网络钓鱼类案件电子数据侦查及注意事项
2022-02-28赵鑫杨小虎孙佩东唐宁甘肃省公安厅网络安全保卫总队
赵鑫 杨小虎 孙佩东 唐宁 甘肃省公安厅网络安全保卫总队
引言
2020年全球新冠病毒爆发以来,远程办公、线上教育、网上购物等相关产业爆发式增长,使人们的生活更加便捷。但网络技术的发展往往带来很多安全问题,境外APT组织通过网络钓鱼攻击手段对我国金融、医疗、教育、科研等领域进行网络攻击,窃取国家机密,严重威胁国家安全;犯罪集团通过假冒中奖信息,仿冒网上银行、手机银行的方式对公民实施网络钓鱼诈骗,严重损害了公民利益。敌对势力以远程办公为突破口、围绕新冠疫情话题发起网络钓鱼攻击,窃取抗疫情报,严重干扰了我国的抗疫工作。因此,对网络钓鱼类案件的电子数据侦查过程进行研究有利于打击网络犯罪和网络间谍活动,有利于提升我国应对网络钓鱼事件威胁的能力。
一、网络钓鱼基本概述
(一)网络钓鱼的定义
网络钓鱼是一种网络攻击手段,是指攻击者结合社会工程学伪造电子邮件及钓鱼网站,诱导被攻击者点击触发电子邮件中的恶意代码,或者诱导受害者在钓鱼网站中输入银行卡账户密码、个人身份证号等隐私信息,从而控制受害者终端以及收集其个人隐私信息的一系列行为。
(二)网络钓鱼的特点
一是欺骗性。攻击者根据需要克隆受害者经常访问的网站,并结合近似域名的网址来加强真实性,达到以假乱真的效果。或者发送钓鱼邮件时,将木马伪装成正常的文件,很容易骗过受害者得到其响应;二是针对性。网络钓鱼攻击者的目标很明确,会对特定的目标发起钓鱼攻击,比如涉及国家机密的政府、科研、医疗机构等,或者是涉及网络资金流动的网上银行、电子商务、网络购物等;三是多样性。网络钓鱼在本质上是一种欺骗手段,是将计算机科学技术、社会工程学、心理学等多学科进行融合,因此攻击手法也是五花八门。
(三)常见的钓鱼技术
通常,网络钓鱼攻击者会收集攻击目标的相关信息,结合社会工程学原理,向目标发送欺诈性电子邮件,邮件的内容可以是仿冒的网站用于骗取银行卡账户密码、个人社交账户、身份信息等个人隐私,邮件的内容还可以是木马伪装的正常文件,诱导目标点击后个人终端被控制。总之,网络钓鱼的类型多种多样,下面介绍一下主要的手段:
1. 鱼叉式网络钓鱼
这种攻击方式主要是通过发送邮件来实现攻击,发送邮件有两种方法,一种是从目标组织中获取到大量的邮箱地址,并向所有邮箱发送可能单击的电子邮件,就像撒网一样钓鱼。另一种是攻击者针对个人,就像在鱼塘中,钓鱼者将注意力全部集中在一条鱼上以确保其能上钩,当目标确定后,攻击者会收集目标相关的信息,结合社会工程学原理,诱使该目标认为来源是友好的或者没有威胁的形式,让其上钩。例如:境外APT组织针对某机构发起了鱼叉式网络钓鱼攻击,意在控制机构内部网络资产、窃取用户数据及涉密文件,攻击流程如图1所示。
该攻击者确定攻击目标后,首先开展信息收集活动,通过网络空间搜索引擎爬取目标外网资产的IP及URL,根据URL实施子域名挖掘,获得了目标的邮件服务器地址。根据该机构的官方网站公布的文件材料获得了大量内部人员邮箱地址,并利用这些邮箱对邮件服务器实施爆破;接着实施钓鱼邮件伪造,攻击者将一个恶意木马伪装成正常的文件,构造了一个看起来很重要、很紧迫的文案内容。最后就是实施钓鱼攻击,攻击者利用爆破的邮箱发送钓鱼邮件给该机构的网络管理员,网络管理员以为是同事发给自己的邮件,非常信任的打开钓鱼邮件后触发了恶意木马,个人的电脑被攻击者控制。
2. 水坑式网络钓鱼
即在受害者必经之路设置一个“水坑(陷阱)”。攻击者在锁定攻击目标后会分析其上网活动规律,找到目标经常访问网站的漏洞,根据漏洞将恶意代码植入其中,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。与一般的网络钓鱼手段相比,攻击者不需要花费时间搭建钓鱼网站或者制作木马伪装文件,而是利用合法网站的脆弱性,因此具有很强的隐蔽性。例如:某团伙为窃取某企业商业机密,掌握了该企业高层管理人员的上网活动规律,并对其发起水坑式钓鱼攻击。攻击流程如图2所示。
该团伙在招聘网站及中标公告中获取到了该企业高层管理者的个人信息,并将其作为攻击目标,冒充投资者和该目标开展了长达两周的交流,摸清了其经常访问的网站;犯罪团伙通过自动化漏洞挖掘工具及代码审计的方式对该网站实施漏洞挖掘,拿到了网站服务器权限;接着篡改网页代码,植入了恶意代码,当目标再次访问该网站时触发恶意代码,迫使目标安装伪装的木马病毒,目标的个人终端被控制;最后犯罪集团通过控制的终端成功进入该企业内网,进而控制其重要信息系统。
3. 社交平台钓鱼、短信及语音钓鱼
网络钓鱼者通过QQ、微信、微博、短信的形式,发送中奖、理财投资等相关的url链接,冒充有影响力的人物或领导,对其受众进行诱导性操作。
二、案例分析
(一)基本情况
2020年2月,有人以领取游戏大礼包形式,诱使受害者登录伪造的钓鱼网站输入身份证、手机号、信用卡号、信用卡CVV等信息,根据非法搜集到的用户个人信息注册多个快捷支付平台,利用免密支付的漏洞进行小额话费充值、加油卡充值、平台支付等进行消费,然后再将充值卡打折出售给个人商户(超市、营业厅)进行套现,实现盗刷信用卡非法获利的目的。犯罪嫌疑人伪造的钓鱼页面如图3所示。
(二)侦查思路
这是一起典型的通过网络钓鱼实施盗刷信用卡的案例。通过分析,受害者除了信用卡在不同的平台进行刷卡以外,无任何其他异常操作,如果按照常规侦查思路就应该到对应的平台调取相应的刷卡记录进行下一步侦查,当时由于是疫情期间无法出差。因此调整思路,从钓鱼网站开始侦查。
一是在对该钓鱼网站进行电子数据侦查过程中,发现网站后台存在弱口令漏洞,通过该漏洞获取管理权限,密取后台数据发现存放大量的受害者信息和一批钓鱼网站域名,进一步侦查发现跳转后链接均为游戏官网客服联系方式,无任何管理员和运营人员信息,仅从以上信息无法确定该网站的管理和运营人员,对案件侦查并无价值,如图4所示。
二是按照水坑式网络钓鱼的思路,对该网站的管理员实施钓鱼,目的是远程控制其服务器和工作的终端,查清组织架构,实现远程勘验并固定相关电子数据证据。首先制作免杀木马并伪装成flash组件,搭建flash更新网站;然后在嫌疑搭建的钓鱼网站中通过XSS漏洞植入恶意代码,强制执行flash版本过期的弹窗,嫌疑人点击后跳转到伪造的flash更新网站,下载执行木马伪装的flsh更新包,如图5。
当该运营网站被强制安装flash更新包之后,电脑无任何异常反应,但flash包已经触发恶意代码执行,终端已经被侦查员控制(如图6所示),终端上所有的操作将全部呈现在侦查员眼前,通过对网站运营者的电脑进行录屏,并在其休息的时间密取相关财务账本、工作日志、嫌疑人的虚拟身份,组织架构等重要信息。
(三)侦查小结
通过该案例可以看出,针对网络钓鱼类案件电子数据侦查的首要任务是对钓鱼网站及发布的钓鱼信息进行深入分析,寻找网站后台存在的漏洞,结合常见钓鱼的基本方式进行逆向侦查,最终对嫌疑人的核心数据进行远程固定,为案件侦破提供侦查方向和有力的证据支撑。
三、注意事项
随着科技的进步,社会信息化程度不断加深,许多案件电子数据的作用显得尤为重要。电子数据的侦查,往往是凭借侦查人员或技术人员的主观能动性和个人经验进行,然而这样容易导致越权取证的发生。针对如何在电子数据侦查过程中保证电子数据的有效性,提出以下几点注意事项:
(一)电子数据侦查过程及时性
电子数据和其他证据不同,部分电子数据可能由于本身的性质会相应变化,可能导致电子数据不再是案发时的电子数据,比如计算机内存、局域网IP地址、操作系统等,一旦发生变化将不能复原,不能反映案件的真实情况。或者由于人为删除、病毒侵袭或者意外物理损坏等原因都可导致电子数据的毁损、灭失。这就对电子数据收集的实时性提出了较高要求。因此,应注意电子数据侦查提取的及时性问题,并判断提取的电子数据本身是否会随时间的改变而发生变化。
(二)电子数据侦查过程合法性
要求计算机取证过程必须按照法律的规定进行,从而得到真实且具有证明效力的证据。《公安机关办理刑事案件电子数据取证规则》对电子数据提取过程的程序进行了明确规定,包括收集、提取电子数据,电子数据的检查和侦查实验,电子数据委托检验与鉴定,内容全面、完整,涵盖了电子数据提取所有过程。在侦查过程中按照公安部发布的规定审查公安机关提取电子数据过程的合法性,程序必须合法,才能保证实体有效,程序往往制约实体。
(三)电子数据侦查过程全面性
不仅要收集电子数据本身,还要收集其载体,电子数据收集的全面性在于保证电子数据的客观性,由于电子数据与其存储载体具有不可分性,存在于载体之上的电子数据比单纯的电子数据更有证明力,这也符合最佳证据规则,况且载体上也存在大量的辅助信息从侧面印证电子数据的真实性。此外,还应收集电子数据的相关环境信息,由于电子数据需要存在于特定的载体中,而载体又要存在于特定的环境中,这些环境信息包含了大量的有用信息。所以,还要收集电子数据载体所在环境信息,如设备位置地点、IP地址、网络连接环境、端口之间的连接等相关外部环境。总之,收集电子数据一定要坚持全面的原则。
四、结语
随着网络技术的发展,新型网络钓鱼类案件也会不断的出现,电子数据作为一项法定证据,在刑事案件办理过程中发挥着越来越重要的作用,加强和提高对侦查工作中电子数据取证问题的认识和重视,逐步建立和完善电子数据取证体系,才能保证今后侦查取证工作的顺利开展。