網(wǎng)絡(luò)釣魚如何防范?

網(wǎng)絡(luò)釣魚已成為網(wǎng)絡(luò)安全領(lǐng)域最嚴(yán)重的威脅之一。它雖然不是一種新的病毒入侵方法，但是危害范圍卻在逐漸擴(kuò)大。面對(duì)越演越烈的網(wǎng)絡(luò)釣魚，我們應(yīng)該如何防范?

新疆維吾爾自治區(qū)煙草公司

互聯(lián)網(wǎng)的高速縱深拓展正極大地推動(dòng)著整個(gè)社會(huì)的發(fā)展與變革，人們的日常生活、工作、興趣也越來越多地遷移到互聯(lián)網(wǎng)，例如:網(wǎng)上銀行、電子政務(wù)、網(wǎng)絡(luò)商店、網(wǎng)上支付、網(wǎng)絡(luò)炒股等，這些基于網(wǎng)絡(luò)的業(yè)務(wù)在給人們的生活帶來便利的同時(shí)，也伴生了不可避免的煩惱。當(dāng)前，網(wǎng)絡(luò)釣魚已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域最嚴(yán)重的威脅之一。它雖然不是一種新的病毒入侵方法，但是危害范圍卻在逐漸擴(kuò)大。

網(wǎng)絡(luò)釣魚伺機(jī)而動(dòng)

網(wǎng)絡(luò)釣魚 (Phishing)一詞，是“Fishing”和“Phone”的綜合詞，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了“Phishing”。網(wǎng)絡(luò)釣魚就其本身而言，并沒有使用什么復(fù)雜高深的技術(shù)手段，也算不上是一種新穎、獨(dú)立的攻擊手段，其本質(zhì)是利用社會(huì)工程學(xué)(Social Engineering)原理的網(wǎng)絡(luò)詐騙手段。社會(huì)工程學(xué)是通過對(duì)受害者的心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得個(gè)人利益的一種手法。

網(wǎng)絡(luò)釣魚從攻擊角度上分為兩種形式:一種是通過偽造具有“概率可信度”的信息來欺騙受害者，這里提到了“概率可信度”這個(gè)名詞，從邏輯上說就是有一定的概率使人信任并且響應(yīng)，從原理上說，攻擊者使用“概率可信度”的信息進(jìn)行攻擊，這類信息在概率內(nèi)正好吻合了受害者的信任度，受害者就可能直接信任這類信息并且響應(yīng);另外一種是通過“身份欺騙”信息來進(jìn)行攻擊，攻擊者必須掌握一定的信息，利用人與人之間的信任關(guān)系，通過偽造身份，使用這類信任關(guān)系偽造信息，最終使受害者信任并且響應(yīng)。

據(jù)統(tǒng)計(jì)，在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。據(jù)中國(guó)反釣魚網(wǎng)站聯(lián)盟最新月報(bào)顯示，2010年4月，該聯(lián)盟受理并暫停域名解析的釣魚網(wǎng)站為1785個(gè)，較前個(gè)月增長(zhǎng)70%，約有4500萬網(wǎng)民因網(wǎng)絡(luò)釣魚蒙受損失，總金額達(dá)76億元。在網(wǎng)絡(luò)釣魚中，釣魚者巧妙利用社會(huì)工程學(xué)原理，洞穿大多數(shù)網(wǎng)絡(luò)用戶的心理，設(shè)計(jì)了美味的“魚餌”，誘騙用戶上鉤，主要涉及如下幾種形式:

1.假冒知名網(wǎng)站，騙取用戶信任，盜取用戶資料。

詐騙者通常利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙，或者將自己偽裝成知名銀行、網(wǎng)上證券交易平臺(tái)、淘寶網(wǎng)、支付寶、在線零售商等擁有較好信譽(yù)的企業(yè)品牌給用戶發(fā)送陷阱郵件，想方設(shè)法布局誘騙訪問者提供個(gè)人資料，如網(wǎng)銀賬號(hào)、郵箱賬號(hào)、手機(jī)密碼、隱私信息等。

2.制造緊迫感，迫使用戶無暇核實(shí)信息。

在釣魚者發(fā)來的郵件中，常常會(huì)聲稱如不立即進(jìn)行某項(xiàng)操作就可能造成嚴(yán)重后果。例如:某封自稱是“中國(guó)工商銀行安全警告”的釣魚郵件中，會(huì)通知你的網(wǎng)銀密碼可能已被不法分子盜用，要求你立即登錄網(wǎng)站修改密碼，避免不必要的損失。

3.以超低價(jià)(打折、促銷、中獎(jiǎng)、退稅、“慈善義賣”)等為幌子，誘惑用戶。

網(wǎng)上交易多是異地形式，通常需要異地轉(zhuǎn)賬匯款，交易雙方天各一方，很難進(jìn)行真?zhèn)舞b別和溯源定位，一旦釣魚者騙取消費(fèi)者錢款得逞或者詐騙伎倆被識(shí)破后就可能立即永遠(yuǎn)切斷和消費(fèi)者的聯(lián)系。

4.利用各種心理弱點(diǎn)，增加好奇心。

網(wǎng)絡(luò)上的信息龐大繁雜，包羅萬象?！跋肟闯扇嗣赓M(fèi)電影么?”、“想看性感車模的清涼寫真么?”、“想獲取TA的聯(lián)系方式么?”、“想免費(fèi)參加新馬泰十日游么?”當(dāng)看到這些極具誘惑力的標(biāo)題時(shí)，很多人可能毫不猶豫地點(diǎn)擊了鼠標(biāo)，而這樣就極有可能掉入釣魚者精心安排的陷阱。

幾種常用技術(shù)手段

網(wǎng)絡(luò)釣魚本質(zhì)上是網(wǎng)絡(luò)欺詐，其形式多種多樣，在信息安全領(lǐng)域的專業(yè)人士眼中，網(wǎng)絡(luò)釣魚并沒有過多的技術(shù)含量，主要是利用人們心理上的弱點(diǎn)同時(shí)配合輔助的技術(shù)手段來予以實(shí)現(xiàn)，釣魚者常用的技術(shù)手段主要包括以下幾個(gè)方面:

1.虛假的網(wǎng)址

當(dāng)人們?cè)诨ヂ?lián)網(wǎng)上訪問某個(gè)網(wǎng)址時(shí)，很少會(huì)核對(duì)URL地址的真實(shí)性、準(zhǔn)確性，因此利用各種手段偽造URL地址、把用戶引導(dǎo)向釣魚網(wǎng)站成為最常用的技術(shù)手段，這一手段具有以下表現(xiàn)形式:

(1)假冒URL

例如:字母“1”和“I”僅憑肉眼不好區(qū)分，所以“1cbc.com” 可能會(huì)被用來偽造“icbc.com”;用“ebays.com” 偽造“ebay.com”等。

(2)URL編碼偽造

攻擊者會(huì)利用URL的編碼原理，提高釣魚網(wǎng)站與真實(shí)網(wǎng)站的相似程度。URL編碼就是將字符轉(zhuǎn)換成為16進(jìn)制并在前面加“%”前綴，例如:Google的域名后綴“.cn”URL編碼后成為“http://www.google%2E%63%6E”，這種形式的網(wǎng)址在客戶機(jī)瀏覽器和服務(wù)器端都能正常支持，攻擊者可以通過http: //www.google cn% 2E%1A%6C%25%4B%4B%5C這一仿冒URL將用戶欺騙至釣魚網(wǎng)站，而不是http://www.google.cn。

(3)利用IP地址

利用IP地址而非域名顯示服務(wù)器的訪問入口或網(wǎng)址，以達(dá)到隱藏身份的目的。

(4)欺騙性超鏈接

即超鏈接的標(biāo)題和鏈接實(shí)際指向的地址不一致，這種欺騙手段比較容易被識(shí)破，可以通過核查鏈接指向的實(shí)際目的地址的準(zhǔn)確性予以判別真?zhèn)?部分釣魚網(wǎng)站可能通過JavaScript和URL隱藏技術(shù)使IE狀態(tài)欄中的地址無法顯示)。

2.漏洞

(1)Web漏洞

近年來，XSS(跨站腳本)成為Web漏洞中的熱點(diǎn)，XSS漏洞的特性是能夠在遠(yuǎn)程Web頁(yè)面中植入惡意腳本，達(dá)到跨域名跨頁(yè)面修改網(wǎng)頁(yè)任意內(nèi)容的目的。當(dāng)用戶使用瀏覽器下載這一頁(yè)面時(shí)，嵌入在其中的惡意腳本被執(zhí)行。例如在網(wǎng)頁(yè)中插入以下JavaScript代碼，該頁(yè)面的原有內(nèi)容會(huì)被清空，從而使網(wǎng)頁(yè)內(nèi)容被篡改:

window.onload=function Phish(){

document.open();

document.clear();

document.write(“Phishing Attack By 80 seconds”);

document.close();

}

釣魚者可以通過XSS漏洞任意修改可信站點(diǎn)的內(nèi)容，引誘用戶按照提示給出自己的敏感信息，而用戶對(duì)此渾然不知。

(2)瀏覽器漏洞

這類漏洞往往利用客戶端軟件漏洞、通過偽造URL或者網(wǎng)頁(yè)內(nèi)容等方式實(shí)施欺詐，完全不受服務(wù)器端和網(wǎng)絡(luò)環(huán)境的限制，危害甚大。

(3)服務(wù)器漏洞

最典型的服務(wù)器漏洞是偽造Email地址，釣魚者可以借助郵件地址嗅探搜索工具、郵件群發(fā)器、郵件代理服務(wù)器等工具發(fā)送匿名郵件，或者偽造任何人的身份實(shí)施郵件欺騙。如下面的原始郵件頭信息:

Received:from localhost(unknown[210.191.163.131])

By 192.168.1.1(Postfix) with ESMTP id 8D20F606002

for rayh4c@80sec.com;Tue，23 Dec 2008 10:03:08

+0800(CST)

Subject:中獎(jiǎng)了!

MIME-Verion:1.0

From:“Admin”

To:rayh4c@80sec.com

這里MIME頭中的From字段(代表發(fā)件人的源地址)是可以任意控制的，普通用戶很難辨別郵件的真?zhèn)巍?/p>

(4)協(xié)議漏洞

除使用Web攻擊技術(shù)進(jìn)行釣魚以外，攻擊者還可能使用網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行釣魚，例如大家熟知的ARP攻擊、DNS劫持、DHCP劫持漏洞等。

3.重定向

重定向技術(shù)通過改變域名和IP地址之間的對(duì)應(yīng)關(guān)系(即域欺騙)把用戶毫無察覺地引向釣魚網(wǎng)站。釣魚者可以在服務(wù)器端(如攻擊DNS服務(wù)器)或者客戶端(如修改Windows系統(tǒng)地HOSTS文件)實(shí)施這種詐騙。

4.惡意代碼、病毒

釣魚者在發(fā)給用戶的垃圾郵件中可能潛伏有包括木馬、病毒、惡意程序、間諜軟件、黑客軟件等在內(nèi)的惡意代碼，或是利用弱口令等漏洞破解、猜測(cè)用戶賬號(hào)和密碼，其目的就是為了搜集、盜取、利用用戶個(gè)人信息。

網(wǎng)絡(luò)釣魚的防范對(duì)策

僅僅依靠網(wǎng)絡(luò)運(yùn)營(yíng)監(jiān)管部門、基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)商單一的查封域名、停止網(wǎng)站運(yùn)營(yíng)等手段打擊、制止、防范網(wǎng)站釣魚，只能起到治標(biāo)的效果，治本之策還在于提高網(wǎng)民的安全防范意識(shí)和操作技能，通過多方合力、多措并舉，加強(qiáng)終端安全防御，才能逐漸予以徹底清理整治。中國(guó)諾網(wǎng)安全專家指出，不管釣魚者玩出什么花樣，總會(huì)有一個(gè)環(huán)節(jié)是讓用戶輸入用戶名和密碼，這是網(wǎng)絡(luò)釣魚必經(jīng)的一步，以下列舉出常用的、簡(jiǎn)易可行的網(wǎng)絡(luò)釣魚防范對(duì)策。

1.不輕信陌生人。

2.不在不安全的計(jì)算機(jī)上輸入個(gè)人賬戶資料(例如網(wǎng)吧、公用計(jì)算機(jī)等)。

3.不輕易點(diǎn)擊充滿誘惑性的鏈接(如中獎(jiǎng)、退稅等)。

4.不輕易泄露個(gè)人賬戶信息。

5.不在不可信的網(wǎng)站上進(jìn)行在線交易。

6.不要害怕(面對(duì)不可信網(wǎng)站提供的威脅和警告首先要想辦法予以核實(shí))。

7.慎重轉(zhuǎn)賬匯款(必須在確認(rèn)網(wǎng)站資質(zhì)信息后再匯款)。

8.核對(duì)網(wǎng)址(牢記自己開戶銀行的網(wǎng)址，每次通過輸入網(wǎng)址并核對(duì)無誤后正確登錄，避免采用搜索引擎的鏈接進(jìn)入銀行網(wǎng)站。用戶可以通過到工信部ICP備案查詢系統(tǒng)核實(shí)網(wǎng)站的ICP號(hào)以確認(rèn)網(wǎng)站資質(zhì))。

9.保護(hù)好個(gè)人網(wǎng)易賬戶信息(確保網(wǎng)銀賬戶登錄密碼、交易支付密碼不盡相同，密碼要具備一定的復(fù)雜程度，避免和個(gè)人資料相關(guān)，并妥善保管，增加暴力破解的難度)。

10.慎重處理電子郵件，過濾、刪除垃圾郵件，增強(qiáng)郵件安全檢測(cè)和安全配置。

11.必須使用網(wǎng)銀硬件安全數(shù)字證書(如工行U盾、身份認(rèn)證加密芯片等)。

12.做好終端網(wǎng)絡(luò)安全防范(在終端安裝防病毒、防火墻軟件，定時(shí)升級(jí);及時(shí)升級(jí)操作系統(tǒng)，打好補(bǔ)丁、封堵漏洞、關(guān)閉高危端口服務(wù);增強(qiáng)終端瀏覽器的安全配置，及時(shí)維護(hù)可信站點(diǎn)列表，對(duì)不可信站點(diǎn)提高安全防范等級(jí);網(wǎng)上下載或者通過QQ、MSN等即時(shí)通信工具接收的文件必須先檢測(cè)殺毒再打開運(yùn)行)。

13.使用專業(yè)產(chǎn)品工具屏蔽惡意網(wǎng)站、釣魚網(wǎng)站(如趨勢(shì)科技IWSA網(wǎng)關(guān)、瑞星卡卡等)。

針對(duì)網(wǎng)絡(luò)釣魚的詐騙行為，工信部、公安部等相關(guān)部委都設(shè)有專門的監(jiān)管機(jī)構(gòu)。但由于釣魚網(wǎng)站頻繁出現(xiàn)，現(xiàn)有的處理機(jī)制很難及時(shí)有效制止釣魚網(wǎng)站， 在中國(guó)反釣魚網(wǎng)站聯(lián)盟成立前，國(guó)內(nèi)還沒有建立專門協(xié)調(diào)此問題的組織。聯(lián)盟的成員單位目前還有限，對(duì)于層出不窮的釣魚網(wǎng)站，國(guó)內(nèi)反釣魚網(wǎng)站協(xié)調(diào)機(jī)制和反釣魚網(wǎng)站綜合治理體系的建設(shè)還需進(jìn)一步推進(jìn)。另外，國(guó)家有關(guān)的法律法規(guī)也有待進(jìn)一步完善。