不只是方法論:全方位解構網絡釣魚威脅
責編:admin |2014-12-18 16:34:22“網絡釣魚”是當今威脅互聯網用戶最為常見的一種手段,尤其是在淘寶、天貓、京東等電商購物方式盛行的今天,它會給用戶帶來巨大的經濟損失,而且,其手段也從傳統的網站欺騙過渡到電信欺騙等方式,讓用戶防不勝防。雖然電商都在通過反釣魚、網站監測等方式來避免被釣魚,用戶還是需要具備一些必要的防御手段來避免“中招”,以減少不必要的經濟損失。本文將針對該威脅進行分析,探討其常見手段并介紹一些較為實用的防御方法。
網絡釣魚的真相
網絡釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由于黑客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了“Phishing”。然而,當今的“網絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局做出響應。
“網絡釣魚”就其本身來說,稱不上是一種獨立的攻擊手段,更多的只是詐騙方法,就和現實中的一些詐騙差不多。黑客利用欺騙性的電子郵件和假冒的Web站點來進行詐騙活動,誘騙訪問者提供一些個人信息,如信用卡號、賬戶號和口令、社保編號等內容(通常主要是那些和財務、賬號有關的信息)。黑客通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌單位,因此,受害者往往也是那些和電子商務有關的服務商和使用者。隨著2005年美國4千萬信用卡信息被竊案的發生,Phishing事件受到國內外的密切關注。在剛剛過去的2011年,除了傳統的假淘寶網站、假QQ網站、假網上銀行網站、六合彩釣魚網站等,黑客又發展到假sina網站、假機票網站、假火車票網站、假藥品網站等等,可以說,隨著互聯網應用的增多尤其是電子商務的進一步發展,“網絡釣魚”正在高速壯大,對網民的威脅越來越大。
警惕網絡釣魚的主要手段
網上黑客采用的“網絡釣魚”方法比較多,歸納起來大致有以下幾種方法:
(1)發送垃圾郵件 引誘用戶上鉤
該類方法以虛假信息引誘用戶中圈套,黑客大量發送欺詐性郵件,這些郵件多以中獎、顧問、對賬等內容引誘用戶在郵件中填人金融賬號和密碼,或是以各種緊迫的理由(如在某超市或商場刷卡消費,要求用戶核對),要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。
(2)建立假冒網上銀行、網上證券網站
騙取用戶賬號密碼實施盜竊黑客建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平臺極為相似的網站,誘使用戶登錄并輸人賬號密碼等信息,進而通過真正的網上銀行、網上證券系統盜竊資金;還可利用合法網站服務器程序上的漏洞,在該站點的某些網頁中插人惡意Html代碼,屏蔽那些可用來辨別網站真假的重要信息,利用cookies竊取用戶信息。
(3)URL隱藏
根據超文本標記語言(HTML)的規則可以對文字制作超鏈接這樣就使網絡釣魚者有機可乘。查看信件源代碼就能很快就找出了其中的奧秘,網絡釣魚者把它寫成了這樣http://www.Bbank.com.cn 這樣屏幕上就顯示了Bbank 的網址而實際上卻鏈接到了Abank的陷阱網站。
(4)利用虛假的電子商務進行作騙
黑客建立電子商務網站,或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息,黑客在收到受害人的購物匯款后就銷聲匿跡。除少數黑客自己建立電子商務網站外,大部分黑客采用在知名電子商務網站上,如“易趣”、“淘寶”、“阿里巴巴”等,發布虛假信息,以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”的名義出售各種產品,或以次充好,很多人在低價的誘惑下上當受騙。網上交易多是異地交易,通常需要匯款。黑客一般要求消費者先付部分款,再以各種理由誘騙消費者付余款或者其他各種名目的款項,得到錢款或被識破時,就立即切斷與消費者的聯系。
(5)利用木馬和黑客技術竊取用戶信息后實施盜竊
黑客通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序,當感染木馬的用戶進行網上交易時,木馬程序可獲取用戶賬號和密碼,并發送給指定郵箱,用戶資金將受到嚴重威脅。
(6)利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼
黑客利用部分用戶密碼設置過于簡單的賬號,對賬號密碼進行破解。目前已有很多的弱口令破解黑客工具在網上可以免費下載,它們可以在很短的時間內破解出各類比較簡單的用戶名及密碼。
(7)其他手段
實際上,黑客在實施“網絡釣魚”犯罪活動過程中,經常采取以上幾種手法交織、配合進行。值得特別提醒的是:“網絡釣魚”非法活動并不排除有新的手段的出現,并且已經不僅限于通過網絡方式,還包括電信詐騙等方式,比如現今泛濫成災的“垃圾手機短信”和”陷阱電話”,其中有部分是詐騙短信,以急迫的口吻要求用戶對并不存在的已消費的“商品”進行買單,或者以熟悉的朋友或者是親人的身份來要求受害人呢提供帳戶和密碼,嚴格地說,它也應當屬于“網絡釣魚”的范疇。所以,推而廣之,任何通過網絡手段(包括通信)進行詐騙和誤導用戶使之遭受經濟損之的行為都應當稱之為“網絡釣魚”。
實用的防范策略
個人用戶要避免成為Phishing的受害者,一定要加強安全防范意識,提高安全防范技術水平,針對性的措施可以歸納如下幾點:
(1)防范垃圾郵件:這是防范網絡釣魚最為重要和關鍵的一步。當今絕大部分的垃圾郵件都攜帶有網絡釣魚的鏈接,用戶們經常受到莫名其妙的郵件,因為好奇而點擊其中的鏈接,隨著而來的便是或被其中的“廉價”或者“偽冒”信息所蠱惑,或者是被安裝上了木馬。因此,利用垃圾郵件防護工具或者主動地對不明郵件提高警惕是防范網絡釣魚的第一要義。
(2)安裝防病毒系統和網絡防火墻系統:這是一個非常必須的步驟,多數反病毒軟件都具有對包括間諜軟件、木馬程序的查殺功能;防火墻系統監視著系統的網絡連接,能夠杜絕部分攻擊意圖并及時報警提醒用戶注意。由于病毒和黑客攻擊手段翻新不斷,防病毒和防火墻系統應及時升級,定期殺毒。
(3)及時給操作系統和應用系統打補丁,堵住軟件漏洞:象Windows操作系統和IE瀏覽器軟件都存在很多已知未知的漏洞,一般廠家在發現漏洞之后會迅速推出相應的補丁程序,用戶應當經跟蹤操作系統和應用程序的官方網站,充分利用廠商的資源,在發現各種漏洞時第一時間為自己的系統打上安全補丁,避免黑客利用漏洞人侵電腦,減少潛在威脅。
(4)從主觀意識上提高警惕性,提高自身的安全技術:首先要注意核對網址的真實性,在訪問重要的網站時最好能記住其網絡域名或者IP地址,確保登陸到正確的網站,避免點擊搜索引擎搜索出的鏈接等簡便方法。第二要養成良好的使用習慣,不要輕易登錄訪問陌生網站、黃色網站和有黑客嫌疑的網站,拒絕下載安裝不明來歷的軟件,拒絕可疑的郵件,及時退出交易程序,做好交易記錄及時核對等等。
(5)妥善保管個人信息資料:很多銀行為了保障用戶的安全,設定了登錄密碼(查詢密碼)和支付密碼(取款密碼)兩套密碼,用戶若保證登錄密碼與支付密碼不相同,這樣即使登錄密碼被竊取,網絡釣魚者依然無法操作用戶的資金。盡量選擇安全的密碼,建議選用字母、數字混合的方式,以提高密碼猜測和破解難度。密碼等個人資料應妥善保管并定期更新,避免將密碼泄露給他人。
(6)采用新的安全技術:數字證書是一種很安全的方式,通過數字證書可以進行安全通信和電子數字簽名,電子簽名具有法律效力。網上交易在數字證書簽名和加密的保護下進行網上數據的傳送,杜絕了網絡釣魚者使用跨站cookie攻擊以及嗅探偵測的可能。數字證書具有可復制性,如同家門鑰匙一樣,用戶應妥善保管。對于一些被假冒的機構和政府相關管理部門而言,也應采取相應的措施與Phishing這種犯罪活動做斗爭。例如銀行也可積極采取技術措施和宣傳活動讓用戶能夠識別真假避免上當。相關政府職能部門也應溝通合作,及時定位、關閉這些仿冒網站并從其所有者手中追回被盜的用戶信息,減少直接和潛在損失。