網絡釣魚手段分析與防范對策研究

楊明

中國人民公安大學 北京 100038

0 前言

網絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于最初黑客是用電話實施詐騙活動，所以用“Ph”來取代了“F”，變成了現在的“Phishing”。網絡釣魚的基本原理可以概述為網絡犯罪分子綜合利用社會工程學原理和互聯網應用技術手段，以盜取個人敏感信息為重要途徑實施網絡詐騙的違法犯罪手段和行為方式。目前，網絡釣魚分兩類，第一類主要是通過社會工程學的方法對網絡用戶進行誘騙，以獲取網絡用戶金融信息和其他個人信息。釣魚者搜集相關個人信息，引誘他人受騙。另一類主要是利用技術手段攻擊計算機或網頁可能存在的漏洞，影響其正常有效運行后，再對網絡用戶進行誘騙。

1 網絡釣魚的案例分析

2012 年春運，鐵道部首次專門開通了網上購票系統，由于其方便快捷，許多旅客將網絡購票作為首選方式。然而，一些“釣魚”網站也相繼浮出水面，通過設置各種購票“陷阱”騙取錢財。家住北京的蘇女士打算春節帶孩子回南方老家探親，在鐵路部門官方網站沒買到火車票，就登錄國內信譽較好的“去哪兒網”購票，卻通過一個鏈接進入了一家名為“逍遙行上海營業部”的網站購票，這個網站看上去很規范，上面列著車次、價格、送票費等信息，還需要旅客填寫姓名、身份證件號碼、手機號碼、送票地址等個人信息。蘇女士沒多想就填好這些信息，并按了“購買”按鈕。蘇女士按照建設網銀付款，輸入銀行賬號密碼，核對無誤后就點擊“付款”。為了保險起見，蘇女士撥打網站上的服務熱線4006976678咨詢。接電話的男子先告知那趟火車沒票了，可退還票款，但必須到最近的建行ATM。蘇女士來到建行ATM網點，對方問：有“申請退款”按鍵嗎？——自然是沒有。他解釋說那臺ATM系統沒更新，所以就按“轉賬匯款”鍵，按他說的“交易代碼”操作才行。蘇女士因為著急退款，也就稀里糊涂地按他說的做了。結果收到銀行扣款短信，被扣去了 1580 元。此時，蘇女士才意識到已上當受騙。在百度上搜索關于“逍遙行上海營業部”的信息，發現與蘇女士一樣遭遇的人不在少數。

分析本案例中蘇女士由于購票心切，相信網站中“還有火車票”的誘餌，通過一個鏈接進入了一家名為“逍遙行上海營業部”的釣魚者精心設計的假冒網站，繼而又撥打了所謂的熱線電話，在得知可退款后，又盲目轉賬，最后造成了無法挽回的損失。網絡釣魚最基礎也是最重要的是“魚餌”，即利用社會工程學原理，利用人們好奇心、信任、貪婪等心理陷阱作為誘餌。本案例中蘇女士因為買票心切，沒有認真核對網址，只看到“中國建設銀行版權所有”字樣，就認為是該行官方網站www.ccb.com，卻被鏈接到“ibsbjstar.ccb.com.cn”的網站，顯然其為釣魚網站。分析得知蘇女士缺乏必要的電子商務的安全意識，結果只能是人財兩空。目前，網絡釣魚開始變得猖獗，釣魚手段也不斷翻新，給蓬勃發展的電子商務活動帶來極大的威脅，已成為全社會不得不重視的社會新問題。

2 網絡釣魚的手段分析

2.1 利用網絡釣魚郵件

根據美國微軟研究院的分析顯示，大約有95% 的“網絡釣魚”來自欺騙電子郵件或偽造電子郵件。用戶在收到電子郵件后，一般情況下首先會查看郵件的來源，來源的可靠性會直接影響用戶對郵件真實性的判斷。一些垃圾郵件，將發件人的郵箱和稱謂偽造成一些知名的電子商務網站或者銀行，如“淘寶網”、“支付寶”、“中國工商銀行”等。釣魚者很善于將釣魚郵件偽裝得與真實機構發送的郵件非常相似，并且在整體風格上也抄襲官方的內容，比如商標或者網站的圖標，使郵件與被仿冒的網站具有一定的相似性，使收信人放松警惕，從而一步一步走入釣魚者的陷阱。普通用戶很難識破這種偽造的身份。目前還有一種魚叉式網絡釣魚，其鎖定之對象并非一般個人，即向特定人群或機構發送電子郵件，是為了獲取對方高度敏感性資料，如商業機密。

2.2 利用社會工程學原理

社會工程學是網絡釣魚者常用的一種手段，它是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法。通過社會工程學技術愚弄用戶，通常通過在知名電子商務網站發布虛假商品信息，以所謂“超低價”、“走私貨”、“慈善義賣”、“免稅”等名義出售，或在釣魚郵件的內容中包含類似“您中獎了”、“需要驗證您的賬戶，請快速處理，否則賬戶會被凍結”等迫切需要用戶“更新”或“核實”的數據信息。收信人或網頁瀏覽者看到此類信息后，通常都會因緊張、好奇或者貪婪等心理，對其提出的要求做出回復，從而將個人賬號、口令等敏感信息輕易泄露。社會工程學的手法其實并不包含較高的技術，但因為其直接針對的是比較感性的網絡用戶本身，而網民往往是網絡安全中較薄弱的一個環節，易受外界因素的影響，所以這種典型的欺騙手法仍然很容易得手。

2.3 網頁包含虛假鏈接

網絡釣魚者通過發布誘惑信息，最終的目的就是千方百計地將用戶通過鏈接方式引誘到他精心設計的虛假網上銀行、虛假電子商務網站中，并獲取網民個人敏感信息，實施網絡欺詐。鏈接往往有一定的隱蔽性，以達到欺騙收信人的目的，這些虛假鏈接主要有以下幾種形式：

(1) 相似域名

釣魚者提供的鏈接地址，一般都是仿冒銀行、購物等知名網站，人們對這些網站的網址都比較熟悉，所以釣魚者會使用看起來非常相似的域名，以達到以假亂真的目的。例如：工商銀行的真正網址是www.icbc.com，而www.1cbc.com或者www.lcbc.com 就是用數字1和小寫字母l來仿冒小寫字母i。網上還有用www.taobaoo.com仿冒淘寶網站www.taobao.com。總之，網民稍不注意，就會誤認為這些鏈接指向的是合法網站，從而點擊鏈接訪問這些網站。

(2) DNS域名與實際鏈接中的DN S 域名不符

在網頁的源代碼中用a標記來表示超鏈接，格式為， 頁 面 上 顯 示 的 網 址 為show_link，而該超鏈接實際指向的地址為real_link。假如郵件中包含這樣一段html代碼：

https：//internetbanking.suncorpmetway.com.au/sml/logon.a sp

用戶看到的地址是https：//internetbanking.suncorpmetway.com.au/sml/logon.asp，但是當用戶點擊該鏈接時，進入的確是釣魚網站 http：//amdel.cl/archivos/suncorp.html，而對普通用戶而言，卻渾然不知自己已進入了釣魚網站。

(3) 用編碼策略偽裝超級鏈接

常見的url一般是由ASCII字符，或者其他易于識別的字符組成，比如中文等。瀏覽器支持對這些字符的編碼，編碼的方式是將字符轉換成十六進制，并在前面加上“%”，編碼后的url由一串數字和%組成，用戶識別起來非常困難。同時瀏覽器還支持對url的部分編碼，例如www.icbc.com.cn%2E%61%62%63，看似是工商銀行的網址，可實際指向的地址是www.icbc.com.cn.abc是一個釣魚網站的網址。

2.4 利用惡意腳本和木馬攻擊

目前，出現了利用惡意腳本實施釣魚式欺詐攻擊，在發送的電子郵件中或在網站中隱藏“木馬”程序，當嵌入腳本鏈接觸發，用戶點擊鏈接后，會進入一個正常站點，而惡意腳本毫無覺察地在后臺下載木馬，在感染“木馬”的計算機上進行網上交易時，“木馬”程序即以鍵盤記錄方式獲取用戶賬號和密碼。當用戶下一次登錄合法的銀行網站時，自動地被引導到一個釣魚網站。

當前“網絡釣魚”還呈現“假日”和“熱點”和“境外域名為主、主動建網站為主、非法入侵掛馬和假冒侵權網站冒頭”等特點。網絡釣魚者經常采取以上幾種手法交織與配合，欺騙性極強。

3 網絡釣魚的防范對策

通過案例的分析，深入剖析了當前網絡釣魚者的手段和技術，那么作為網民如何防范網絡釣魚欺騙行為，從而在網絡釣魚游戲中獲取主動，使釣魚者敗興而歸。

3.1 針對網絡釣魚郵件，加強防范心理

針對網絡釣魚郵件要提高警惕，不要輕易打開和回復。一要檢查郵件來源，確定郵件是否來自可信的單位或個人，自己不熟悉的不要打開。二認真檢查郵件主題，切勿點擊不明電子郵件，釣魚郵件通常模仿被假冒單位的口吻和語氣如“親愛的客戶”等。三釣魚郵件內容多為“您中獎了“或“賬戶被凍結，請速激活”等，要求用戶提供密碼、賬號等個人信息，切不可因貪心而上當，造成因小利失大的后果。總之，切勿點擊不明電子郵件內提供的鏈接和打開附件，這些鏈接和附件中往往隱藏有木馬程序、計算機病毒或引向一個釣魚網站。

3.2 針對社會工程學原理，抵制誘惑

截至2011年12月底，中國網民規模突破5億，全年新增網民5580萬。互聯網普及率達到38.3%。網絡已經成為人們生活的一部分。網民要加強安全意識，網民不要進入一些不太了解的網站，不要執行從網上下載后未經殺毒處理的軟件，不要打開QQ 或者MSN 等聊天軟件中發過來的不明文件。當出現諸如：“您中獎了”、“超低價”、“需要驗證您的賬戶，請快速處理”、“核實”數據的信息時，要提高警惕，抵制誘惑，切勿盲目登錄或回復個人信息，以免因貪圖小利，而輕易上了釣魚者的當。

3.3 針對電子商務，謹慎交易

針對網上交易，一要做的是核對網址，看是否與真正網址一致，官方網站的網址一定要自己在地址欄輸入，鍵入網站地址的時候要校對，以防輸入錯誤，避免點擊搜索引擎搜索出的鏈接或其他不明網站的鏈接進入。二網上支付需選擇第三方支付平臺，切忌向個人銀行賬戶匯款或轉賬，正規的網站不可能把商品交易款匯到個人的賬戶上。對網上銀行等平臺辦理的轉賬和支付等業務做好記錄，定期查看“歷史交易明細”，如發現異常交易或差錯，立即與有關單位聯系。三妥善保管密碼，不要選諸如出生日期、電話號碼等作為密碼，要用大小寫字母、數字混合密碼，盡量避免在不同系統使用同一密碼。四管理好自己的數字證書，避免在網吧等公用的計算機上使用網上交易系統，如果不小心在陌生的網址上輸入了賬戶和密碼，發覺資料被盜，應立即修改相關交易密碼或進行掛失，撥打有關客服熱線進行進一步確認。

3.4 針對木馬和病毒，加強網絡安全管理

一是注意經常給系統打補丁，堵塞軟件漏洞。二是安裝防火墻和殺毒軟件，及時升級打補丁。三是不要上一些不太了解的網站，不要打開msn或者QQ上傳送過來的不明文件等，加強對各類QQ病毒的防范和清除措施。四安裝防范網絡釣魚安全專家之類的防護軟件，這類軟件擁有一個自創的“黑名單”，軟件可以自動阻止“黑名單”上提供的釣魚網站的進入，并向成員發布漏洞預警，以防備釣魚或惡意病毒的侵入。五網民可購買金山毒霸增加網購的安全性，2011年，金山毒霸網購保鏢日平均保護2000萬次網購操作，而且金山毒霸推出了敢賠模式，用戶在開啟敢賠功能的情況下，由于釣魚或者木馬導致網購被騙，金山公司將進行賠付，增加了電子商務的安全性。

3.5 針對網絡釣魚犯罪，公安機關加強管控

公安機關作為虛擬社會管控的主要職能部門擔負網絡系統的安全管理工作、打擊計算機違法犯罪活動的重要任務。釣魚網站已經成為中國互聯網安全的首要威脅。公安機關要加大對網絡釣魚詐騙案件的偵辦力度，保證電子商務的安全與健康發展。一加速信息化建設，網絡安全監察部門應當加快科技強警的步伐，完善網絡規范，加快網偵新技術建設。二加強網安民警的業務技能培訓，提高偵控能力，發現新問題及時掌控，迅速回應，做到及時發現迅速屏蔽，避免更多的人上當。三建立舉報通道和全民監管環境，利用廣大網民收集不安全信息資料，進行監督監管。四公安機關進一步加大對網絡釣魚的懲治力度，敦促相關部門針對網絡釣魚違法行為的特點，出臺具有可操作性的專門性法律法規或司法解釋，使得公安機關有法可依，從而遏制網絡釣魚等網絡違法行為的發生。五在網絡監管方面，加強部門間聯動機制，多層面、立體式推進網絡安全建設。

4 總結

隨著電子商務的迅猛發展，網絡釣魚活動日益猖獗，網絡釣魚攻擊防不勝防，成為互聯網第一大安全威脅。網絡釣魚者究其根本就是利用了社會工程學的手段，引誘網民上鉤。因此，只要網民上網時提高警惕，抵制誘惑，謹慎交易，加強電腦的安全管理，不打開來路不明的郵件，不輕易泄露個人信息，那么垂釣者的如意算盤就落空了。但伴隨網絡購物的普及，網絡釣魚技術手法不斷地翻新，如何找到更有效的防范途徑與技術手段來遏制網絡釣魚欺詐的發生，這將是需要我們為之共同努力和奮斗的一項艱巨任務。

[1] 杜彥輝.網絡犯罪之“愿者上鉤”.信息網絡安全.2010.

[2] 楊明,杜彥輝等.網絡釣魚郵件分析系統的設計與實現.中國人民公安大學學報.2012.

[3] 金山網絡.2011-2012中國互聯網安全研究報告[R].2012.

[4] 中國互聯網絡信息中心.第29次中國互聯網絡發展狀況統計報告[R].2011.

[5] http：//www.022net.com/2012/1-14/475960242224055.html.

[6] http：//www.100years.com.cn/Newsinfo/2007-12-1/20071210T4d qL.shtml.

[7] 李佟鴻,麥永浩.網絡釣魚犯罪技術分析與對策研究.信息網絡安全.2011.

[8] 黎其武,武良軍.網絡釣魚犯罪問題研究.信息網絡安全.2011.

[9] 周國民,陶永紅,呂鐘煒.國外“網絡釣魚”技術原理與方法初探.信息網絡安全.2009.