全面解析“網(wǎng)絡釣魚”式攻擊

■張建國

全面解析“網(wǎng)絡釣魚”式攻擊

■張建國

什么是網(wǎng)絡釣魚

網(wǎng)絡釣魚（Phishing）一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了”Phishing”。

“網(wǎng)絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內(nèi)容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應。

在美國和英國已經(jīng)開始出現(xiàn)專門反網(wǎng)絡釣魚的組織，越來越多在線企業(yè)、技術公司、安全機構加入到反“網(wǎng)絡釣魚”組織的行列，比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃，微軟還捐出4.6萬美元的軟件，協(xié)助防治“網(wǎng)絡釣魚”。

用戶自衛(wèi)指南

一、普通消費者：

安全專家提示：最好的自我保護方式是不需要多少技術的。

1.對要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件不予理睬。

2.更重要的是，不要回復或者點擊郵件的鏈接——如果你想核實電子郵件的信息，使用電話，而非鼠標；若想訪問某個公司的網(wǎng)站，使用瀏覽器直接訪問，而非點擊郵件中的鏈接。

3.留意網(wǎng)址——多數(shù)合法網(wǎng)站的網(wǎng)址相對較短，通常以.com或者.gov結(jié)尾，仿冒網(wǎng)站的地址通常較長，只是在其中包括合法的企業(yè)名字（甚至根本不包含）。

4.避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁，將敏感信息輸入隱私保護，打開個人防火墻。

5.使用網(wǎng)絡銀行時，選擇使用網(wǎng)絡憑證及約定賬戶方式進行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。

6.大部分的“網(wǎng)絡釣魚”信件是使用英文，除非你在國外申請該服務，不然應該都收到中文信件。

7.將可疑軟件轉(zhuǎn)發(fā)給網(wǎng)絡安全機構。

最后提醒一句，不幸中招者最好盡快更換密碼和取消信用卡。

二、商業(yè)機構

1.為避免被“網(wǎng)絡釣魚”冒名，最重要的是加大制作網(wǎng)站的難度。具體辦法包括：“不使用彈出式廣告”、“不隱藏地址欄”、“不使用框架”等。這種防范是必不可少的，因為一旦網(wǎng)站名稱被“網(wǎng)絡釣魚”者利用的話，企業(yè)也會被卷進去，所以應該在泛濫前做好準備。

2.加強用戶驗證手段，提高用戶安全意識。

3.及時處理用戶反饋，積極打擊假冒網(wǎng)站和其他相關的違法行為?？蛻糁行膶︻愃啤盀槭裁疵看蔚顷懚嫉幂斎雰纱钨~號和密碼？”之類的投訴，就要想到是否有“網(wǎng)絡釣魚”的可能，因為“網(wǎng)絡釣魚”者通?！敖俪帧钡谝淮螖?shù)據(jù)，而用戶再一次登陸才進入了真正的頁面。

4.當然，安裝殺毒軟件和防火墻、及時升級、打補丁、加強員工安全意識、與安全廠商保持密切聯(lián)系等都是必不可少的。

最后也要提醒一句，一旦出現(xiàn)被仿冒的情景，首先企業(yè)應該把詐騙網(wǎng)頁取下來。有些時候，這并不是一件簡單、快捷的工作。

應對篇

步驟1：教育

在美國《網(wǎng)絡世界》所做的采訪中，任何一家大型在線企業(yè)都將“對用戶進行適當教育”放在應對“網(wǎng)絡釣魚”舉措之首?；ㄆ煦y行在主頁的底部設有一個明顯鏈接，以提醒用戶注意有關電子郵件詐騙的問題。

“網(wǎng)絡釣魚”也是“愿者上鉤”，之所以不斷發(fā)生，就是人們防范觀念淡薄。如果大家的安全意識永遠只停留在現(xiàn)在的話，那么“網(wǎng)絡釣魚”事件一定會越來越多。王紅陽說：用戶安全意識的提高能降低“網(wǎng)絡釣魚”的風險，嚴格執(zhí)行的安全策略、良好的安全習慣、安全技術的提高，可以大幅度減少“網(wǎng)絡釣魚”成功的幾率。

但是記者在完成這篇稿子之前，瀏覽了不少國內(nèi)商業(yè)網(wǎng)站，并沒有發(fā)現(xiàn)關于“網(wǎng)絡釣魚”甚至是關于安全方面的顯著提示，當然也沒有看到一些驗證手段。

在美國和英國已經(jīng)開始出現(xiàn)專門反網(wǎng)絡釣魚的組織，比如去年11月成立的APWG和今年6月成立的“Trusted Electronic Communications Forum（TECF）”，它們致力于教育用戶的目的是終止——至少是降低“網(wǎng)絡釣魚”的攻擊。

步驟2：驗證

除了教育外，在線品牌還應當通過簡單、易用的方式對合法的電子郵件進行驗證。常被人冒充的eBay發(fā)出警告稱，即使發(fā)信人寫的是“support@ebay.com”和“billing@ebay.com”等內(nèi)容，也不見得就是來自eBay的郵件。

因為“網(wǎng)絡釣魚”也是一種垃圾郵件，所以人們可以運用相同的垃圾郵件處理工具對網(wǎng)頁和電子郵件進行過濾。趨勢科技將推出IWSS 2.0，包含名為PhishTrap的反釣魚技術，利用詐編網(wǎng)站特征數(shù)據(jù)庫來過濾電子郵件。

此外，銀行在發(fā)出的電子郵件里啟用了數(shù)位電子簽名，現(xiàn)在技術的發(fā)展，讓“驗明正身”更加簡單，一旦網(wǎng)絡釣魚者試圖偽造一個數(shù)字簽名，收件人就會收到一條警告信息。當然，用戶必須學會識別電子簽名。

遠期的全球驗證項目包括發(fā)送者策略框架（Sender Policy Framework）、Yahoo DomainKeys建議和微軟的 Caller-ID。但是，這些方法要想完善起來尚需時日，而且需要得到在線企業(yè)的100%完全認同。

步驟3：確認

Web站點也需要利用某些確認機制來證明自己的合法性。因此，專業(yè)身份確認企業(yè)CoreStreet最近在其Web站點上貼出一種被稱為Spoofstick的免費瀏覽器助手。當用戶在合法的站點，請注意在URL框的下方會出現(xiàn)一個明顯的注釋，并顯示“You're on ebay.com?！比绻脩舯或_到了一個偽造的站點，該注釋便會顯示“You're on 10.19.32.4?！?/p>

eBay已經(jīng)為它的工具欄添加了一項新的服務，稱為賬戶保鏢。這項服務可以告訴用戶是否處于eBay和PayPal的合法站點上。如果當用戶將eBay的口令輸入到未經(jīng)確認的網(wǎng)站上時，eBay還會進一步向用戶發(fā)出警告信。

步驟4：阻斷

有些ISP還可以阻止用戶被引導到名聲不好的Web站點上。例如，當AOL的客戶報告自己收到了垃圾郵件，那么包含在這封垃圾郵件中的鏈接都將被添加到一個受阻站點列表中。當用戶點擊這些鏈接，它們顯示出的都是錯誤頁面。但這一技術也有可能阻斷那些提供真正商業(yè)服務的合法鏈接。

美國EarthLink于4月19日推出了具有防止“網(wǎng)絡釣魚”功能的工具條，當用戶試圖訪問確認的詐騙網(wǎng)站，該工具條將會發(fā)出警告，并且將用戶重定向到EarthLink公司的WWW網(wǎng)頁。而以防堵網(wǎng)站存取起家的Websense，也將“網(wǎng)絡釣魚”或惡意網(wǎng)站列入防堵項目之一。

步驟5：監(jiān)視

EarthLink還使用一種服務。當有人注冊與自己公司類似的品牌時，該服務便會發(fā)出警告。目的是確認該網(wǎng)站是否會通過‘網(wǎng)絡釣魚’的方式冒充EarthLink?！?/p>

美國萬事達國際信用卡公司和NameProtect公司6月21日宣布為打擊“網(wǎng)絡釣魚”建立合作關系，利用NameProtect實時檢測網(wǎng)上犯罪的技術，監(jiān)視域名、Web網(wǎng)頁、公告板以及垃圾郵件等。監(jiān)視可以使受害者的數(shù)量大幅度減少。

認識篇

手段：威逼利誘

“網(wǎng)絡釣魚”利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內(nèi)容。

“網(wǎng)絡釣魚”的主要伎倆在于仿冒某些公司的網(wǎng)站或電子郵件，然后對其中的程序代碼動手腳，如果使用者信以為真地按其鏈接和要求填入個人重要資料，資料將被傳送到詐騙者手中。

趨勢科技“PhishTrap（反網(wǎng)絡釣魚陷阱）”成員R ichard_Cheng解釋說：“當這些網(wǎng)絡詐騙者將餌(電子郵件)撒到互聯(lián)網(wǎng)之后，就靜待受騙者上鉤?！备鶕?jù)Gartner的統(tǒng)計，由于詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，所以在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局作出響應。

詐騙者通常采用“威逼利誘”手段制造出各種名目的“主題”。比如最早引起廣泛關注的“網(wǎng)絡釣魚”事件，是去年11月出現(xiàn)的M imail.J病毒，偽裝成由Paypal網(wǎng)站寄出的信息，表示收件者的賬戶將在5個工作日后失效，要求用戶更新個人信息，才能重新啟動賬戶。再比如7月20日，一惡意網(wǎng)站偽裝成聯(lián)想主頁，前者將數(shù)字1取代英文字母L，利用多種IE漏洞種植木馬病毒，并散布“聯(lián)想集團和騰訊公司聯(lián)合贈送QQ幣”的虛假消息，誘使更多用戶訪問該網(wǎng)站時造成感染。

現(xiàn)狀：上鉤者眾

最近一年以來，“網(wǎng)絡釣魚”在美、英等國家變得非常猖獗,數(shù)量急劇攀升。據(jù)Gartner公司最近的一項調(diào)查表明，有5700萬美國消費者收到過此類仿冒的電子郵件，由此引起的ID欺詐盜竊給美國銀行與信用卡公司的用戶造成的直接損失在去年達到了12億美元。

垃圾郵件過濾公司Brightmail的數(shù)據(jù)表明，過去9個月中，全球Phishing郵件總量增長迅猛，于今年4月達到31億封。據(jù)英國安全機構M I2G報告，去年，有250多起針對主要銀行、信用卡公司、電子商務站點以及政府機構的“網(wǎng)絡釣魚”攻擊。

根據(jù)反網(wǎng)絡釣魚組織APWG（Anti-Phishing Working Group）最新統(tǒng)計指出，約有70.8%的網(wǎng)絡欺詐是針對金融機構而來，而最常被仿冒的前三家公司為：Citibank（花旗銀行）、eBay 和 Paypal。

后果：誠信危機

Gartner公司高級副總裁和研究董事Litan說：“金融機構、互聯(lián)網(wǎng)服務提供商和其他服務商必須嚴肅地解決‘網(wǎng)絡釣魚’問題，如果不能極大地減少這種誘餌攻擊，那么消費者對在線交易的信任感將會逐漸被侵蝕，最終所有網(wǎng)絡交易的參加者都會受到傷害。”

APWG主席David Jevans表示：“這些攻擊正在破壞整個電子商務系統(tǒng)—我們經(jīng)營方式的信用?！钡拇_，eBay和其他幾十家已遭“網(wǎng)絡釣魚”多次攻擊的公司擔心：它不僅損害了業(yè)務，而且對客戶、對電子商務的信心提出了極大挑戰(zhàn)。

“網(wǎng)絡釣魚”已經(jīng)開始顯現(xiàn)出其巨大的破壞力。根據(jù)PeWinternet Life的調(diào)查，消費者對電子郵件的信心已經(jīng)降到了有史以來的最低點。Cyota最近針對在線銀行賬戶持有者的一項調(diào)查表明，74%的被調(diào)查者表示，由于此項威脅，自己不太可能對來自銀行的電子郵件做出回復，而且進行在線購物的可能性降低了。這意味著，一些合法商業(yè)機構如果無法阻止其品牌被欺騙活動繼續(xù)利用，其在線渠道將可能部分或者徹底失去。

當然受損的還有商業(yè)機構的品牌。MI2G執(zhí)行總裁DKMatai指出：“雖然在很多情況下，品牌所有者并沒有錯，但這些在線品牌應當具備足夠的能力，并用更多的心思來防止消費者犯錯誤?！盇PWG旗下一個企業(yè)成員因“網(wǎng)絡釣魚”遭到客戶起訴，理由是沒有履行相應責任。

除了信任，“網(wǎng)絡釣魚”也會給企業(yè)和個人帶來一些更直接的損失。如果詐騙者釣到用戶的信用卡賬戶信息，無論對于持卡者還是銷售商都面臨著風險。另外，為每個用戶發(fā)行新的信用卡、賬號和密碼大約需要50多美元，如果是大量客戶被釣，成本也是非常驚人的。

警惕：真?zhèn)坞y辨

這些欺騙性的電子郵件和Web站點，正看起來越來越“完美”，也越來越“可信”。

信息加密公司PostX首席技術官Cayce Ullman說：“我們遇到一個利用eBay品牌進行詐騙的‘網(wǎng)絡釣魚’者，我用了整整25分鐘才確定他是真正的騙子。連我們也很難分清真假，那我們的消費者又如何來區(qū)分呢？”其中最令安全專家憂心的是，“網(wǎng)絡釣魚”者使用javascript將瀏覽器網(wǎng)址所顯示的地址換掉，讓呈現(xiàn)出來的網(wǎng)址與假冒公司的官方網(wǎng)址完全相同。

綠盟科技專業(yè)服務部總監(jiān)王紅陽說：“瀏覽器自身的脆弱性也在一定程度上增加了迷惑性?！彼ㄗh，用戶可以使用其他的瀏覽器來降低風險。

趨勢科技中國區(qū)技術顧問齊軍的建議：如果是這種情況就一定要用反網(wǎng)絡釣魚（anti-phishing）工具來防范，因為眼睛看到的是正確網(wǎng)址，但工具看到的才是真正機器碼。他提供一個“一勞永逸的方法”，就是永遠不要從電子郵件的鏈接直接連出去。

令普通用戶頭疼的是，“網(wǎng)絡釣魚”要達到廣泛詐騙的目的，通常都伴隨著病毒和木馬，或者說病毒郵件、木馬也經(jīng)常包含“網(wǎng)絡釣魚”的內(nèi)容。