网络钓鱼 (Phishing)一词是Phreak(偷接电话线的人)的前两个字母ph取代fishing(钓鱼)的f之后的结合体,属于以“社会工程学”结合电脑科技的犯罪手法。其实Phishing并不算是一种新的入侵方法,入侵者通过技术手段伪造出一些以假乱真的网站,诱惑受害者在伪造湾站上“自愿”交出重要信息或被窃取重要信息的手段。
经近一段时间的“315”打假,网站打假也正在如火如荼的进行中。打假过程中,用户反应最为强烈的依然是网上银行的安全系统。近日,通过上海金融报的调查结果显示,排列前四名的银行诈骗事件分别是下面四种,而网络钓鱼“荣获冠军”:
一、通过“冒牌网上银行”(钓鱼网站)进行诈骗。
二、用手机短信、媒体广告抛出“贷款诱饵”诈骗。
三、冒充国家公职人员或银行专业人士进行诈骗。
四、利用朋友等亲密关系,套取客户资料后盗取资金。
在春节过后的这段时间里,钓鱼攻击的电子邮件的数量没有明显增长,但不代表那些不法之徒已经开始退缩,而是在选择和研究更有效地击中目标的方法。自从今年开始以来,网络钓鱼攻击已经具有了攻击性更强和技术更隐蔽的特点。
微软IE7带来的安全感
网络钓鱼与其它攻击行为的主要取被是入侵者并不需要主动攻击,他们摆出一幅“姜太公钓鱼,愿者上钩”的姿态。在诈骗手段上,最主要方式是使用“垃圾邮件”,在电子邮件成为当今主要联系方式的同时,即使是大海捞针的行为,也能捞起一两根针的。这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页,例如:我最近常收到一些“ADSL交费邮件“,或者提示“朋友赠送礼品”邮件等,大量“忽悠”的邮件充满了我的公开邮箱。有个朋友告诉我,他为了一探究竟,在充分准备防毒软件和加固系统后,登录了这些网站,不过他们都要求提交用户名、密码、身份证号、信用卡号等信息,他实在不敢在拿包里的钞票做游戏了。另外,最近还听说有些假冒慈善机构名义募款的网站出现,真可谓丧尽天良。
Internet Explorer 7正式版推出后,给了我们很大的希望。它与以往任何一个版本的IE有了显著的变化和改进,尤其增加用户保护状态,即使黑客入侵了IE也不能全面控制机器,从而提高了操作系统的整体安全性。我们应该承认,IE7在广告拦截能力上有了很大提高,而且除去加密网页的警告方式改变之外,新增的反钓鱼检测功能,让我们在一段时间里拥有了一丝安全感。
与病毒感染一样,普通用户只会在浏览器遭到修改和欺骗之后才发现问题。他们的IE主页和网络搜索已被设置为其它网站,到处都是弹出的窗口,收藏夹里尽是色情网站地址,而且要想完全修复这些问题,既费时又费力。随着时间的推移,很多用户根据实际应用后,感到IE 7这些新增的安全性的并不能代替其他安全产品,单独的依靠IE7的安全性去挑战数不胜数的钓鱼攻击,显得势单力薄。
IE7 防钓鱼的弱点
第一,公众参与程度低
拿大家谈论较多的垃圾邮件防范来说,我们都清楚“可变陌生访问限制(Variable Strange Visiting Limit)”是最为有效的一种控制垃圾邮件技术,它的核心思想表现为:“根据邮件接收人对垃圾邮件的投诉,计算发信人的信用,以此控制垃圾邮件的发送,采用邮件服务器与邮件地址两级白名单控制垃圾邮件的接收。” 这种信用机制的有效性由VSVL邮件用户对垃圾邮件的投诉率决定,如果投诉率太低会使信用控制失灵,Spammer可以不断地使用限额发送垃圾邮件,如投诉率太低就会累积更多的限额而发送更多的垃圾邮件。但这种防治方式,长期无法普及,这与公众的参与程度是分不开的。微软除了与安全厂商合作之外,最主要的以IE7人工举报为例:“如果你怀疑某网站是一个仿冒网站,可以单击 ‘报告此网站’的功能,这将有助于微软对此网站进行评估”。但从国内用户来看,这种方法很难避免“钓鱼事件”的减少,IE7的在防钓鱼功能的无助也暴露无疑。
第二,微软产品漏洞,再次引爆“信任危机”
近日爆料,以色列安全研究人员 Aviv Raff 称,微软 IE7 中存在一个缺陷,可以让钓鱼欺诈网站伪装成正常网站,诱导用户上当受骗。Aviv Raff 指出,问题出现在 IE7 处理本地 HTML 错误信息页面的过程中,比如如果用户临时取消网页的载入,就会出现熟悉的“已取消到该网页的导航”页面,并提供“刷新该网页”的链接。一旦用户点击这个“刷新”链接,就可能陷入虚假网页的欺骗。Raff 已经发布了概念验证型代码,并且演示IE7如何被骗的过程。点击下面的网址,观看演示
Aviv Raff指出,这是 IE 里常见的跨网站脚本缺陷,Windows XP 和 Windows Vista 下都无法幸免。IE7 此前暴露的几个漏洞也属于此类。微软宣称已经开始就此展开调查。虽然尚未发现任何实际攻击,但在微软发布补丁前,安全专家奉劝用户最好不要轻信 IE 的错误页面。唉!刚刚积攒起来的信任感,又被这个可怕消息抹杀了。
有效防范钓鱼的建议
研发应用新技术,为网络信息安全保驾护航的同时,我们呼吁用户更要在通过互连网进行金融业务的同时坚强自我防范的意识。并且呼吁有关机关,对与危害社会稳定和国家金融安全、煽动和诱导犯罪、损毁他人名誉、网络欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩,让“钓鱼者”成为整个社会捕杀的对象。具体的讲,防止钓鱼事件的发生要从以下几个方面入手:
个人安全意识的提高
对于个人用户来讲,提高警惕是第一位的。不登录不熟悉的网站,键入网站地址的时候要校对,如果发现网址中出现“@”等特殊字符一定要小心,以防误入狼窝。另外在陌生邮件和即时通讯工具上的传来的消息,一定不要抱着“试一试”的心态,天上即使掉馅饼也不会砸到你的。最后,安装杀毒软件并及时升级病毒知识库和操作系统补丁、安装个人防火墙等,都能提高电脑的安全性。
安全技术的推广
很多厂商和也提出了一系列的反网络钓鱼对策,如:改善网页应用程序的存取技术,使用硬件式的单次密码系统;强化网站登入认证机制,使用安全证书等。很多措施应该是可以有效避免用户被钓行为的发生,比如:单次密码系统,用户操作界面网页个人化等等,但很多普通用户根本不了解这些知识,所以普及和推广不但要在金融行业的用户,对于个人用户也应加强。
严惩“钓鱼者”
由于钓鱼欺诈行动隐秘,因此一般很难抓到犯罪嫌疑人,不过法网恢恢疏而不漏,根据美国媒体报道,一名加利福尼亚男子因此可能被判入狱101年。Jeffrey Brett Goodin现年45岁,来自美国加州Azusa市,两周前被洛杉矶联邦地方法院判定有罪,他成为美国2003年《反垃圾邮件法》(Can-Spam Act of 2003)确定后的第一个个人犯罪案例,罪名包括:网络欺诈、盗用信用卡、滥用AOL商标、阻拦证人作证等等。众罪并罚,要想出狱,Goodin就必须等到2108年。虽然是国外的法律案例,但我想,这可能对国内的犯罪分子和立法机构都是一个刺激。我们呼吁有关机关,对与危害社会稳定和国家金融安全、煽动和诱导犯罪、损毁他人名誉、网络欺诈侵权、黑客攻击、传播色情信息等违法行为加以严惩,让“钓鱼者”成为整个社会捕杀的对象。
