网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing 发音与 Fishing相同。 “网络钓鱼”就其本身来说,称不上是一种独立的攻击手段,更多的只是诈骗方法,就像现实社会中的一些诈骗一样。
攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户用和口令、社保编号等内容(通常主要是那些和财务,账号有关的信息,以获取不正当利益),受骗者往往会泄露自己的财务数据。
诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,因此来说,网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。
一、网络钓鱼工作原理图
现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段:
图1 网络钓鱼的工作原理
1. 钓鱼者入侵初级服务器,窃取用户的名字和邮件地址
早期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点,这些站点由他们自己设计,看上去和合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”,他们自称是某个购物网站的客户代表,威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息,这位用户在购物网站的账号就有可能被封掉,当然很多用户都能识破这种骗局。现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器,获取客户名称的数据库。然后通过钓鱼邮件投送给明确的目标。
2. 钓鱼者发送有针对性质的邮件
现在钓鱼者发送的钓鱼邮件不是随机的垃圾邮件。他们在邮件中会写出用户名称,而不是以往的“尊敬的客户”之类。这样就更加有欺骗性,容易获取客户的信任。这种针对性很强的攻击更加有效地利用了社会工程学原理。
很多用户已经能够识破普通的以垃圾邮件形式出现的钓鱼邮件,但是他们仍然可能上这种邮件的当,因为他们往往没有料到这种邮件会专门针对自己公司或者组织。根据来自IBM全球安全指南(Global Security Index)的报告,被截获的钓鱼事件从2005年一月份的56起爆炸性地增长到了六月份的60万起。
3. 受害用户访问假冒网址
受害用户被钓鱼邮件引导访问假冒网址。主要手段是
(1) IP地址欺骗。主要是利用一串十进制格式,通过不知所云的数字麻痹用户,例如IP地址202.106.185.75,将这个IP地址换算成十进制后就是 3395991883,Ping这个数字后,我们会发现,居然可以Ping通,这就是十进制IP地址的解析,它们是等价的。
(2)链接文字欺骗。我们知道,链接文字本身并不要求与实际网址相同,那么你可不能只看链接的文字,而应该多注意一下浏览器状态栏的实际网址了。如果该网页屏蔽了在状态栏提示的实际网址,你还可以在链接上按右键,查看链接的“属性”。
(3)Unicode编码欺骗。Unicode编码有安全性的漏洞,这种编码本身也给识别网址带来了不便,面对“%21%32”这样的天书,很少有人能看出它真正的内容。
4. 受害用户提供秘密和用户信息被钓鱼者取得
一旦受害用户被钓鱼邮件引导访问假冒网址,钓鱼者可以通过技术手段让不知情的用户输入了自己的“User Name”和“Password”,然后,通过表单机制,让用户输入姓名、城市等一般信息。填写完毕。他现在要用户填写的是信用卡信息和密码。一旦获得用户的帐户信息,攻击者就会找个理由来欺骗用户说“您的信息更新成功!”,让用户感觉很“心满意足”。
这是比较常见的一种欺骗方式,有些攻击者甚至编造公司信息和认证标志,其隐蔽性更强。一般来说,默认情况下我们所使用的HTTP协议是没有任何加密措施的。不过,现在所有的消息全部都是以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。
5. 钓鱼者使用受害用户的身份进入其他网络服务器
下面钓鱼者就会使用受害用户的身份进入其他网络服务器(比如购物网站)进行消费或者在网络上发送反动、黄色信息。
