网络钓鱼手法不断有新变化,电子邮件虽然还是典型的钓鱼媒介,但也出现越来越多网络钓鱼攻击的渠道。随着网络的普及化,线上广告对于商业世界来说,是很重要的宣传模式,却也不小心被攻击者盯上,成了攻击的媒介,便出现了以广告作为散播恶意软件的方法,而且在近年更是有多起事件发生。
这样的攻击模式,被称为恶意广告(Malvertising),其实是由Malicious advertisement转变而来的一个通称。广义而言,就是一种通过广告来完成恶意攻击的手法,而以狭义而言,会因不同的攻击策略而有不同的定位。但主要的目的,都是希望不备受害者发现异状,进而能够散播恶意软件。
例如,在2009年,纽约时报的网站曾出现恶意广告,在读者浏览新闻页面时,会弹出病毒警告,宣称读者的计算机已受感染,诱使受害者下载广告的安全软件,然而,纽约时报在当时表示,那些合法广告,被转换成病毒警报的恶意广告,是与自第三方合作的全国性广告供应商有关。
而同样与第三方广告平台有关的例子,还有Spotify在2011年发生的事件,Spotify免费版的用户,在无需点击广告下,通过偷渡式下载的方式,将恶意软件安装在用户的Windows计算机。而当时有安全人员发现,攻击者是利用Blackhole Exploit Kit工具来进行攻击,甚至Spotify在背景播放时,也会进行感染。而Spotify在2016年又传出一次类似的事件,连MacOS与Linux操作系统的用户也受害。上述这些事件中,会发现问题多出于第三方广告平台,或许这也代表着其审查机制有问题。可惜,在这些事件中未提及真正原因。反而,安全人员有提到因为有计算机漏洞,进而导致恶意软件更容易被植入受害者计算机。
此外,恶意广告在近年来,还结合重定向恶意网站的攻击事件,也是通过合法平台渗透至受害者计算机。例如,在2015年,曾发生雅虎的广告网络(ads.yahoo.com)被入侵,受害者在点击广告后,会被重定向攻击者利用攻击组件产生的恶意网站。
而在近期,也出现了类似事件,攻击者先以合法版本的移动App在Google Play商店中上架后,再置换成恶意版本,在受害者更新版本后,进而感染。由此可知,利用恶意广告的攻击不计其数,未来可能还会有更多的新兴手法产生