讲在前面

本文对于IPFS如何进行网络钓鱼不做具体技术细节描述，笔者考虑到自身能力有限，为读者尽量短小精悍的描述什么是IPFS，IPFS在网络钓鱼当中的应用，以及介绍公开的一些关于利用IPFS进行网络钓鱼的案例。对本文有疑问或者对社会工程学感兴趣可以留言与我进行沟通。

是什么

特点：它是一个去中心化的存储方式、方便攻击者存储钓鱼文件(恶意木马、shellcode，钓鱼网站)、彻底删除难度大。

星际文件系统IPFS(InterPlanetary File System)，是一种 Web3 技术，目的是实现互联网上资源的去中心化存储。就像是一个全球的、去中心化的大型文件库，它的目标是使上的资源分散存储，而不是集中在某个单一的服务器或数据中心。

我们通过一个简单的例子来理解IPFS：

想象一下，你在一个大型的公共图书馆。在传统的互联网结构中，如果你想找一本书（比如，一份文件或数据），你必须到图书馆的特定位置去找这本书。这个位置就相当于一个集中的服务器或数据中心。如果这个位置突然关闭了（比如服务器宕机），或者这本书被移走了（比如文件被删除），你就无法找到你需要的书了。

现在，想象一下，如果这个图书馆是基于IPFS的。在这种情况下，每一本书的副本都分布在整个图书馆中，甚至有的读者手中也有这本书的副本。这样，即使原来的位置关闭了，或者原来的书被移走了，你仍然可以从图书馆的其他地方找到这本书的副本。

这就是IPFS的基本概念。它是去中心化的，因为文件不再存储在一个中心位置，而是分散在全球的计算机网络中。这样，即使某个节点（服务器）出现问题，数据仍然可以从其他节点获取，提高了数据的可用性和持久性。

此外，IPFS使用内容寻址而不是位置寻址。也就是说，你找的不再是文件在哪里（URL），而是文件是什么（基于文件内容生成的独特哈希值）。这也增加了系统的弹性和安全性，因为文件的内容不会因为位置的改变而改变。

这里我们用一个案例来解释一下位置寻址和内容寻址两个概念

1. 位置寻址：就好比你用地址找到某个人的家。这个地址（比如，“北京市中关村”）指向了一个具体的位置。这就像我们在网上通过URL（比如，“www.example.com”）找到某个文件或网页。如果那个人搬家了，或者那个网页的服务器变了，你就找不到那个人或那个文件了，因为你只知道他们原来的位置。

2. 内容寻址：现在想象，你并不知道那个人的地址，但你有一张他的照片。无论他搬到哪里，只要你看到他，你就能认出他。这就像IPFS的内容寻址，你通过文件的内容（或者说，文件的“照片”，即哈希值）来找到文件，而不是通过文件的位置。即使文件被移动到了另一个服务器，你仍然可以通过文件的“照片”（即哈希值）找到它。

所以，内容寻址就是通过文件的“照片”（哈希值）来找文件，而不是通过文件的“地址”（服务器位置）。这样，即使文件的位置变了，你仍然可以找到它。

这里我们还需要了解两个东西，内容标识符(CID)，网关(Gateway)，在IPFS网络中，当文件上传到这个网络中去时，会根据文件的内容生成一个唯一的CID，因为这个CID是基于文件的内容生成的。无论文件在哪里，无论文件的副本有多少，这个CID都是一样的，同时在IPFS中，网关是一种特殊的节点，它们知道每个CID对应的文件在哪里。当你想访问一个文件时，你只需要告诉网关这个文件的CID，网关就能帮你找到这个文件。

访问形式：https://网关/ipfs/CID 举例： https://ipfs.io/ipfs/QmYwAPJzv5CZsnA555s3Xf2nemtYgPpHdWEz79ojWnPbdG

注意

在这个例子中，“https://ipfs.io/ipfs/”是一个公共IPFS网关的地址，而“QmYwAPJzv5CZsnA555s3Xf2nemtYgPpHdWEz79ojWnPbdG”就是文件的CID。

除了可以使用公共IPFS以外，也可以自行建立专用IPFS网关节点来进行访问，参考IPFS官网如何建立自己的IPFS节点

做什么

前提

IPFS并不是一个新型的钓鱼手段，它只是为钓鱼提供了新型的存储方式。同时IPFS暂时不支持动态交互存储数据。因其去中心化的因素，导致当你上传文件到IPFS网络上后，再想彻底将其删除是比较困难的。

现在我们已经了解了IPFS的概念以及它的目标和作用，那么它在社会工程学上如何进行利用呢？

以往进行网络钓鱼，需要这样几个步骤：

1. 购买域名+VPS

2. 上传钓鱼网站到VPS，并在VPS上存储钓鱼网站收集的凭据

注意

这里第3步举例是收集凭据，也可以将它换成弹窗提示下载木马

简单的来说，只需要一个VPS一个域名即可，甚至有时候我们只需要一个VPS即可进行网络钓鱼。

那么这时候会遇到一个什么情况呢？

当防守人员溯源到VPS地址时通过主动或被动屏蔽以及向运营商投诉，来让VPS失效，删除VPS上部署的钓鱼文件，这样攻击手的成本加大并且耗费精力。

现在我们利用IPFS后，进行网络钓鱼就是如下几个步骤：

1.利用第三方IPFS服务商上传钓鱼网站

2.购买域名+VPS来存储钓鱼收集的凭据

现在我们将钓鱼网站和存储数据分开存储了，我们的钓鱼网站存储到IPFS网络中，根据IPFS网络的特性，即使防守人员知道文件的CID，也无法彻底删除和屏蔽这个钓鱼网站。所以攻击手不担心钓鱼网站会被屏蔽或删除。

但是需要注意的一点是，我们还是使用了一台中心化服务器来存储钓鱼收集到的凭据(如果你是上传木马或者shellcode，则没有这个需要),所以，当防守人员访问钓鱼网站时，通过分析网页的网络请求就可以找到后面存储凭据的VPS，然后进行深入溯源。

注意：

防守人员想要屏蔽,除非所有公共网关都屏蔽这个CID，但攻击者依旧可以自行创建一个专用网关来访问这个钓鱼网站，对于防守人员来说，目前只能被动屏蔽，而且具有滞后性。

根据已有的案例以及文章来看，主要两种方式

注意：这里笔者直接引用文章中的部分案例，读者可以自行阅读原文。

• Threat Spotlight: Cyber Criminal Adoption of IPFS for Phishing, Malware Campaigns

• 威胁情报:网络犯罪分子利用IPFS进行网络钓鱼和恶意软件活动

• IPFS：网络钓鱼的新温床

IPFS存储shellcode

IPFS存储钓鱼网站

受害者收到了一封钓鱼邮件，邮件内容提供了与DocuSign文件签署服务有关的PDF文件。下面是这样一个PDF的截图：

当受害者点击 "Review Document "链接时，他们会被重定向到一个看起来像是微软认证页面的页面。然而，该页面实际上是在IPFS网络上托管的

用户会被提示输入一个电子邮件地址和密码。然后，这些信息通过HTTP POST请求被传送到攻击者控制的网络服务器，在那里可以被收集和处理，用于进一步攻击。

小结

目前来看，除了IPFS这种存储方式以外，攻击者越来越多地使用Discord、Slack、Telegram、Dropbox、Google Drive、AWS 等合法产品来托管恶意内容或将用户引导至恶意内容，这使得网络钓鱼成为利润丰厚的主要初始产品之一访问向量。

IPFS只是为网络钓鱼提供了另一个存储选择，对于钓鱼手段并没有创新。对于笔者而言，吸引笔者的是一些新型钓鱼场景和形式，例如针对金融行业使用短信发送二维码进行钓鱼、针对IT人员使用情感类场景发送求偶进行钓鱼等等。

提一嘴关于网络钓鱼的情况，2023 年第 1 季度钓鱼邮件报告 5.624 亿封，环比增加 102％，根据电子邮件安全和威胁检测公司 Vade 公布的最新报告，2023 年第 1 季度共检测到 5.624 亿封，比上一季度增加 2.848 亿封，环比增加 102%。

其中今年 1 月是第 1 季度钓鱼电子邮件数量最多，达到了 4.885 亿封，恶意电子邮件数量为 5230 万封，环比下降了 7%，同比下降了 13%。

部分提供IPFS服务的平台

• infura.io

• filebase

• nft.storage

公开的公共网关列表

有兴趣可以加入我的群聊或者添加我的微信或者关注我的其他平台以了解我发布的关于社会工程学的想法和最新资讯。

知乎:https://zhuanlan.zhihu.com/p/604671786

B站:https://space.bilibili.com/326261964

微博:https://weibo.com/u/6017923053