侵防御是企業(yè)防護的第一道防線，盡可能的攔截更多的潛在威脅，為后端減輕壓力。

　　入侵方式

　　入侵前需要經(jīng)過偵察找到目標，然后經(jīng)過各種攻擊方法和技術(shù)進行滲透，從而達到控制目標系統(tǒng)，投放勒索軟件的目的，這些方法和技術(shù)包括但不限于釣魚郵件、網(wǎng)頁掛馬、暴力破解、漏洞滲透、社工等等。

　　偵察偵察為所有攻擊的最開始部分，就是想盡一切辦法和技術(shù)獲取攻擊目標的信息，包括信息資產(chǎn)、組織結(jié)構(gòu)、技術(shù)架構(gòu)等，目的是搜集到足夠的信息用于下一步的入侵動作。常見的偵察技術(shù)包括利用互聯(lián)網(wǎng)信息、調(diào)查研究、通過主動掃描等;這里舉幾個常見的方式，比如：

　　利用互聯(lián)網(wǎng)信息：通過對目標組織的域名進行Whois信息查詢，獲取IP地址等信息資產(chǎn);通過對網(wǎng)站的網(wǎng)頁代碼進行分析，包括采用的技術(shù)，甚至在HTML源碼注釋中發(fā)現(xiàn)更有價值的信息;通過社交媒體等獲取目標公司信息;通過搜索引擎獲取公開的信息，并把這些所有信息片段組合成有價值的信息，為下一步動作做準備。

　　通過主動掃描：知道了目標組織的主機等暴露面信息，有太多公開的方法和工具來進一步探測開啟的服務(wù)以及可利用的漏洞信息，比如Nessus、Acunetix、Nmap等商業(yè)或者免費的工具。

　　除了上面常見的方法，還有很多可利用的技術(shù)，比如被動監(jiān)測獲取組織的網(wǎng)絡(luò)及應(yīng)用信息，通過社會工程學獲取有價值的信息，防不勝防。

　　釣魚郵件釣魚郵件是攻擊者最喜歡使用的一個社工方式了，釣魚郵件指利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復給指定的接收者;或引導收件人鏈接到特制的網(wǎng)頁，這些網(wǎng)頁通常會偽裝成和真實網(wǎng)站一樣，如銀行或理財?shù)木W(wǎng)頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取;或者誘導用戶打開惡意附件或者點擊郵件中的惡意鏈接下載惡意軟件，進而控制用戶的主機，如果這些惡意軟件是勒索軟件，直接就被勒索了，短平快。

　　掛馬網(wǎng)頁掛馬網(wǎng)頁同釣魚郵件一樣，在用戶不知情的情況下，點擊訪問了一個被掛馬的惡意網(wǎng)頁，稍有不慎網(wǎng)頁就可通過瀏覽器把病毒植入用戶主機，達到控制用戶主機的目的;掛馬網(wǎng)頁可以利用瀏覽器的漏洞來控制系統(tǒng)，也可以誘導用戶直接下載惡意軟件來使用戶中招。

　　暴力破解暴力破解也是攻擊者優(yōu)先嘗試的一個攻擊手段之一，也是最經(jīng)濟有效的攻擊手段之一，顧名思義，暴力破解就是不斷用已經(jīng)準備好的用戶名/密碼(業(yè)內(nèi)叫字典)來嘗試登錄遠端系統(tǒng)，包括遠程桌面、Linux服務(wù)器的SSH管理口、數(shù)據(jù)庫等，并且可以通過自動化工具(如Hydra)來進行暴力破解，甚至通過僵尸網(wǎng)絡(luò)、代理服務(wù)器集群來進行分布式的暴力破解，防不勝防。

　　漏洞滲透漏洞滲透就是利用系統(tǒng)、軟件等漏洞，構(gòu)造特殊的流量，達到靜悄悄滲透到目標系統(tǒng)，從而控制系統(tǒng)的目的。漏洞最常見的標識就是CVE編號，是由NIST維護，在中國各個漏洞的統(tǒng)一編號是CNNVD，由中國信息安全測評中心運營維護。下圖為CVE漏洞數(shù)量趨勢圖，從圖上可以看出，近年漏洞數(shù)量呈快速增長趨勢。雖然不是每個CVE都可被利用或者造成嚴重后果，如控制主機等，但即使有10%可以被利用，這數(shù)量也是很大的，更何況還有一些系統(tǒng)、軟件漏洞被沒有被收錄到CVE或者CNNVD，尤其是一些網(wǎng)站的邏輯漏洞，如SQL注入漏洞，詳細可參考OWASP TOP10項目。

　　說到利用漏洞進行滲透利用，各個攻擊者就各顯神通了，準備攻擊工具的階段叫武器化，有各種自動化工具，比如流行的Metasploit可使用;還有強大的如Equation Group組織的工具，掀起勒索病毒新浪潮的WannaCrypt病毒就是利用其發(fā)現(xiàn)的EternalBlue漏洞被利用的成果。

　　其他除了上述提到入侵手段，還有其他各種意想不到方法和技術(shù)，比如通過U盤把木馬病毒傳遞進去，通過泄露的賬號密碼進入，通過替換供應(yīng)鏈進入等等。

　　防御方案

　　針對上述五花八門的入侵方式，首先企業(yè)自身要進行安全防護措施的加固，包括管理和技術(shù)：

　　限制公開的企業(yè)信息，包括網(wǎng)絡(luò)架構(gòu)、人員組織、技術(shù)等

　　關(guān)閉未使用的公開端口、服務(wù)

　　隱藏返回的服務(wù)器錯誤信息

　　及時對企業(yè)系統(tǒng)、軟件打補丁

　　部署防火墻、入侵防護設(shè)備

　　其中，防火墻、入侵防護(IPS)等網(wǎng)關(guān)設(shè)備作為抵擋攻擊的第一道防線，發(fā)揮著重要作用。

日

昆明警方公布了兩個

關(guān)于不法分子利用電話來電或發(fā)送短信

冒充培訓機構(gòu)客服人員

為受害人辦理退費

進行詐騙的真實案例

昆明已經(jīng)有人上當！

短信都是一模一樣的！

真實案例

案例1

今年7月份，昆明的楊某在應(yīng)用商城下載的“XX網(wǎng)校”上買了一節(jié)3188元的環(huán)境影響評價師高端私教套餐，但之后一直沒有時間學習。

11月27日早上，楊某收到來自電話“00790659923169005699”的短信，稱可以退還其購買的課程費用并讓他加入QQ群了解。

楊某原本也想著購買了也沒時間學習，有機會的話就退掉，于是就按照對方的提示添加了退款的QQ群。

楊某加入群聊后，群里一共有40多名成員，大家七嘴八舌地詢問什么時候可以退款，會以什么方式退款……

此后，負責退費的“客服”開始教大家進行退費操作，并在群里發(fā)了一個鏈接“https://eaicbp.org/xgBb.html”，讓大家先下載一個叫“XX證券”的App，并在該APP里添加了一個叫“XX證券--安然”的好友。

對方稱需要在該App內(nèi)，購買相應(yīng)的證券，待證券增值后即可提現(xiàn)獲取利益，其收益用于抵消他要退款課程的金額，并一再承諾證券絕對會增值。

楊某聽信了對方的話，就按照對方的提示購買證券。

可購買成功后，對方又以楊某操作失誤導致數(shù)據(jù)丟失，需要繼續(xù)交納才能提現(xiàn)為由，讓楊某繼續(xù)轉(zhuǎn)賬。

在對方的忽悠下，楊某先后共向?qū)Ψ街付ㄙ~戶轉(zhuǎn)賬3次，共計62800元。

此后楊某想去群里問個究竟，可對方已經(jīng)將群設(shè)置為全員禁言模式。楊某無法再聯(lián)系到對方，這才發(fā)現(xiàn)自己被騙了，慌忙報警。

案例2

無獨有偶，昆明的吳某某也遭遇了相同的騙局。

11月6日早上，吳某某收到一條號碼為“00551051023976”發(fā)來的短信，對方稱之前在“xx機構(gòu)”繳納的學費可以全額退款。

之后吳某某在對方的提示下，添加一個QQ群，并下載注冊了XX證券。

在對方的誘導下，吳某某向?qū)Ψ教峁┝怂膫€人信息，并向?qū)Ψ睫D(zhuǎn)賬6580元用于購買證券。

可轉(zhuǎn)賬成功后，對方稱由于吳某某操作失誤，需要再繳納48380元后才可修復。

吳某某意識到自己發(fā)現(xiàn)被騙了，立即報了警。

套路解析

1不法分子利用電話來電或發(fā)送短信，謊稱自己是培訓機構(gòu)客服人員，以各種理由為受害人辦理退費，誘導受害人添加好友或加入QQ群。

2添加好友或進群后，不法分子會偽裝成退費客服專員，貼出偽造課程繳費記錄等騙取受害人信任。

3在騙取被害人信任后，不法分子誘導被害人下載注冊App，在App內(nèi)“押大小”或者購買公司的(債券/股票/證券)等產(chǎn)品，以投資返現(xiàn)的形式進行詐騙。

4剛開始返還部分資金，待受害人大額轉(zhuǎn)賬后，便以賬號凍結(jié)、手續(xù)費等各種理由不返現(xiàn)，要求繼續(xù)轉(zhuǎn)賬，直至受害人意識到詐騙后拉黑或關(guān)閉平臺。

警方提醒

1、凡是“00+”開頭的電話號碼或是歸屬地為境外的電話大都是詐騙電話，不要輕易相信；

2、收到不明消息要第一時間通過官方途徑證實真?zhèn)危幻麈溄硬稽c、陌生App不下；

3、不要向任何陌生賬戶轉(zhuǎn)賬匯款，凡要求先交錢再退款的都是騙子；如遇詐騙，請保存好相關(guān)證據(jù)并及時撥打110報警。

轉(zhuǎn)自：昆明反電信網(wǎng)絡(luò)詐騙中心

來源： 掌上春城