡(luò)攻擊一樣需要保持警惕。所有用戶都希望網(wǎng)站的所有者能夠掃除那些與正主類(lèi)似的假冒站點(diǎn)，如果這項(xiàng)工作沒(méi)有做好，用戶的信任對(duì)你的信任程度就會(huì)每況愈下。

誤植對(duì)開(kāi)源軟件的影響

因?yàn)殚_(kāi)源項(xiàng)目的源代碼是公開(kāi)的，所以其中大部分項(xiàng)目都會(huì)進(jìn)行安全和滲透測(cè)試。但錯(cuò)誤是不可能完全避免的，如果你參與了開(kāi)源項(xiàng)目，還是有需要注意的地方。

當(dāng)你收到一個(gè)不明來(lái)源的合并請(qǐng)求Merge Request或補(bǔ)丁時(shí)，必須在合并之前仔細(xì)檢查，尤其是相關(guān)代碼涉及到網(wǎng)絡(luò)層面的時(shí)候。不要屈服于只測(cè)試構(gòu)建的誘惑; 一定要進(jìn)行嚴(yán)格的檢查和測(cè)試，以確保沒(méi)有惡意代碼混入正常的代碼當(dāng)中。

同時(shí)，還要嚴(yán)格按照正確的方法使用域名，避免不法分子創(chuàng)建仿冒的下載站點(diǎn)并提供帶有惡意代碼的軟件。可以通過(guò)如下所示的方法使用數(shù)字簽名來(lái)確保你的軟件沒(méi)有被篡改：

gpg --armor --detach-sig \ 
  --output advent-gnome.sig \ 
  example-0.0.1.tar.xz 

同時(shí)給出你提供的文件的校驗(yàn)和：

sha256sum example-0.0.1.tar.xz > example-0.0.1.txt 

無(wú)論你的用戶會(huì)不會(huì)去用上這些安全措施，你也應(yīng)該提供這些必要的信息。因?yàn)橹灰心敲匆粋€(gè)人留意到簽名有異樣，就能為你敲響警鐘。

總結(jié)

人類(lèi)犯錯(cuò)在所難免。世界上數(shù)百萬(wàn)人輸入同一個(gè)網(wǎng)址時(shí)，總會(huì)有人出現(xiàn)拼寫(xiě)的錯(cuò)誤。不法分子也正是抓住了這個(gè)漏洞才得以實(shí)施誤植攻擊。

用搶注域名的方式去完全根治誤植攻擊也是不太現(xiàn)實(shí)的，我們更應(yīng)該關(guān)注這種攻擊的傳播方式以減輕它對(duì)我們的影響。最好的保護(hù)就是和用戶之間建立信任，并積極檢測(cè)誤植攻擊的潛在風(fēng)險(xiǎn)。作為開(kāi)源社區(qū)，我們更應(yīng)該團(tuán)結(jié)起來(lái)一起應(yīng)對(duì)誤植攻擊。