安全研究人員發現,越來越多的網絡釣魚網站使用Web分析服務,並在其代碼中具有唯一的跟踪ID。無論是有意還是無意,使用此類ID都可以幫助防御者發現用於大型攻擊活動的網絡釣魚頁面。

內容分發網絡Akamai的研究人員分析了來自28,906個唯一域的一組54,261個活動的網絡釣魚頁面,發現874個域具有與之關聯的網絡分析ID。大約396個ID來自Google Analytics(分析),其中75個ID在多個網站上使用。

Web分析服務為客戶分配了唯一的用戶ID(UID),以跟踪訪問者如何與他們的網站進行交互以及收集有關其瀏覽器,操作系統,地理位置和其他詳細信息的信息。此類數據對網站所有者非常重要,因為它可以幫助他們了解受眾的行為並相應地調整其內容,這就是為什麼估計互聯網上超過一半的網站使用某種形式的Web分析的原因。

網絡犯罪分子還了解這些數據的價值,以評估其攻擊的性能並實現更細化的針對性。因此,網絡釣魚工具包(用於設置網絡釣魚網站的商業工具)的創建者已開始將Web分析納入其產品中,並且通常依賴於合法網站使用的相同分析服務。

在某些情況下,網絡釣魚頁面上唯一UID的出現可能是偶然的,並且是攻擊者在抓取和復製網站時未能刪除合法UID的結果。

UID是防御者的燈塔
攻擊者很少假冒一個網站或僅設置一個釣魚網址。相反,網絡釣魚攻擊通常是大型攻擊活動的一部分,這些攻擊會同時針對多個網站,並由分佈在多個域中的網絡釣魚頁面組成,以繞過檢測並抵禦刪除請求。

例如,如果組織的安全團隊在惡意電子郵件通過公司垃圾郵件篩選器之後手動阻止了由員工報告的網絡釣魚URL,則不能保證對公司的整個攻擊都受到了阻止。其他員工收到的其他網絡釣魚電子郵件也可能具有不同的URL,即使它是同一廣告系列的一部分也是如此。自動化的URL黑名單解決方案還依賴於安全性供應商提供的情報源,並且僅在供應商檢測到攻擊活動並識別出其中的惡意URL後才對其進行更新。

但是,防御者可以輕鬆地在多個網頁仿冒頁面中使用相同的分析UID,以創建檢測簽名或Web防火牆規則,以阻止來自同一活動的所有頁面。這對安全供應商和企業安全團隊都很有用。

此外,如果攻擊者錯誤地將克隆的網站的合法分析UID留在了網絡釣魚頁面中,則假冒網站的所有者可以對其進行跟踪,並將其報告給域註冊商,因為他們很可能會在其分析帳戶中獲得有關用戶訪問量的報告。這些頁面。

Akamai研究人員在今天發布的一份報告中說:“分析人員可以幫助犯罪分子關注受害者,並將攻擊範圍縮小到給定的區域或設備類型。” “例如,無視Android的情況下,看到針對目標iOS設備的網絡釣魚攻擊並非罕見。有時,這是由於犯罪分子一直在追踪其頁面上最常見的用戶,並且知道Android用戶受害的可能性較小。但是,當罪犯使用自己的UID時,他們會在所有工具包中都這樣做,因此不僅可以跟踪單個網絡釣魚活動,有時還可以一次跟踪多個網絡釣魚並相應地調整防禦。”

已用於發現網絡釣魚活動的UID
Akamai提供了兩個示例,其中在網頁仿冒頁面上使用Web分析UID使其研究人員能夠識別出更大的活動。一個活動是針對LinkedIn用戶,並使用了許多誤導性域名,它們共享相同的Google Analytics(分析)UID,這可能是網絡釣魚工具的創建者添加的。第二個是針對AirBnB用戶的運動,該運動使用了000webhostapp.com(一個合法的網站託管服務)上的子域。第二個活動使用原始的AirBnB Web分析UID,該ID可以輕鬆識別惡意子域。

Akamai安全研究員Tomer Shlomo通過電子郵件告訴CSO:“企業安全團隊可以跟踪自己的分析UID,這些UID是通過複製其網站內容來構建網絡釣魚網站而被廣泛使用的。” “安全研究人員和安全供應商將使用網絡釣魚工具包UID,這將使他們能夠跟踪其他網絡釣魚網站,並能夠評估活動規模或查找同一威脅參與者部署的其他網絡釣魚活動。”