瀏覽器指紋追蹤是網路釣魚網站作者用來逃避安全檢查,延長惡意活動壽命的許多手法之一。雖然瀏覽器指紋追蹤已被合法組織用於唯一識別網頁瀏覽器近15年,如今也常被網路犯罪分子利用:最近的一項研究顯示,有四分之一的釣魚網站都使用了某種形式的這種技術。
什麼是瀏覽器指紋追蹤
瀏覽器指紋追蹤利用各種客戶端檢查來確立瀏覽器身分,這些身分可用於檢測機器人或其他不受歡迎的網路流量。指紋追蹤過程可收集的數據包括:時區、語言設定、IP位址、Cookie設定、螢幕解析度、瀏覽器隱私設定、使用者代理字串等。
許多合法供應商都使用瀏覽器指紋追蹤來檢測濫用其服務的機器人和其他可疑活動,但網路釣魚網站作者也意識到了這種技術的好處,並利用它來避開可能將其網站標記為釣魚的自動化系統。通過實施自己的瀏覽器指紋追蹤控制來載入網站內容,威脅者能夠即時隱藏釣魚內容。
例如,Fortra觀察到,威脅者利用瀏覽器指紋追蹤來繞過Google廣告審查過程。因為Google的審查過程是半自動化的,所以實施瀏覽器指紋檢查允許威脅者識別Google何時查看其廣告目的地,而不是普通用戶。如果威脅者懷疑Google存在活動,就會顯示無害內容。這導致了釣魚報告被Google拒絕,因為無法檢測到釣魚內容。
瀏覽器指紋追蹤的實例
Cloudflare的機器人戰鬥模式是合法供應商使用瀏覽器指紋追蹤技術來識別和阻止機器人的一個例子。每次使用Bot Fight Mode載入網站時,下面的JavaScript代碼都會運行並將結果發送回Cloudflare。根據結果,您要么會遇到一個驗證碼,要么會被阻止。
有一個例子展示了在釣魚網站上實施的一個瀏覽器指紋追蹤檢查。在第一次載入時,該網站將執行以下編碼的JavaScript:
解碼後,安全團隊將看到它是經過混淆的,並可以從顯示的字符串推斷它正在請求許多瀏覽器屬性並運行測試以查看結果。
JavaScript運行完成後,它會生成一個指紋並將所有信息發送回釣魚網站,由服務器分析結果。根據分析結果,要么顯示無害內容,要么顯示釣魚網站。
在下面的例子中,大塊文本包含了大量關於訪問頁面的瀏覽器的數據。
這個指紋包含瀏覽器的每個屬性,包括屏幕尺寸、操作系統、GPU硬件、時區等許多其他數據點。所有這些信息集合起來可以很容易地確定瀏覽器是真實的還是模擬器。
以下示例包含的信息指向機器人活動:
A示例:Platform和UserAgent存在矛盾,表示UserAgent已被更改。
B示例:屏幕尺寸存在矛盾,內部值大於外部值。
C示例:時區偏移為0或UTC,表示來自服務器而不是客戶端系統的活動。GPU信息也透露這是一個Linux系統。
分析任何前述示例和信息都可以確定訪客是否為機器人。在上述釣魚網站的情況下,如果收集的數據表明它不是由真正的瀏覽器訪問,則會顯示無害內容。這種檢測可以識別任何現成的瀏覽器模擬,如Curl、Puppeteer、Selenium或無頭Chrome。
過去,爬蟲可以輕易地通過使用代理並更改其UserAgent來避免被檢測。然而,瀏覽器指紋追蹤非常有效地識別了這些自動化系統,允許網站作者根據結果改變網站內容。了解犯罪分子在指紋追蹤時收集的瀏覽器屬性對於安全團隊避免引起威脅者懷疑至關重要。
詳情請看: