近年来,随着Web3技术的出现,去中心化的方式促使互联网上的内容托管和访问方式都发生了巨大的变化,但这种模式也带来了诸多弊端,为攻击者创造了传播网络钓鱼和恶意软件的活动平台。在过去几年中,卡巴斯基观察到越来越多的网络犯罪分子利用IPFS(即星际文件系统)来传播恶意内容托管,已然成为“网络钓鱼的新温床”。
什么是IPFS?
IPFS是一种点对点的网络协议,旨在创建持久且分布式存储和共享文件的网络传输协议。IIPFS通过内容而不是位置来识别文件,并使用加密哈希而非URL或文件名来存储和分析文件数据。每个哈希都是一个唯一的内容id(CID),因此文件的分发和访问都变得方便、快捷,即使是在原文件处于脱机或不可用的状态下也同样如此。
此外,IPFS还使用内容寻址系统,文件中的任何更改都将导致出现不同的哈希值,这意味着存储在 IPFS 上的文件可以抵抗篡改和审查,并且可以重复使用跨文件的公共块以最小化存储成本。要实现对特定内容的访问,可以通过专用的应用程序编程接口或网关完成,用户只需一个网关主机名和文件的内容Id,例如https://gateway/ipfs/CID、https://CID.ipfs.gateway等。同时,IPFS通过哈希函数对数据进行加密,只有持有正确密钥的用户才能解密数据,即使数据库遭到黑客攻击,黑客也无法完全获悉用户的个人隐私文件。
基于IPFS的网络钓鱼攻击
在大多数的网络钓鱼攻击案例中,犯罪分子诱骗受害者点击恶意网络钓鱼电子邮件中伪装成合法链接的网页,以窃取受害者凭证、信用卡密码等敏感信息。而IPFS成为网络钓鱼“温床”的一个主要原因在于如今许多网络托管、文件存储或云服务都在使用IPFS,攻击者则可以通过其中的网络托管服务将其内容伪装成合法活动,在降低托管网络钓鱼页面成本的同时,也使得从互联网上删除欺诈性内容变得更加困难。
IPFS中的网络钓鱼页面难以清除
传统的网络钓鱼页面可以由 Web 内容提供商或页面所有者进行删除,该操作消耗时间的长短取决于托管主机。当提供商为非法托管服务提供商时,清理不良网站则更加困难,部分提供商甚至不会回应执法要求,也不会删除内容,直至采取强制措施。
而IPFS中的网络钓鱼页面更难删除,由于多个IPFS节点都可以托管内容,因此网络钓鱼页面可能在不确定的时间内保持在线状态,甚至持续数月。IPFS网关的提供商可以通过定期删除文件链接来防范欺诈性网页出现或者删除节点让网页无法托管,但相比于较慢,无法在短时间内完全清理。
据卡巴斯基的调查数据显示(如上图),截至2022年末,平均每天都会出现有 2000—15000 封 IPFS 网络钓鱼电子邮件,2023 年初平均每天会出现多达24000封电子邮件。
据其月度统计数据显示(如上图),2月份出现峰值,有近400000封钓鱼邮件,远多于去年。当前,电子邮件已经成为恶意连接、病毒木马的重要传播途径之一,因此企业机构必须尽早做好相应的防范措施,提高自身安全意识,加强技术性管理策略及防范手段,才能有效规避风险。
如何防范IPFS网络钓鱼威胁?
1、用户应该保持良好的上网习惯,不点击未知来源的陌生链接,不轻易泄露个人信息,安装查杀软件并开启实时保护功能以防止恶意软件感染系统。
2、实施多重身份验证以防止未经授权的访问,增强账户安全性,减少潜在的欺诈或身份盗窃行为。
3、通过反垃圾邮件解决方案将有助于检测IPFS网络钓鱼并阻止跳转链接。国内专注于邮件安全的厂商众多,例如Softnext守内安、网际思安等,还有许多包含邮件安全管理的综合性厂商,例如奇安信的网神邮件威胁检测系统、启明星辰的天清安全管理系统等,都能实现对邮件系统全面有效的保护。