在每一次Bouncer list phishing攻擊中，攻擊者會(huì)列出目標(biāo)名單的E-mail，同時(shí)賦予每位收件者一個(gè)自動(dòng)產(chǎn)生的ID，然后給他們每人發(fā)送一個(gè)唯一的URL，若收件人點(diǎn)擊該URL，Bouncer攻擊套件就會(huì)快速驗(yàn)證此ID是否在目標(biāo)名單中，如果是，Bouncer攻擊套件就會(huì)在同一個(gè)網(wǎng)絡(luò)服務(wù)器上，將相關(guān)的檔案復(fù)制到一個(gè)暫時(shí)文件夾中，然后加載釣魚(yú)網(wǎng)頁(yè)，并將該使用者導(dǎo)引到此惡意網(wǎng)站以竊取其機(jī)密資料。不過(guò)，如果你不在黑客的目標(biāo)名單中，當(dāng)你點(diǎn)入該連結(jié)，就只會(huì)看到“404 page not found”的信息，即無(wú)法找到該網(wǎng)頁(yè)。

顯然，這意味著攻擊者試圖從某個(gè)特定人群獲取資料，比如某個(gè)國(guó)家、某個(gè)特定公司。RSA在線威脅管理服務(wù)商業(yè)發(fā)展主管Daniel Cohen表示，這種重“質(zhì)”甚于量的數(shù)據(jù)竊取行為，在黑市上可能獲取更高的價(jià)值，而且這種攻擊可能是來(lái)自某個(gè)服務(wù)供應(yīng)商，而非獨(dú)立運(yùn)作的黑客。

截至目前為止，已經(jīng)偵測(cè)到南非、澳洲和馬來(lái)西亞的金融機(jī)構(gòu)有Bouncer list phishing的攻擊案例，在每一波攻擊中，平均會(huì)鎖定3000名左右的攻擊目標(biāo)。

RSA網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)詐欺專(zhuān)家Limor Kessem表示，這種手法就好像夜店出入管制一樣，如果你的名字不在邀請(qǐng)名單里，那你就會(huì)被控管進(jìn)出的保鏢拒之門(mén)外，這就是命名為Bouncer list phishing的原因。

這樣的手法也為安全公司帶來(lái)新的挑戰(zhàn)。由于只有特定的人可以看到釣魚(yú)網(wǎng)站，因此可以避免安全公司發(fā)現(xiàn)這些攻擊，并且快速的將網(wǎng)站下架。 Daniel Cohen表示，每天有上百萬(wàn)個(gè)URL，要發(fā)現(xiàn)這樣的攻擊簡(jiǎn)直就像是在大海撈針一樣。此外，Kessem指出，這種攻擊方式還可能結(jié)合魚(yú)叉式網(wǎng)絡(luò)釣魚(yú) (Spear phishing)、高級(jí)持續(xù)性滲透攻擊 (Advanced Persistent Threat，APT)…等攻擊行為，用戶不可不慎。

根據(jù)RSA統(tǒng)計(jì)，網(wǎng)絡(luò)釣魚(yú)威脅在過(guò)去一年來(lái)快速升溫，2012年的攻擊案例從2011年的近28萬(wàn)件成長(zhǎng)到44.5萬(wàn)件，增加幅度高達(dá)59%，造成15億美元的損失金額。另一方面，網(wǎng)絡(luò)釣魚(yú)技術(shù)在2012年依舊持續(xù)演進(jìn)，比較顯著的趨勢(shì)包括更實(shí)時(shí)的憑據(jù)驗(yàn)證，以及透過(guò)分析工具回傳攻擊是否成功。

zhangcun