编者按:当前网络诈骗花样层出不穷,就像是不断更新迭代的“病毒”,虽然“疫苗”研制出来了,但似乎总会出现新型的“病毒”。此次 Google 有效攻克网络钓鱼,终究让人松了一口气。Wired 在题为“Inside Google’s Global Campaign to Shut Down Phishing”中细致分析了 Google 是如何一步步打赢这场反钓鱼诈骗的硬仗的。
5 月初,网络上涌现出许多网络诈骗,它们伪装成 Google 文档请求,有的电子邮件甚至伪装成熟人身份。只要受害者点击并授予看似无害的权限,他们的整个 Gmail 帐户信息就会暴露无疑。
Google 的反技术滥用总监 Mark Risher 说:“我们组建了战争反应室,将人们聚集在现实的房间里。当然,我们公司其他分部的各领域专家也会很快聚集起来”。
Google 成为攻击的靶心,安全防御亟待提高
不幸的是,这种危机对 Google 来说早已是家常便饭。Google 坐拥巨大的用户群,在网页上留下了的足迹众多,因此且不说其他方式的黑客攻击,Google 的服务和客户都已成为钓鱼攻击的靶心。但话又说回来,钓鱼也是个棘手难题,演进速度极快,很难通过设计进行侦察。
Gmail 反滥用团队的项目经理 Sri Somanchi 表示:“恶势力处心积虑搞破坏,我们更应艰苦抗战、奋勇向前,因为我们一丁点的疏忽都会给用户带来莫大的损失”。
加大技术防御,捍卫名声与光荣
当 Google Docs 受到网络钓鱼的攻击时,0.1% 的 Gmail 用户,即约 100 万个帐户都会受到影响。Google 反技术滥用团队采取应对措施,首先进行信息分享,然后在全球各地的 Google 办公室进行传送,确保 24 小时覆盖。
“目前一个团队专门负责 Gmail 入站,努力确保电子邮件信息不会泄露,”Risher 说。“还有一个团队负责处理帐户滥用模式,查看谁正在使用已被访问的凭据。第三个团队则监测信息的传播。”
在几个小时内,Google 遏制了网络钓鱼攻击的进一步传播。一天之内,Google 将反钓鱼安全警告扩展到 Android 的 Gmail 上。
在这次战争中,Google 使用了其最近几年来新推出的反钓鱼和威胁警告工具,如 Chrome 扩展密码警报。如果它认为用户刚刚将 Google 用户名和密码输入冒牌登录页面,则会发出警告。Google 还宣布要针对企业用户提供新的网络钓鱼保护措施,包括在企业用户尝试向公司外部发送数据时发出警告,以及提供其他防止勒索软件的保护措施。
Google 致力于尽可能地降低用户做出安全选择和防止上当的难度,但公司的重点是采用技术解决方案,即无缝实现最少的用户购买。一些网络钓鱼专家认为,强化用户培训是阻止网络钓鱼的关键所在,但是用户培训公司 PhishMe 的首席技术官 Aaron Higbee 表示:“我们要充分利用技术手段,至少 Google 必须这样做。”专注于技术解决方案可以发挥 Google 的优势。
如果用户在 Chrome,Android,Search 和 Gmail 上访问或下载恶意网页,Google 的安全浏览基础设施则会显示警告消息。Google 还为第三方开发人员提供了安全浏览功能,例如 Firefox 和 Safari 浏览器。Google 在其广告服务中使用安全浏览来捕捉试图宣传恶意内容的广告。总之,Google 表示,安全浏览每天都造福了 20 亿个设备。
安全浏览警告给长期忧心电子威胁的互联网用户吃了一粒定心丸。但对 Google 来说,这是推进了十多年的长期投资项目。Google 为其旗舰搜索引擎搜索互联网时,它会使用该数据来标记携带社会工程攻击、恶意软件、网络钓鱼广告系列等的恶意网页。
“很多用户接触安全浏览主要是通过一张大大的红色警告页面。”安全浏览团队领导的 Allison Miller 说道。但警告页面背后看不到的是多少辛勤的付出,以及多少艰巨的挑战。
“我们必须守卫每扇门,每个窗,每个开放口。而坏人只需突破其中一个”,Risher 说,“在大事不妙的时候,要努力防止事态进一步恶化,这可能很艰难,但名声和荣耀大多都来源于此。
防御最前线,采用多层次保护的深度防御战略
数以百计的 Google 员工在各个层面上开展安全防范和反滥用工作。他们的做法取决于多层次保护的深度防御战略。
钓鱼者和用户 Gmail 帐户之间的第一层防御是一种自动化的批量过滤过程,它利用安全浏览和其他黑名单工具来阻止大量的垃圾。在阻止 Gmail 发送到用户之前,Google 会拦截发送到 Gmail 电子邮件量的 90%,这还不包括垃圾箱中的内容。
Somanchi 说:“这很多都是通过维护世界各地发信人的声誉来实现的,在不断收到的电子邮件中计算出数千个电子邮件属性的声誉,然后我们使用这些声誉来预先确定发件人是否合法。”Google 还会扫描错误的链接,这意味着如果用户不小心向 Gmail 朋友发送了已知的网络钓鱼链接,这封电子邮件将不会被传送。
Google 会将第一个剪辑的信息作为更重要的过滤选项,Gmail 则会在此期间查找模拟和伪造的信息,因为这决定了是否将某一邮件移入垃圾箱或是收件箱。 在不确定的情况下,Gmail 会让该邮件通过,但会添加警告,表示这可能是从某个受损帐户发送过来的。
同样,如果 Gmail 没有足够的信息来对电子邮件做出最终决定,那么可能会提供保护措施,例如添加警告并禁用电子邮件的链接或附件。Gmail 依靠的不是一两个修复措施,而是提供图层。
“若坏人获知了用户的密码,他们也仍然无法使用,即使能使用,那也是我们持续的基于风险认证的一部分”,Risher 说。
灰色地带,不要走极端
Google 员工说,网络钓鱼防范和反滥用的最大挑战一般在于处理潜在的恶意内容。“你必须调整应对措施,确保不会阻止所有灰色地带的人”,Risher 说,“了解当前不利情况很重要,但也要适应良好的活动,即正常合法的活动,而不是走到另一个极端,这最终会损害广泛的[Google]生态系统。”
Somanchi 表示,垃圾邮件和网络钓鱼识别中有 95% 来自机器学习。而且在过去几年中,这些 Gmail 机制已经发展成为将传统的监督学习(其中使用大数据集训练的算法)与更新的无监督学习技术相结合,其中算法会从恶意程序中判断哪些为合法输入。“虽然普通电脑会作出非黑即白的武断决策,但是深入的学习大大提高了主观性,并且更接近真实性”Risher 说。
Google 还强调,利用机器学习也有助于保护用户隐私。Miller 说:“这些系统是对聚合数据进行操作的,而且这些工作完全中没有人能了解对潜在的私人信息。我们将集中注意力,识别攻击者及其方法,安全浏览和反网络钓鱼防御系统会识别出攻击模式的共同点。
编译组出品。编辑:郝鹏程