瀏覽器內建網絡釣魚防護:運作原理
Google Safe Browsing、Firefox的網絡釣魚警告及瀏覽器憑證檢查如何保護香港用戶免受網絡釣魚侵害——以及內建工具的不足之處。
Google Safe Browsing、Firefox的網絡釣魚警告及瀏覽器憑證檢查如何保護香港用戶免受網絡釣魚侵害——以及內建工具的不足之處。
Google Safe Browsing是由Google維護的已知網絡釣魚網站、惡意軟件分發URL和欺騙性內容數據庫,被Chrome、Firefox、Safari及許多其他瀏覽器和應用程式使用。當你嘗試導航到某個URL時,你的瀏覽器會對照Safe Browsing數據庫進行檢查,如果該URL已被列出,則顯示警告頁面(「前方是欺騙性網站」或「此網站包含惡意軟件」)。Safe Browsing每天處理數十億個URL,任何時候都列出數千萬個危險URL,在用戶成為受害者之前攔截了相當大比例的網絡釣魚嘗試。
Chrome的「增強保護」模式(在設置 > 私隱和安全性 > 安全性中可訪問)通過將頁面URL和部分頁面內容發送到Google的伺服器進行實時分析,而不是僅依賴定期更新的本地數據庫,從而改善了標準Safe Browsing的效果。增強保護能比標準模式更快地攔截新近注冊的網絡釣魚網站,並通過對照Google的雲端數據庫檢查文件哈希值來提供下載威脅防護。代價是與Google額外共享數據——Google會收到你訪問的每個頁面的URL,而不僅僅是對照標準數據庫檢查的那些。對大多數用戶而言,安全效益超過了這一私隱成本,但注重私隱的用戶可能更傾向於標準Safe Browsing。
Safe Browsing有重要局限性。網絡釣魚網站頻繁輪換——今天被列為惡意的網站明天就會放棄其域名並被替換,新網站可能在數小時或數天內都不會被列出。在網絡釣魚網站上線與被添加到Safe Browsing之間的窗口期是最危險的,因為在此窗口期內收到網絡釣魚電子郵件的用戶不會收到任何瀏覽器警告。Safe Browsing也無法防禦尚未被舉報的仿域名(如legitbankhk.com而不是legitimatebank.com.hk),或不涉及惡意軟件或網絡釣魚重定向的社交工程攻擊。
當你的瀏覽器連接到HTTPS網站時,它會驗證網站的TLS憑證,以確保伺服器就是其所聲稱的那樣。憑證必須由瀏覽器受信任CA清單中的憑證授權機構(CA)簽署,且必須對正在訪問的特定域名有效。如果網絡釣魚網站試圖在相似域名(如bankofchina-hk-secure.com)上冒充你的銀行,它無法為bankofchina.com(合法域名)獲取憑證——CA在簽發憑證前會驗證域名所有權。這意味著即使網絡釣魚網站使用HTTPS,地址欄中的憑證也會顯示實際的網絡釣魚域名,而不是銀行的真實域名。
瀏覽器憑證釘選是一種技術,高價值網站(銀行、政府門戶、主要科技平台)將預期的憑證或CA硬編碼到瀏覽器本身中。當你訪問被釘選的網站而憑證與預期值不匹配時——如果攻擊者使用企業設備上安裝的自簽名CA進行中間人攻擊就會發生這種情況——瀏覽器會顯示錯誤並拒絕連接。憑證釘選在企業網絡環境中尤為重要,這些環境中網絡監控設備可能使用安裝在企業設備上的自簽名CA攔截HTTPS流量。
用戶應將瀏覽器憑證警告視為嚴重信號。「你的連接不是私密的」或「NET::ERR_CERT_AUTHORITY_INVALID」錯誤意味著伺服器提供的憑證無法驗證——對於銀行、電子郵件或任何敏感網站,永遠不應繞過這一錯誤。合法網站不會例行出現憑證錯誤;收到此類錯誤幾乎肯定意味著網站存在管理問題(憑證過期或配置錯誤)或你的連接正受到主動攔截攻擊。在部署了SSL檢查的企業或學校網絡上,你的設備上可能安裝了自定義CA憑證——請注意這一點,因為這意味著你的雇主可以看到你的HTTPS連接內容。
DNS層面網絡釣魚封鎖比基於瀏覽器的Safe Browsing在連接鏈中更早提供保護。當你的瀏覽器試圖解析網絡釣魚域名時,Quad9等安全過濾DNS解析器會對照威脅情報 ↗信息源檢查該域名,如果域名被分類為惡意,則拒絕返回IP地址。連接嘗試在你的瀏覽器有機會向網絡釣魚伺服器發送HTTP請求之前便已失敗。這為你設備上的所有應用程式提供保護,而不僅僅是瀏覽器——包括自動加載鏈接圖像的電子郵件客戶端、訪問鏈接資源的PDF閱讀器,以及預覽URL的消息應用程式。
Quad9、NextDNS及類似服務使用的威脅情報信息源通常比瀏覽器Safe Browsing清單更新更快,因為它們直接從以威脅偵測為核心業務的網絡安全公司接收威脅情報。DNS層面封鎖可以在網絡釣魚域名注冊後數分鐘內將其攔截,而不是數小時,因為幾個威脅情報信息源專門監控與網絡釣魚基礎設施一致的模式的新注冊域名。對於通過短信(smishing)、電子郵件和WhatsApp收到網絡釣魚嘗試的香港用戶——這些都是香港常見的攻擊途徑——DNS層面封鎖即使在攻擊通過非瀏覽器渠道發起時也能提供保護。
NextDNS提供詳細的分析,顯示你的網絡上被封鎖的網絡釣魚域名請求數量,這既是有用的安全指標,也提醒人們瀏覽器用戶每天面臨的網絡釣魚活動規模。在NextDNS的封鎖清單配置中啟用「安全」類別,可同時添加來自多個威脅信息源的覆蓋。Quad9的威脅情報在地理覆蓋範圍上稍廣,特別是對於與亞太地區相關的威脅情報,使其成為關注區域性針對性網絡釣魚活動的香港用戶的強力選擇。兩項服務基本使用均免費,只需更改DNS伺服器即可啟用。
香港的網絡釣魚攻擊日益複雜且針對本地。攻擊者創建令人信服的假冒網站,模仿恒生銀行、滙豐銀行、港鐵支付系統以及政府服務(如入境事務處的電子旅遊證件系統)。這些網站通常注冊與合法域名非常相似但有細微變化的域名——使用.com而非.com.hk,添加「-secure」、「-login」或「-hk」等詞,或使用在視覺上與拉丁字母相同的Unicode字符。瀏覽器工具一旦被舉報便可攔截其中許多,但在活動的最初數小時內新注冊的域名處於自動保護尚未更新的窗口期。
人為因素仍然是對抗複雜網絡釣魚的最後一道防線。沒有任何瀏覽器工具能保護故意繞過憑證警告、對意外電話或消息的緊迫壓力做出回應,或在未檢查確切域名的情況下在網站上提供憑證的用戶。網絡釣魚的成功依賴於利用認知捷徑——緊迫性、權威性、恐懼——使人們在檢查之前就採取行動。養成在輸入任何憑證之前暫停並檢查地址欄中確切域名的習慣,比任何技術工具在防止憑證竊取方面更有價值。
Bitwarden等密碼管理器提供了被低估的反網絡釣魚效益:它們只在憑證被保存的確切域名上自動填充憑證。如果你訪問一個看起來與你的銀行完全相同但域名略有不同的網絡釣魚網站,Bitwarden不會自動填充你的密碼——自動填充的缺失是域名不符合你預期的信號。這種被動保護可以攔截繞過所有基於URL的瀏覽器警告的網絡釣魚攻擊,因為域名尚未被舉報。對於經常通過電子郵件和短信收到網絡釣魚嘗試的香港用戶,密碼管理器結合DNS層面封鎖和Safe Browsing創建了全面的分層防禦。
