学文网1 引言
随着电子商务及***银行作为购物与金融交易的手段被广泛采用,网络钓鱼(Phishing)之类的诈骗正变得日益猖獗。这种利用网络进行欺诈的新攻击行为一出现,就引起了网络安全界、金融界、利用网上业务提供金融服务的机构以及司法部门的高度重视,作为重点事件进行处理。
通常,欺诈邮件会提供一个与银行或购物网站极为相似的链接。收到此类邮件的用户一旦点击此链接,紧接着页面会提示用户继续输入自己的账户信息。如果用户填写了此类信息,这些信息将最终落入诈骗者手中。Gartner最近的一项调查表明,有5700万美国消费者肯定收到或很可能收到过网络钓鱼的电子邮件。Gartner称,在去年遭遇此类诈骗的400万消费者中,有30%的消费者访问了假冒的eBay网站,29%的人发现了假冒的PayPal网站,14%的人则发现了假冒的花旗银行网站。而最近,这股风气也渐渐吹到了中国。尤其对近期接连出现的利用伪装为“中国银行”、“中国工商银行”主页的恶意网站进行诈骗钱财的事件让我们感觉到“鱼钩”就在我们眼前晃动。
2 网络钓鱼的实现手法
2.1 什么是网络钓鱼
网络钓鱼是指不法分子在互联网上仿冒知名的电子交易站点(如银行或拍卖网站)的网页,诱使用户访问假站点,骗取用户的账号和密码等信息,从而窃取钱财。
网络钓鱼本质上就是一种电子邮件欺诈。电子邮件诈骗者会向没有防范的用户发送一些貌似来自银行或零售商的电子邮件,声称收件者的账户需要更新或有新产品待售,目的在于钓取(fishing)客户的账户资料或信用卡号码。从网络钓鱼的本质可以看出它是针对我们经常进行的网络操作实施欺诈活动,那么它常用的欺诈行为有哪些呢?
2.2 网络钓鱼的几种常用手法
网络钓鱼有5种常用手法:
(1)发送电子邮件,以虚假信息引诱用户中圈套。
(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。
(3)利用虚假的电子商务进行诈骗。
(4)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。
(5)利用用户弱口令等漏洞破解、猜测用户账号和密码。下面详细介绍一下(1)、(2)两种比较常用的实现手段:
(1)发送电子邮件,以虚假信息引诱用户中圈套。
一旦受害用户被钓鱼邮件引导访问假冒***,钓鱼者可以通过技术手段让不知情的用户输入自己的“User Name”和“Password”,然后,通过表单机制,让用户输入姓名、城市等一般信息。填写完毕,接着要用户填写的是信用卡信息和密码。一旦获得用户的账户信息,攻击者就会找个理由来欺骗用户说:“您的信息更新成功!”让用户感觉很“心满意足”。
有些攻击者甚至编造公司信息和认证标志,其隐蔽性更强。一般来说,默认情况下我们所使用的HTTP协议是没有任何加密措施的。不过,现在所有的消息全部都是以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。
(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。
犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。
尽管网络钓鱼有这么多手法钓鱼,但它钓鱼应用的原理都是以仿真***的技术作为“渔”具,为了让用户能更准确地辨认出网络钓鱼,下面介绍几种常见的“渔”具的实现手法。
2.3 “渔”具的实现手法
仿冒***的技术很早就已经被发现,实现的方法也有很多种。下面介绍一些常用的方法:
(1)根据href标签中放置的内容实现仿冒***的链接。据德国的安全研究人员弗兰兹分析,若黑客在一个网页的HTML href 标签中放置两个URL和一个表格,那么IE 浏览器就会显示“欺骗性”的那个链接,这种假冒的链接会在用户毫不知情的情况下将他们带到一个完全陌生的网站。
(2)根据输入字符相似的特点仿冒***。利用人们的疏忽大意,根据英文字母“o”、“l”与数字“0”、“1”相似的特点,让这些字符与真正的***内容混淆,使用户将仿冒的***当成正确的***进行点击。不久前,一恶意网站()伪装成联想主页(),前者将数字1取代英文字母l,并利用多种IE漏洞种植网页木马,同时散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,结果造成很多用户访问该网站时感染了病毒。
(3)使用一种动态的JavaScript代码。攻击者通过JAVA程序更改地址栏,修改被袭击者的浏览器,从而可将其引诱到显示为银行***站点的网站,进而使更多的人上当受骗。
(4)浏览重导向。通常情况下,诱骗者总是使用电子邮件并利用一些借口,如:他们的银行记录资料需要更新,或由于安全程序的改变需要重新核实用户资料等,以骗取用户账号和相关的密码口令。如果您在毫无怀疑的情况下点击了诱骗者提供的链接,以核查您的账号信息,您的银行信息就被“钓”去了。但是现在,诱骗者会采用更有说服力的手段说服您浏览他们的网站。
(5)使用一种叫做智能重导向(smart redirection)的恶意激活软件。有了这种软件,即使用户在浏览器中输入了正确的银行网站地址,该软件同样可以把这个地址导向到诱骗者的网站上。为什么会出现这种情况呢?这主要是因为恶意软件在您的电脑上监控了几十个,甚至上百个可用的伪造银行网站,只要用户尝试登录到银行的网站,该软件就会把浏览的地址导向到一个可用的伪造网站上。即使用户随后关闭了这个网站,受感染的系统中的智能重导向软件同样也能把您输入的银行地址导向到伪造的网站上。
以上分析了网络钓鱼的实现手法。那么我们如何来有效地防范这种网络诈骗行为呢?
3 网络钓鱼的防范措施
我们可以在网络钓鱼活动可能发生的场合积极主动地采取有针对性的防范措施,从各个角度有效封堵。
3.1 加强网关防护
加强网关防护,提高监测和封堵网络钓鱼站点的力度,是防范网络钓鱼的有力手段。同时,及时升级、打补丁、加强员工安全意识以及与安全厂商保持密切联系等也是必不可少的。有些信息服务供应商(ISP)还可以阻止用户被引导到名声不好的Web站点上。例如:当AOL的客户报告自己收到了垃圾邮件,那么包含在这封垃圾邮件中的链接都将被添加到一个受阻站点列表中。当用户点击这些链接时,它们显示出的都是错误页面。但这一技术也有可能阻断那些提供真正商业服务的合法链接。
3.2 对于垃圾邮件的有效封堵
目前市场上的解决方案通常采用CPU密集分析方式,必须先允许电子邮件进入企业网络系统,才能利用预设的分析逻辑进行分析和处理,这不仅浪费了宝贵的处理器和网络资源,妨碍正常邮件的传输,还有可能危及企业核心的电子邮件服务器。针对现有的系统缺陷,Mirapoint从基本的拦截体系入手,变被动为主动,其邮件栏杆新技术在业界率先实现了***TP层邮件信息流处理,可以在网络边缘拦阻和截获不受欢迎的***TP连接。来自第三方机构的相关数据显示,这一技术达到了98%以上的垃圾邮件截获率,从而使当前的垃圾邮件拦截技术跨入了一个全新的历史阶段,其创新、灵活的思路和系统架构广泛适用于各种不同行业与规模的企业,堪称迄今为止功能最强劲、效果最显著、性价比最优越的理想电子邮件解决方案。
3.3 进行网络交易时,在网上银行登录页面输入账户和密码最好使用软键盘来实现
现在,有些网上银行比如“中国建设银行”就内置了软键盘,可以通过输入法的软键盘来辅助输入密码。通过软键盘输入密码,可以有效地防止那些通过记录键盘击键记录来达到盗取密码的恶意程序。
3.4 针对假冒网上银行、网上证券网站采取有效的防范措施
广大网上电子金融、电子商务用户在进行网上交易时要注意做到以下几点:
(1) 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。
(2)选妥和保管好密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字混合密码,尽量避免在不同系统使用同一密码。
(3)使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做***交易或转账。
(4)对异常动态提高警惕,如不小心在陌生的***上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行卡、证券交易卡挂失。
4 结束语
随着国内外的各种交流越来越频繁,这种新型网络诈骗的发生率必然也会上升,更何况黑客病毒技术的迅速发展,仿冒***技术肯定也会“日新月异”。 钓鱼攻击之所以成功就是因为在用户的思想模型和真实的执行之间存在着差异。因此,迫切期待相应的技术解决方案来弥补这种差异。也可以尝试法律或***策解决方案,并且教育互联网用户关注来自社会工程的潜在安全风险。所有这些都还充满了挑战。
《网络与信息》杂志是经国家科技部和国家新闻出版总署批准的国内外公开发行的计算机网络应用类专业媒体,国家信息中心核心期刊、中国信息经济学会会刊、中国学术期刊全文数据库收录期刊、中国学术期刊综合评价数据库统计源期刊。
应广大热心读者的建议和需求,《网络与信息》推出了全新的栏目――“学术交流” ,主要刊登计算机技术、网络与通信技术、信息化建设、信息管理、工程评估、项目咨询与管理、电子商务等方面的论文及文章。
转载请注明出处学文网 » 垂钓者还是被钓者 网络时代的钓鱼危机