網(wǎng)絡(luò)釣魚(Phishing)，并不是一種新的入侵方法，但是它的危害范圍卻在逐漸擴(kuò)大，并成為近期威脅網(wǎng)絡(luò)安全的最大危害之一。你了解Phishing嗎?與傳統(tǒng)的入侵方式相比，它有什么顯著特點(diǎn)呢?典型的Phishing案例有哪些?如何防范被Phishing呢?
　南方的早春總是伴著綿綿細(xì)雨，難得今天是個(gè)晴朗天，某服裝公司的張經(jīng)理帶著十幾個(gè)重要員工來到郊外一個(gè)魚塘進(jìn)行垂釣活動(dòng)。張經(jīng)理放置好釣具后，便打開了隨身攜帶的筆記本電腦并連上網(wǎng)絡(luò)，他想利用這點(diǎn)時(shí)間處理一下最近的一筆生意。秘書見他在這種時(shí)候還離不開工作，便勸他：“經(jīng)理，今天是游玩的日子，難得放松一下，今天還是不要處理公司業(yè)務(wù)了吧……您不怕釣竿被魚叼走了?”張經(jīng)理對(duì)秘書笑了笑，看著身前的釣竿緩緩說道：“都說姜太公釣魚，愿者上鉤，但是如果不知道提竿的時(shí)機(jī)，即將到手的魚也會(huì)溜走的。等這筆生意談妥，我再休息也不遲。”說罷又繼續(xù)低頭敲鍵盤。
　生意終于談妥，客戶把貨款轉(zhuǎn)入張經(jīng)理的銀行賬戶，張經(jīng)理笑了：“這條大魚終于被我釣到了。”然后他登上網(wǎng)絡(luò)銀行賬戶查看轉(zhuǎn)賬情況。當(dāng)頁(yè)面上顯示出賬戶剩余金額時(shí)，張經(jīng)理心里一緊，接著有了暈眩的感覺：賬戶里原來的存款不翼而飛，頁(yè)面里惟有客戶剛剛轉(zhuǎn)入的貨款，仿佛在嘲笑著張經(jīng)理。
　張經(jīng)理做夢(mèng)也沒想到，這一次，他成了別人釣上的魚，而且是大魚。
　　

釋疑網(wǎng)絡(luò)釣魚
　網(wǎng)絡(luò)釣魚(Phishing)，并不是一種新的入侵方法，但是它的危害范圍卻在逐漸擴(kuò)大，成為近期最嚴(yán)重的網(wǎng)絡(luò)威脅之一。Phishing就是指入侵者通過處心積慮的技術(shù)手段偽造出一些以假亂真的網(wǎng)站和誘惑受害者根據(jù)指定方法操作的email等方法，使得受害者“自愿”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)的手段。入侵者并不需要主動(dòng)攻擊，他只需要靜靜等候這些釣竿的反應(yīng)并提起一條又一條魚就可以了，就好像是“姜太公釣魚，愿者上鉤”。
　看到這里，有些讀者可能會(huì)說，這不是社會(huì)工程學(xué)嗎?兩者都是騙人的手段啊。不錯(cuò)，網(wǎng)絡(luò)釣魚里面的確有社會(huì)工程學(xué)的影子，但是與后者相比，網(wǎng)絡(luò)釣魚更趨向于技術(shù)方面，因?yàn)樗粌H僅是欺騙，里面還必須摻入技術(shù)成分，否則如果連“垂釣者”自己都無法控制“釣竿”的話，又怎么可能釣到魚呢?

視覺陷阱：網(wǎng)頁(yè)背后的釣竿
　警察正在分析張經(jīng)理那臺(tái)筆記本電腦硬盤里的數(shù)據(jù)，張經(jīng)理本人在報(bào)案時(shí)因心臟病發(fā)作而住進(jìn)了醫(yī)院。由于無法得知張經(jīng)理最后一次登錄網(wǎng)絡(luò)銀行的時(shí)間，而且系統(tǒng)里也沒有感染任何偷盜賬號(hào)的后門程序，案件變得有點(diǎn)撲朔迷離起來。一個(gè)分析員無意中打開了Foxmail，發(fā)現(xiàn)最后一封信件是銀行發(fā)送的，主題為“XX網(wǎng)絡(luò)銀行關(guān)于加強(qiáng)賬戶安全的通告”，分析員預(yù)測(cè)案件與這封信件有重大關(guān)系，馬上打開閱讀。這是一封HTML網(wǎng)頁(yè)模板的信件，內(nèi)容大意為銀行為了加強(qiáng)賬戶安全而升級(jí)了系統(tǒng)，請(qǐng)各位客戶盡快重新設(shè)置賬戶密碼，末尾還給出了設(shè)置密碼的URL鏈接。
　幕后黑手果然在這里!分析員馬上查看信件源代碼，很快就找出了其中的貓膩：正如常說的 “說的一套，做的一套”，這個(gè)郵件的作者采用了“看的一套，進(jìn)的一套”這種簡(jiǎn)單的欺騙手法，入侵者利用HTML語言里URL標(biāo)記的特性，把它寫成了這樣：“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉http://www.xxbank.com.cn/account/index.asp〈/A〉”，由于心理作用，受害者潛意識(shí)里都會(huì)直接點(diǎn)擊那個(gè)寫著“http://www.xxbank.com.cn/account/index.asp”的URL鏈接，然而他們并不知道，這個(gè)點(diǎn)擊實(shí)際上是把他們引向“http://www.xxxbank.com.cn/account/index.asp”這條釣竿!而這個(gè)所謂的更改密碼頁(yè)面，當(dāng)然偽造得與真正的銀行頁(yè)面完全一致，但是它的“更改密碼”功能卻是把賬號(hào)和密碼發(fā)送到了幕后的“垂釣者”手上，然后“垂釣者”登錄上真正的網(wǎng)絡(luò)銀行改了受害者設(shè)置的密碼，并順手牽羊把銀行賬戶里的存款轉(zhuǎn)移掉。這樣釣來的魚，即使是小魚也會(huì)讓“垂釣者”在夢(mèng)里發(fā)出笑聲來了，即使一條太小，積累起來的數(shù)目也會(huì)變得相當(dāng)可觀了。在金錢的誘惑下，“垂釣者”一次又一次提竿，殊不知，他自己也是被金錢釣竿釣上的一條魚。
　　

拙劣手段成功的關(guān)鍵
　為什么如此拙劣的技術(shù)卻能頻頻得手呢?在你的實(shí)際生活中有沒有遇到類似的情況呢?你會(huì)采取什么樣的預(yù)防措施呢?
　因?yàn)榫W(wǎng)絡(luò)釣魚充分利用了人們的心理漏洞，首先，人們收到銀行這類影響力很大的商務(wù)郵件時(shí)幾乎都會(huì)緊張，很多人都不曾懷疑信件的真實(shí)性，更會(huì)下意識(shí)地根據(jù)要求打開郵件里面指定的URL進(jìn)行操作;其次，頁(yè)面打開后，我們通常都只會(huì)留意頁(yè)面內(nèi)容而不會(huì)注意瀏覽器地址欄的顯示，正是這點(diǎn)讓“垂釣者”有了可乘之機(jī)。
　其實(shí)“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像一回事似的，只是現(xiàn)在IE普遍打了補(bǔ)丁，這種情況下還使用這個(gè)漏洞就會(huì)“不打自招”了，所以只有極少數(shù)“垂釣者”會(huì)采用這個(gè)方法，有的“垂釣者”根本連個(gè)看起來“比較正規(guī)”的域名都沒有，而是采用IP地址形式甚至直接光明正大把真實(shí)地址顯示在瀏覽器的地址欄里——因?yàn)樗麄冎溃浅霈F(xiàn)意外情況，否則大部分人根本是不會(huì)注意瀏覽器的地址欄的。
　這里順便提一下那封email，為什么張經(jīng)理會(huì)上當(dāng)呢?縱然，如果那封email的發(fā)件人地址不是銀行網(wǎng)站的，那么白癡都看得出來這是偽造的郵件。但是問題就出在這里，這封email的發(fā)件人地址清清楚楚寫著該銀行網(wǎng)站的技術(shù)支持信箱地址!“垂釣者”是怎么做到的呢?很簡(jiǎn)單，一些未經(jīng)設(shè)置的email服務(wù)器并不會(huì)驗(yàn)證用戶信息是否真實(shí)，于是騙子用這樣的郵件服務(wù)器發(fā)送一封偽造了發(fā)件人地址的信件簡(jiǎn)直是易如反掌。
　　

借竿釣魚：愛恨交加的搜索引擎#p#分頁(yè)標(biāo)題#e#
　由于Internet的迅速發(fā)展，信息量大爆炸時(shí)代隨著網(wǎng)絡(luò)的普及聳立在世人面前，我們可以獲取信息的途徑越來越多，但是查找特定的信息數(shù)據(jù)也開始變得困難，為此人們急切需要一種能盡量把各種信息統(tǒng)一管理并提供簡(jiǎn)便搜索功能的工具，搜索引擎因此而誕生。與此同時(shí)，搜索引擎的代表作Google由于技術(shù)的強(qiáng)大已經(jīng)成為病毒和入侵者窺視的焦點(diǎn)。
　這次，依舊是Google惹的禍。很早以前，Google就“提供”了一種“搜索入侵”：入侵者通過在Google上查詢某些特定的字符，可以發(fā)現(xiàn)甚至直接進(jìn)入存在該漏洞的計(jì)算機(jī)，當(dāng)年有許多存在Unicode漏洞的計(jì)算機(jī)就是被Google拎了出來——只要搜索諸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此類的關(guān)鍵字就能發(fā)現(xiàn)很多包含“Directory of”字符串的IP地址，點(diǎn)擊進(jìn)去，你會(huì)發(fā)現(xiàn)你已經(jīng)用Unicode漏洞入侵了該計(jì)算機(jī)……現(xiàn)在雖然這個(gè)方法已經(jīng)基本失效，但是Google帶來的安全性問題卻更值得引起所有人的重視。面對(duì)強(qiáng)大的Google，“垂釣者”已經(jīng)不滿足于僅靠Web頁(yè)面釣魚，他們還看上了Google的桌面搜索工具Desktop Search，這個(gè)工具存在一個(gè)信息泄漏的漏洞，入侵者能通過腳本程序欺騙Desktop Search提供用戶信息，最常見的就是泄漏磁盤數(shù)據(jù)。利用這個(gè)漏洞提供的信息，“垂釣者”可以偽造相關(guān)信件并建立欺騙性的電子商務(wù)網(wǎng)站，讓用戶誤以為是大公司發(fā)給自己的信函而受欺騙。一些“垂釣者”用假的口令驗(yàn)證得以竊取用戶信息，另一些則欺騙用戶點(diǎn)擊一些商品信息而被種植木馬程序。
　　

跨站釣魚：真實(shí)網(wǎng)站的噩夢(mèng)
　前面提到的偽造頁(yè)面欺騙是“垂釣者”利用虛假信函和人們尋求方便的心理，直接點(diǎn)擊信函給出的惡意鏈接而達(dá)到釣魚的目的，如今隨著媒體的揭露以及用戶警惕性的提高，這種手段成功率逐漸降低了。于是處心積慮的騙子們開始制造一種新的迷霧：他們同樣是用某種手段把用戶騙到商務(wù)網(wǎng)站，但是與以前不同的是，這次用戶訪問到的是真正的商務(wù)站點(diǎn)。難道“垂釣者”們改邪歸正了?答案是否定的，這個(gè)真正的商務(wù)站點(diǎn)依然會(huì)把用戶帶到“垂釣者”的惡意頁(yè)面——騙子利用一種稱為“跨站攻擊”的技術(shù)，在真實(shí)網(wǎng)站上插入惡意鏈接，用戶即使再細(xì)心也很難想到真實(shí)網(wǎng)站也會(huì)暗藏殺機(jī)。這種被稱為“雞尾酒釣魚術(shù)”的手段使商務(wù)網(wǎng)站的可信度大大降低。
　什么是“跨站攻擊”呢?業(yè)界對(duì)其定義如下：“跨站攻擊是指入侵者在遠(yuǎn)程Web頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，使得用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。”
　跨站攻擊有多種方式，典型的方式有兩種：其一，由于HTML語言允許使用腳本進(jìn)行簡(jiǎn)單交互，入侵者便通過技術(shù)手段在某個(gè)頁(yè)面里插入一個(gè)惡意HTML代碼——例如記錄論壇保存的用戶信息(Cookie)，由于Cookie保存了完整的用戶名和密碼資料，用戶就會(huì)遭受安全損失。讓我們舉一個(gè)例子來說明這種情況：比如某個(gè)正規(guī)論壇是你經(jīng)常去的，你當(dāng)然不會(huì)懷疑這個(gè)論壇有問題，但是有些無聊的用戶可能在這個(gè)論壇發(fā)布帶有惡意腳本的帖子，當(dāng)你瀏覽這個(gè)帖子時(shí)，就有可能被攻擊。
　“垂釣者”自然不會(huì)索要用戶的Cookie信息，如今有多少商務(wù)網(wǎng)站會(huì)允許用戶保存Cookie呢?所以他們只能讓用戶自己送上門來，這就出現(xiàn)了第二種同時(shí)也是目前更為流行的跨站攻擊方式：“垂釣者”利用一段特殊的跨站攻擊腳本代碼讓頁(yè)面彈出一個(gè)設(shè)計(jì)時(shí)根本不曾有的網(wǎng)頁(yè)對(duì)話框，它要求用戶輸入密碼或者把用戶帶到偽造的站點(diǎn)。因?yàn)檫@些對(duì)話框是用戶在正常網(wǎng)站看到的，他們自然不會(huì)懷疑它的合法性，然而正是這種心理欺騙法導(dǎo)致了又一場(chǎng)信任危機(jī)。
　這種方法迫害的不僅僅是用戶，更是無辜的商務(wù)站點(diǎn)，因?yàn)榭缯竟舨⒉皇侨肭址?wù)器，而是在客戶那邊進(jìn)行篡改，商務(wù)站點(diǎn)根本不知道發(fā)生了什么事情，直到用戶找上門來，他們才發(fā)現(xiàn)自己的信譽(yù)被這些騙子給毀了。
　　

危險(xiǎn)的HOSTS文件
　對(duì)網(wǎng)絡(luò)了解較多的讀者一般都會(huì)知道Windows的系統(tǒng)目錄中有個(gè)HOSTS文件，它的作用是把IP地址和網(wǎng)址映射起來。大家都知道，訪問網(wǎng)站時(shí)必須通過DNS服務(wù)器把域名解析為IP地址，這樣瀏覽器才能知道連接到哪里才是我們要的網(wǎng)站。在Windows的處理邏輯里，它總是先在HOSTS文件里查找這個(gè)域名和IP的對(duì)應(yīng)關(guān)系，如果對(duì)應(yīng)關(guān)系存在，Windows就直接連接HOSTS表里描述的IP地址，只有在找不到的時(shí)候才向DNS服務(wù)器發(fā)送解析域名的請(qǐng)求，這個(gè)邏輯關(guān)系在某些程度上的確方便了用戶，因?yàn)镠OSTS表的優(yōu)先度比任何一個(gè)DNS服務(wù)器都高，然而可怕的是，正是由于HOSTS表的特性，我們可能再次成為被釣的“魚”。
　HOSTS表的原理是更改域名與IP的映射關(guān)系，我們能改，“垂釣者”就也能更改。通過利用諸如MIME、EML等下載漏洞，甚至只是簡(jiǎn)單的網(wǎng)頁(yè)腳本，騙子就能在HOSTS表里添加任何他們想要的映射關(guān)系，因?yàn)镠OSTS藏得太深了，一般用戶很少會(huì)留意到這個(gè)文件的變化，這就給“垂釣者”鉆了個(gè)空子，雖然HOSTS表是為域名和IP地址建立映射關(guān)系，但是它并不能判斷這個(gè)映射關(guān)系的準(zhǔn)確性!于是“垂釣者”把用戶訪問幾率較大的商務(wù)網(wǎng)站域名和他們偽造的網(wǎng)站IP地址映射起來，以后用戶即使是自己輸入的域名，即使安裝了無數(shù)殺毒監(jiān)視程序也無法扭轉(zhuǎn)被帶入欺騙站點(diǎn)的厄運(yùn)——誰讓HOSTS的優(yōu)先權(quán)那么高呢?
　　

HOSTS表映射原理

遠(yuǎn)離釣魚：一道沉重的難題
　網(wǎng)絡(luò)釣魚之所以如此猖獗并且能夠頻頻得手，最大的原因就是利用了人們疏于防范的心理以及“貪小便宜”和“貪圖便利”的弱點(diǎn)。“垂釣者”投下足夠吸引獵物上鉤的“美味魚餌”——或恐嚇，或誘惑，用戶的防線在這些因素的干擾下徹底崩潰而咬住了鉤子。這是任何殺毒軟件也無法解決的，因?yàn)?ldquo;毒”在內(nèi)心，而非軟件。當(dāng)然這些騙術(shù)也涉及了一些技術(shù)手段，但是社會(huì)工程學(xué)的影響卻成了最大的干擾。我們無法阻止全部網(wǎng)絡(luò)釣魚攻擊，稍不留意，厄運(yùn)就會(huì)降臨，我們能做的，惟有提高自己的警惕性和降低貪欲，同時(shí)學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)，才能盡量減少“上鉤”的幾率。#p#分頁(yè)標(biāo)題#e#