深度解析網(wǎng)絡(luò)安全新威脅“網(wǎng)絡(luò)釣魚(yú)”

深度解析網(wǎng)絡(luò)安全新威脅“網(wǎng)絡(luò)釣魚(yú)”

什么是網(wǎng)絡(luò)釣魚(yú)？網(wǎng)絡(luò)釣魚(yú)(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來(lái)取代“F”，創(chuàng)造了”P(pán)hishing”?！熬W(wǎng)絡(luò)釣魚(yú)”攻擊利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用戶名、口令和社保編號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。在美國(guó)和英國(guó)已經(jīng)開(kāi)始出現(xiàn)專(zhuān)門(mén)反網(wǎng)絡(luò)釣魚(yú)的組織，越來(lái)越多在線企業(yè)、技術(shù)公司、安全機(jī)構(gòu)加入到反“網(wǎng)絡(luò)釣魚(yú)”組織的行列，比如微軟、戴爾都宣布設(shè)立專(zhuān)案分析師或推出用戶教育計(jì)劃，微軟還捐出4.6萬(wàn)美元的軟件，協(xié)助防治“網(wǎng)絡(luò)釣魚(yú)”。用戶自衛(wèi)指南一、普通消費(fèi)者：安全專(zhuān)家提示：最好的自我保護(hù)方式是不需要多少技術(shù)的。1.對(duì)要求重新輸入賬號(hào)信息，否則將停掉信用卡賬號(hào)之類(lèi)的郵件不予理睬。2.更重要的是，不要回復(fù)或者點(diǎn)擊郵件的鏈接——如果你想核實(shí)電子郵件的信息，使用電話，而非鼠標(biāo);若想訪問(wèn)某個(gè)公司的網(wǎng)站，使用瀏覽器直接訪問(wèn)，而非點(diǎn)擊郵件中的鏈接。3.留意網(wǎng)址——多數(shù)合法網(wǎng)站的網(wǎng)址相對(duì)較短，通常以.com或者.gov結(jié)尾，仿冒網(wǎng)站的地址通常較長(zhǎng)，只是在其中包括合法的企業(yè)名字(甚至根本不包含)。4.避免開(kāi)啟來(lái)路不明的電子郵件及文件，安裝殺毒軟件并及時(shí)升級(jí)病毒知識(shí)庫(kù)和操作系統(tǒng)補(bǔ)丁，將敏感信息輸入隱私保護(hù)，打開(kāi)個(gè)人防火墻。5.使用網(wǎng)絡(luò)銀行時(shí)，選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進(jìn)行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計(jì)算機(jī)上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。6.大部分的“網(wǎng)絡(luò)釣魚(yú)”信件是使用英文，除非你在國(guó)外申請(qǐng)?jiān)摲?wù)，不然應(yīng)該都收到中文信件。7.將可疑軟件轉(zhuǎn)發(fā)給網(wǎng)絡(luò)安全機(jī)構(gòu)。最后提醒一句，不幸中招者最好盡快更換密碼和取消信用卡。二、商業(yè)機(jī)構(gòu)1.為避免被“網(wǎng)絡(luò)釣魚(yú)”冒名，最重要的是加大制作網(wǎng)站的難度。具體辦法包括：“不使用彈出式廣告”、“不隱藏地址欄”、“不使用框架”等。這種防范是必不可少的，因?yàn)橐坏┚W(wǎng)站名稱(chēng)被“網(wǎng)絡(luò)釣魚(yú)”者利用的話，企業(yè)也會(huì)被卷進(jìn)去，所以應(yīng)該在泛濫前做好準(zhǔn)備。2.加強(qiáng)用戶驗(yàn)證手段，提高用戶安全意識(shí)。3.及時(shí)處理用戶反饋，積極打擊假冒網(wǎng)站和其他相關(guān)的違法行為?？蛻糁行膶?duì)類(lèi)似“為什么每次登陸都得輸入兩次賬號(hào)和密碼？”之類(lèi)的投訴，就要想到是否有“網(wǎng)絡(luò)釣魚(yú)”的可能，因?yàn)椤熬W(wǎng)絡(luò)釣魚(yú)”者通?！敖俪帧钡谝淮螖?shù)據(jù)，而用戶再一次登陸才進(jìn)入了真正的頁(yè)面。4.當(dāng)然，安裝殺毒軟件和防火墻、及時(shí)升級(jí)、打補(bǔ)丁、加強(qiáng)員工安全意識(shí)、與安全廠商保持密切聯(lián)系等都是必不可少的。最后也要提醒一句，一旦出現(xiàn)被仿冒的情景，首先企業(yè)應(yīng)該把詐騙網(wǎng)頁(yè)取下來(lái)。有些時(shí)候，這并不是一件簡(jiǎn)單、快捷的工作。步驟1：教育在美國(guó)《網(wǎng)絡(luò)世界》所做的采訪中，任何一家大型在線企業(yè)都將“對(duì)用戶進(jìn)行適當(dāng)教育”放在應(yīng)對(duì)“網(wǎng)絡(luò)釣魚(yú)”舉措之首。花旗銀行在主頁(yè)的底部設(shè)有一個(gè)明顯鏈接，以提醒用戶注意有關(guān)電子郵件詐騙的問(wèn)題。何公道說(shuō)：“網(wǎng)絡(luò)釣魚(yú)”也是“愿者上鉤”，之所以不斷發(fā)生，就是人們防范觀念淡薄。如果大家的安全意識(shí)永遠(yuǎn)只停留在現(xiàn)在的話，那么“網(wǎng)絡(luò)釣魚(yú)”事件一定會(huì)越來(lái)越多。王紅陽(yáng)說(shuō)：用戶安全意識(shí)的提高能降低“網(wǎng)絡(luò)釣魚(yú)”的風(fēng)險(xiǎn)，嚴(yán)格執(zhí)行的安全策略、良好的安全習(xí)慣、安全技術(shù)的提高，可以大幅度減少“網(wǎng)絡(luò)釣魚(yú)”成功的幾率。但是記者在完成這篇稿子之前，瀏覽了不少?lài)?guó)內(nèi)商業(yè)網(wǎng)站，并沒(méi)有發(fā)現(xiàn)關(guān)于“網(wǎng)絡(luò)釣魚(yú)”甚至是關(guān)于安全方面的顯著提示，當(dāng)然也沒(méi)有看到一些驗(yàn)證手段。在美國(guó)和英國(guó)已經(jīng)開(kāi)始出現(xiàn)專(zhuān)門(mén)反網(wǎng)絡(luò)釣魚(yú)的組織，比如去年11月成立的APWG和今年6月成立的“TrustedElectronicCommunicationsForum(TECF)”，它們致力于教育用戶的目的是終止——至少是降低“網(wǎng)絡(luò)釣魚(yú)”的攻擊。步驟2：驗(yàn)證除了教育外，在線品牌還應(yīng)當(dāng)通過(guò)簡(jiǎn)單、易用的方式對(duì)合法的電子郵件進(jìn)行驗(yàn)證。常被人冒充的eBay發(fā)出警告稱(chēng)，即使發(fā)信人寫(xiě)的是“support@”和“billing@”等內(nèi)容，也不見(jiàn)得就是來(lái)自eBay的郵件。因?yàn)椤熬W(wǎng)絡(luò)釣魚(yú)”也是一種垃圾郵件，所以人們可以運(yùn)用相同的垃圾郵件處理工具對(duì)網(wǎng)頁(yè)和電子郵件進(jìn)行過(guò)濾。趨勢(shì)科技將推出IWSS2.0，包含名為PhishTrap的反釣魚(yú)技術(shù)，利用詐編網(wǎng)站特征數(shù)據(jù)庫(kù)來(lái)過(guò)濾電子郵件。此外，銀行在發(fā)出的電子郵件里啟用了數(shù)位電子簽名，現(xiàn)在技術(shù)的發(fā)展，讓“驗(yàn)明正身”更加簡(jiǎn)單，一旦網(wǎng)絡(luò)釣魚(yú)者試圖偽造一個(gè)數(shù)字簽名，收件人就會(huì)收到一條警告信息。當(dāng)然，用戶必須學(xué)會(huì)識(shí)別電子簽名。遠(yuǎn)期的全球驗(yàn)證項(xiàng)目包括發(fā)送者策略框架(SenderPolicyFramework)、YahooDomainKeys建議和微軟的Caller-ID。但是，這些方法要想完善起來(lái)尚需時(shí)日，而且需要得到在線企業(yè)的100%完全認(rèn)同。步驟3：確認(rèn)Web站點(diǎn)也需要利用某些確認(rèn)機(jī)制來(lái)證明自己的合法性。因此，專(zhuān)業(yè)身份確認(rèn)企業(yè)CoreStreet最近在其Web站點(diǎn)上貼出一種被稱(chēng)為Spoofstick的免費(fèi)瀏覽器助手。當(dāng)用戶在合法的站點(diǎn)，請(qǐng)注意在URL框的下方會(huì)出現(xiàn)一個(gè)明顯的注釋?zhuān)@示“You’reon?！比绻脩舯或_到了一個(gè)偽造的站點(diǎn)，該注釋便會(huì)顯示“You’reon。”eBay已經(jīng)為它的工具欄添加了一項(xiàng)新的服務(wù)，稱(chēng)為賬戶保鏢。這項(xiàng)服務(wù)可以告訴用戶是否處于eBay和PayPal的合法站點(diǎn)上。如果當(dāng)用戶將eBay的口令輸入到未經(jīng)確認(rèn)的網(wǎng)站上時(shí)，eBay還會(huì)進(jìn)一步向用戶發(fā)出警告信。步驟4：阻斷有些ISP還可以阻止用戶被引導(dǎo)到名聲不好的Web站點(diǎn)上。例如，當(dāng)AOL的客戶報(bào)告自己收到了垃圾郵件，那么包含在這封垃圾郵件中的鏈接都將被添加到一個(gè)受阻站點(diǎn)列表中。當(dāng)用戶點(diǎn)擊這些鏈接，它們顯示出的都是錯(cuò)誤頁(yè)面。但這一技術(shù)也有可能阻斷那些提供真正商業(yè)服務(wù)的合法鏈接。美國(guó)EarthLink于4月19日推出了具有防止“網(wǎng)絡(luò)釣魚(yú)”功能的工具條，當(dāng)用戶試圖訪問(wèn)確認(rèn)的詐騙網(wǎng)站，該工具條將會(huì)發(fā)出警告，并且將用戶重定向到EarthLink公司的WWW網(wǎng)頁(yè)。而以防堵網(wǎng)站存取起家的Websense，也將“網(wǎng)絡(luò)釣魚(yú)”或惡意網(wǎng)站列入防堵項(xiàng)目之一。步驟5：監(jiān)視EarthLink還使用一種服務(wù)。當(dāng)有人注冊(cè)與自己公司類(lèi)似的品牌時(shí)，該服務(wù)便會(huì)發(fā)出警告。目的是確認(rèn)該網(wǎng)站是否會(huì)通過(guò)‘網(wǎng)絡(luò)釣魚(yú)’的方式冒充EarthLink?！泵绹?guó)萬(wàn)事達(dá)國(guó)際信用卡公司和NameProtect公司6月21日宣布為打擊“網(wǎng)絡(luò)釣魚(yú)”建立合作關(guān)系，利用NameProtect實(shí)時(shí)檢測(cè)網(wǎng)上犯罪的技術(shù)，監(jiān)視域名、Web網(wǎng)頁(yè)、公告板以及垃圾郵件等。監(jiān)視可以使受害者的數(shù)量大幅度減少。手段：威逼利誘“網(wǎng)絡(luò)釣魚(yú)”利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用戶名、口令和社保編號(hào)等內(nèi)容?！熬W(wǎng)絡(luò)釣魚(yú)”的主要伎倆在于仿冒某些公司的網(wǎng)站或電子郵件，然后對(duì)其中的程序代碼動(dòng)手腳，如果使用者信以為真地按其鏈接和要求填入個(gè)人重要資料，資料將被傳送到詐騙者手中。趨勢(shì)科技“PhishTrap(反網(wǎng)絡(luò)釣魚(yú)陷阱)”成員Richard_Cheng解釋說(shuō)：“當(dāng)這些網(wǎng)絡(luò)詐騙者將餌(電子郵件)撒到互聯(lián)網(wǎng)之后，就靜待受騙者上鉤。”根據(jù)Gartner的統(tǒng)計(jì)，由于詐騙者通常會(huì)將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，所以在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局作出響應(yīng)。詐騙者通常采用“威逼利誘”手段制造出各種名目的“主題”。比如最早引起廣泛關(guān)注的“網(wǎng)絡(luò)釣魚(yú)”事件，是去年11月出現(xiàn)的Mimail.J病毒，偽裝成由Paypal網(wǎng)站寄出的信息，表示收件者的賬戶將在5個(gè)工作日后失效，要求用戶更新個(gè)人信息，才能重新啟動(dòng)賬戶。再比如7月20日，一惡意網(wǎng)站偽裝成聯(lián)想主頁(yè)，前者將數(shù)字1取代英文字母L，利用多種IE漏洞種植木馬病毒，并散布“聯(lián)想集團(tuán)和騰訊公司聯(lián)合贈(zèng)送QQ幣”的虛假消息，誘使更多用戶訪問(wèn)該網(wǎng)站時(shí)造成感染。現(xiàn)狀：上鉤者眾最近一年以來(lái)，“網(wǎng)絡(luò)釣魚(yú)”在美、英等國(guó)家變得非常猖獗，數(shù)量急劇攀升。據(jù)Gartner公司最近的一項(xiàng)調(diào)查表明，有5700萬(wàn)美國(guó)消費(fèi)者收到過(guò)此類(lèi)仿冒的電子郵件，由此引起的ID欺詐盜竊給美國(guó)銀行與信用卡公司的用戶造成的直接損失在去年達(dá)到了12億美元。垃圾郵件過(guò)濾公司Brightmail的數(shù)據(jù)表明，過(guò)去9個(gè)月中，全球Phishing郵件總量增長(zhǎng)迅猛，于今年4月達(dá)到31億封。據(jù)英國(guó)安全機(jī)構(gòu)MI2G報(bào)告，去年，有250多起針對(duì)主要銀行、信用卡公司、電子商務(wù)站點(diǎn)以及政府機(jī)構(gòu)的“網(wǎng)絡(luò)釣魚(yú)”攻擊。根據(jù)反網(wǎng)絡(luò)釣魚(yú)組織APWG(Anti-PhishingWorkingGroup)最新統(tǒng)計(jì)指出，約有70.8%的網(wǎng)絡(luò)欺詐是針對(duì)金融機(jī)構(gòu)而來(lái)，而最常被仿冒的前三家公司為：Citibank(花旗銀行)、eBay和Paypal。后果：誠(chéng)信危機(jī)Gartner公司高級(jí)副總裁和研究董事Litan說(shuō)：“金融機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和其他服務(wù)商必須嚴(yán)肅地解決‘網(wǎng)絡(luò)釣魚(yú)’問(wèn)題，如果不能極大地減少這種誘餌攻擊，那么消費(fèi)者對(duì)在線交易的信任感將會(huì)逐漸被侵蝕，最終所有網(wǎng)絡(luò)交易的參加者都會(huì)受到傷害?！盇PWG主席DavidJevans表示：“這些攻擊正在破壞整個(gè)電子商務(wù)系統(tǒng)—我們經(jīng)營(yíng)方式的信用?！钡拇_，eBay和其他幾十家已遭“網(wǎng)絡(luò)釣魚(yú)”多次攻擊的公司擔(dān)心：它不僅損害了業(yè)務(wù)，而且對(duì)客戶、對(duì)電子商務(wù)的信心提出了極大挑戰(zhàn)。“網(wǎng)絡(luò)釣魚(yú)”已經(jīng)開(kāi)始顯現(xiàn)出其巨大的破壞力。根據(jù)PewInternetLife的調(diào)查，消費(fèi)者對(duì)電子郵件的信心已經(jīng)降到了有史以來(lái)的最低點(diǎn)。Cyota最近針對(duì)在線銀行賬戶持有者的一項(xiàng)調(diào)查表明，74%的被調(diào)查者表示，由于此項(xiàng)威脅，自己不太可能對(duì)來(lái)自銀行的電子郵件做出回復(fù)，而且進(jìn)行在線購(gòu)物的可能性降低了。這意味著，一些合法商業(yè)機(jī)構(gòu)如果無(wú)法阻止其品牌被欺騙活動(dòng)繼續(xù)利用，其在線渠道將可能部分或者徹底失去。當(dāng)然受損的還有商業(yè)機(jī)構(gòu)的品牌。MI2G執(zhí)行總裁DKMatai指出：“雖然在很多情況下，品牌所有者并沒(méi)有錯(cuò)，但這些在線品牌應(yīng)當(dāng)具備足夠的能力，并用更多的心思來(lái)防止消費(fèi)者犯錯(cuò)誤?！盇PWG旗下一個(gè)企業(yè)成員因“網(wǎng)絡(luò)釣魚(yú)”遭到客戶起訴，理由是沒(méi)有履行相應(yīng)責(zé)任。除了信任，“網(wǎng)絡(luò)釣魚(yú)”也會(huì)給企業(yè)和個(gè)人帶來(lái)一些更直接的損失。如果詐騙者釣到用戶的信用卡賬戶信息，無(wú)論對(duì)于持卡者還是銷(xiāo)售商都面臨著風(fēng)險(xiǎn)。另外，為每個(gè)用戶發(fā)行新的信用卡、賬號(hào)和密碼大約需要50多美元，如果是大量客戶被釣，成本也是非常驚人的。警惕：真?zhèn)坞y辨這些欺騙性的電子郵件和Web站點(diǎn)，正看起來(lái)越來(lái)越“完美”，也越來(lái)越“可信”。信息加密公司PostX首席技術(shù)官CayceUllman說(shuō)：“我們遇到一個(gè)利用eBay品牌進(jìn)行詐騙的‘網(wǎng)絡(luò)釣魚(yú)’者，我用了整整25分鐘才確定他是真正的騙子。連我們也很難分清真假，那我們的消費(fèi)者又如何來(lái)區(qū)分呢？”其中最令安全專(zhuān)家憂心