網絡釣魚 (Phishing)一詞是Phreak(偷接電話線的人)的前兩個字母ph取代fishing(釣魚)的f之后的結合體,屬于以“社會工程學”結合電腦科技的犯罪手法。其實Phishing并不算是一種新的入侵方法,入侵者通過技術手段偽造出一些以假亂真的網站,誘惑受害者在偽造灣站上“自愿”交出重要信息或被竊取重要信息的手段。
經近一段時間的“315”打假,網站打假也正在如火如荼的進行中。打假過程中,用戶反應最為強烈的依然是網上銀行的安全系統。近日,通過上海金融報的調查結果顯示,排列前四名的銀行詐騙事件分別是下面四種,而網絡釣魚“榮獲冠軍”:
一、通過“冒牌網上銀行”(釣魚網站)進行詐騙。
二、用手機短信、媒體廣告拋出“貸款誘餌”詐騙。
三、冒充國家公職人員或銀行專業人士進行詐騙。
四、利用朋友等親密關系,套取客戶資料后盜取資金。
在春節過后的這段時間里,釣魚攻擊的電子郵件的數量沒有明顯增長,但不代表那些不法之徒已經開始退縮,而是在選擇和研究更有效地擊中目標的方法。自從今年開始以來,網絡釣魚攻擊已經具有了攻擊性更強和技術更隱蔽的特點。
微軟IE7帶來的安全感
網絡釣魚與其它攻擊行為的主要取被是入侵者并不需要主動攻擊,他們擺出一幅“姜太公釣魚,愿者上鉤”的姿態。在詐騙手段上,最主要方式是使用“垃圾郵件”,在電子郵件成為當今主要聯系方式的同時,即使是大海撈針的行為,也能撈起一兩根針的。這些郵件多以中獎、顧問、對帳等內容引誘用戶在郵件中填入金融賬號和密碼,或是以各種緊迫的理由要求收件人登錄某網頁,例如:我最近常收到一些“ADSL交費郵件“,或者提示“朋友贈送禮品”郵件等,大量“忽悠”的郵件充滿了我的公開郵箱。有個朋友告訴我,他為了一探究竟,在充分準備防毒軟件和加固系統后,登錄了這些網站,不過他們都要求提交用戶名、密碼、身份證號、信用卡號等信息,他實在不敢在拿包里的鈔票做游戲了。另外,最近還聽說有些假冒慈善機構名義募款的網站出現,真可謂喪盡天良。
Internet Explorer 7正式版推出后,給了我們很大的希望。它與以往任何一個版本的IE有了顯著的變化和改進,尤其增加用戶保護狀態,即使黑客入侵了IE也不能全面控制機器,從而提高了操作系統的整體安全性。我們應該承認,IE7在廣告攔截能力上有了很大提高,而且除去加密網頁的警告方式改變之外,新增的反釣魚檢測功能,讓我們在一段時間里擁有了一絲安全感。
與病毒感染一樣,普通用戶只會在瀏覽器遭到修改和欺騙之后才發現問題。他們的IE主頁和網絡搜索已被設置為其它網站,到處都是彈出的窗口,收藏夾里盡是色情網站地址,而且要想完全修復這些問題,既費時又費力。隨著時間的推移,很多用戶根據實際應用后,感到IE 7這些新增的安全性的并不能代替其他安全產品,單獨的依靠IE7的安全性去挑戰數不勝數的釣魚攻擊,顯得勢單力薄。
IE7 防釣魚的弱點
第一,公眾參與程度低
拿大家談論較多的垃圾郵件防范來說,我們都清楚“可變陌生訪問限制(Variable Strange Visiting Limit)”是最為有效的一種控制垃圾郵件技術,它的核心思想表現為:“根據郵件接收人對垃圾郵件的投訴,計算發信人的信用,以此控制垃圾郵件的發送,采用郵件服務器與郵件地址兩級白名單控制垃圾郵件的接收。” 這種信用機制的有效性由VSVL郵件用戶對垃圾郵件的投訴率決定,如果投訴率太低會使信用控制失靈,Spammer可以不斷地使用限額發送垃圾郵件,如投訴率太低就會累積更多的限額而發送更多的垃圾郵件。但這種防治方式,長期無法普及,這與公眾的參與程度是分不開的。微軟除了與安全廠商合作之外,最主要的以IE7人工舉報為例:“如果你懷疑某網站是一個仿冒網站,可以單擊 ‘報告此網站’的功能,這將有助于微軟對此網站進行評估”。但從國內用戶來看,這種方法很難避免“釣魚事件”的減少,IE7的在防釣魚功能的無助也暴露無疑。
第二,微軟產品漏洞,再次引爆“信任危機”
近日爆料,以色列安全研究人員 Aviv Raff 稱,微軟 IE7 中存在一個缺陷,可以讓釣魚欺詐網站偽裝成正常網站,誘導用戶上當受騙。Aviv Raff 指出,問題出現在 IE7 處理本地 HTML 錯誤信息頁面的過程中,比如如果用戶臨時取消網頁的載入,就會出現熟悉的“已取消到該網頁的導航”頁面,并提供“刷新該網頁”的鏈接。一旦用戶點擊這個“刷新”鏈接,就可能陷入虛假網頁的欺騙。Raff 已經發布了概念驗證型代碼,并且演示IE7如何被騙的過程。點擊下面的網址,觀看演示
Aviv Raff指出,這是 IE 里常見的跨網站腳本缺陷,Windows XP 和 Windows Vista 下都無法幸免。IE7 此前暴露的幾個漏洞也屬于此類。微軟宣稱已經開始就此展開調查。雖然尚未發現任何實際攻擊,但在微軟發布補丁前,安全專家奉勸用戶最好不要輕信 IE 的錯誤頁面。唉!剛剛積攢起來的信任感,又被這個可怕消息抹殺了。
有效防范釣魚的建議
研發應用新技術,為網絡信息安全保駕護航的同時,我們呼吁用戶更要在通過互連網進行金融業務的同時堅強自我防范的意識。并且呼吁有關機關,對與危害社會穩定和國家金融安全、煽動和誘導犯罪、損毀他人名譽、網絡欺詐侵權、黑客攻擊、傳播色情信息等違法行為加以嚴懲,讓“釣魚者”成為整個社會捕殺的對象。具體的講,防止釣魚事件的發生要從以下幾個方面入手:
個人安全意識的提高
對于個人用戶來講,提高警惕是第一位的。不登錄不熟悉的網站,鍵入網站地址的時候要校對,如果發現網址中出現“@”等特殊字符一定要小心,以防誤入狼窩。另外在陌生郵件和即時通訊工具上的傳來的消息,一定不要抱著“試一試”的心態,天上即使掉餡餅也不會砸到你的。最后,安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁、安裝個人防火墻等,都能提高電腦的安全性。
安全技術的推廣
很多廠商和也提出了一系列的反網絡釣魚對策,如:改善網頁應用程序的存取技術,使用硬件式的單次密碼系統;強化網站登入認證機制,使用安全證書等。很多措施應該是可以有效避免用戶被釣行為的發生,比如:單次密碼系統,用戶操作界面網頁個人化等等,但很多普通用戶根本不了解這些知識,所以普及和推廣不但要在金融行業的用戶,對于個人用戶也應加強。
嚴懲“釣魚者”
由于釣魚欺詐行動隱秘,因此一般很難抓到犯罪嫌疑人,不過法網恢恢疏而不漏,根據美國媒體報道,一名加利福尼亞男子因此可能被判入獄101年。Jeffrey Brett Goodin現年45歲,來自美國加州Azusa市,兩周前被洛杉磯聯邦地方法院判定有罪,他成為美國2003年《反垃圾郵件法》(Can-Spam Act of 2003)確定后的第一個個人犯罪案例,罪名包括:網絡欺詐、盜用信用卡、濫用AOL商標、阻攔證人作證等等。眾罪并罰,要想出獄,Goodin就必須等到2108年。雖然是國外的法律案例,但我想,這可能對國內的犯罪分子和立法機構都是一個刺激。我們呼吁有關機關,對與危害社會穩定和國家金融安全、煽動和誘導犯罪、損毀他人名譽、網絡欺詐侵權、黑客攻擊、傳播色情信息等違法行為加以嚴懲,讓“釣魚者”成為整個社會捕殺的對象。
