如何使用IP地址定位和停止钓鱼威胁 – 作者:郑州埃文科技

IP地理位置在商业领域是一个至关重要的数据点。例如，了解网站访问者和潜在客户的位置，可以让组织的营销团队制定比大型活动更有效的目标营销活动。电子邮件和网站内容可以根据目标的IP地址进一步个性化。此外，IP地理位置数据加强了公司的威胁情报和网络安全项目。

基于位置的目标定位在市场营销、广告、网络安全和其他业务流程中效果很好，但它也为网络罪犯服务。基于位置的网络攻击也存在。在这篇文章中，我们探索了一些网络罪犯根据用户的位置锁定用户的方法。

有人可能会问，就网络风险而言，地理位置真的很重要吗?对所有连接到互联网的用户来说，威胁不应该是相同的吗?答案是否定的。网络犯罪集团倾向于创建受害者档案，就像广告商创建目标市场档案一样。而IP地理位置数据在参与者将对你使用何种攻击和武器威胁中扮演着至关重要的角色。

例如，在瑞典，最流行的一种网络威胁是“网络钓鱼”，即语音电话网络钓鱼。有人伪装成信誉良好的公司的代表，打电话给受害者提供技术支持。在这个过程中，打电话的人要求远程连接到受害者的电脑，这样网络犯罪分子就可以窃取敏感信息或植入恶意软件。其他犯罪分子假装是银行的代表，因此可以说服受害者分享机密信息。

有了目标受害者的IP地址，网络罪犯可以收集更多的细节，如下面的IP地理定位API截图所示。

除了受害者的位置，威胁参与者还可以确认用户是否确实为他们的目标组织工作。例如，IP地理定位API显示，IP地址为192[.]176[.]161[.]。是与域webchat[.]关联的。如果网络罪犯将目标锁定在MySecuritas上，他们将知道他们可以使用他们获得的IP地址。

虽然网络钓鱼并非瑞典独有，但这是瑞典最关注的两大问题。为什么会这样?当然，网络罪犯做了功课。例如，根据世界价值调查(World Value Survey)，在信任他人方面，瑞典仅次于挪威，位居第二。大约63.76%的瑞典人认为“大多数人都是可以信任的”。其他因素也会起到一定作用，比如这个国家很富裕，而且瑞典人在全球最富裕的人群中排名第五。这将为网络罪犯带来更可观的经济收益

然而，在巴西，只有6.53%的人表示可以信任大多数人，你可能很难发现网络钓鱼是攻击的载体。取而代之的是，网络安全问题最初会涉及恶意浏览器扩展和插件。公共无线网络也可能成为网络罪犯的入口，因为该国大多数成年人都依赖这些网络连接。因为威胁行动者知道巴西人很少会信任那些突然给他们打电话的人，所以他们会采取更狡猾的方法，躲在看似无害的浏览器插件和不安全的公共Wi-Fi后面。

威胁参与者都知道，里约热内卢de Janeiro是巴西的主要城市之一，有免费无线网络连接。它有7,243个免费Wi-Fi热点。其中一个热点的IP地址可能是139[.]82[.]255[.]255。因此，网络罪犯可以根据这些数据点发动攻击。例如，绘制IP地理定位API返回的纬度和经度，可以将威胁参与者指向城市中的特定区域。

日本约有28.2%的人口年龄在65岁以上。日本的人口也大多是富裕的。因此，威胁分子一直通过资金转移诈骗来瞄准这个国家。在这种情况下，罪犯会告诉受害者家里发生了紧急情况，他或她需要立即转移一些钱。

2019年，警方创下9542起此类案件的新纪录，其中大部分涉及针对老年人的转账诈骗。东京一名70岁的妇女是受害者之一。她损失了140万日元(约合1.3万美元)。

有了IP地理定位API，就很容易看出威胁者是如何瞄准漏洞的。IP地址59[.]146[.]120[.]0会告诉罪犯用户来自日本三重市的Yokkaichi，那里有好几家养老院。

我们可以举出更多的国家来证明你的地理位置对网络罪犯很重要。IP地理位置数据确实是威胁行动者的工具。

当网络犯罪分子开发恶意软件时，他们会考虑目标档案和IP地理位置。例如，在巴西，大多数互联网用户都在使用谷歌Chrome和Mozilla Firefox，网络犯罪分子会针对这些浏览器创建恶意软件插件。这与那些为英国和其他国家生产右手驾驶汽车的汽车制造商没有什么不同，他们的司机只能靠左边行驶。

因此，网络安全版图由专门针对特定地区设计的不同恶意软件组成。下面我们列举了一些恶意软件。

网络罪犯通常以富裕国家为目标进行勒索软件攻击。毕竟，这些国家的公民和组织更有可能支付这些费用。例如，在美国，雇佣150-250名员工的小企业主中，有74%愿意花钱恢复他们的数据。

基于位置的勒索软件的一个例子是Locky。该勒索软件重命名了受害者所有的文件，并在加密后将扩展名锁定。还有丹麦文、中文和葡萄牙文。有趣的是，如果勒索软件检测到受害者喜欢的语言是俄语，它会将自己从受感染的设备上删除。

针对银行和金融部门的恶意软件也有地理定位的目标。例如，Dridex银行木马在攻击了欧洲银行之后，一直在攻击美国的银行账户。另一方面，在德国，前一年发生了大量达纳伯特袭击事件。

ZBot是一款类似宙斯木马的Android银行恶意软件，从2015年开始针对俄罗斯用户。然而，不久之后，我们就在澳大利亚、加拿大、意大利、西班牙、美国和英国看到了有关它存在的报道。

IP地理定位数据，就像任何其他形式的智能一样，是一把双刃剑。用户可以从这些信息中获益，比如在向客户提供个性化内容和无麻烦的电子商务体验时。另一方面，威胁行动者可以使用相同的IP地理位置数据，通过使用基于位置的恶意软件，发动地理定位攻击。

由于没有一种方法可以控制和预测网络罪犯的行为，infosec团队可以通过确保他们的网络受到良好的保护，免受恶意软件的入侵来跟上形势。培训员工识别各种形式的网络钓鱼和其他攻击也是有益的，因为有时候，不知情的员工可能是网络安全链中最薄弱的一环。

来源：freebuf.com 2020-11-27 15:39:18 by: 郑州埃文科技