網(wǎng)絡(luò)釣魚攻擊分析和防范探討

陸向艷，劉 峻

（1.廣西大學(xué)計算機與電子信息學(xué)院，廣西 南寧 530004；2.廣西師范大學(xué)多源信息挖掘與安全重點實驗室，廣西 桂林 54100）

0 引言

網(wǎng)絡(luò)釣魚攻擊是指攻擊者通過郵件、QQ、論壇、微博等媒介向被攻擊者發(fā)布誘導(dǎo)性鏈接，誘導(dǎo)用戶點擊進入釣魚網(wǎng)站，從而實現(xiàn)竊取用戶個人隱私信息和詐騙用戶財產(chǎn)的違法行為。網(wǎng)絡(luò)釣魚攻擊嚴重損害了網(wǎng)絡(luò)用戶的個人利益。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）于2021年7月發(fā)布的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，2020年以“ETC在線認證”為標題的釣魚網(wǎng)站數(shù)量在2020年8月達到峰值5.6萬余個，不法分子通過此類釣魚網(wǎng)站誘騙用戶提交賬號、密碼等個人隱私信息實施經(jīng)濟詐騙。此外檢測發(fā)現(xiàn)大量的以“統(tǒng)一企業(yè)執(zhí)照信息管理系統(tǒng)”“核酸檢測”“新冠疫苗預(yù)約”等為標題的釣魚網(wǎng)站對網(wǎng)絡(luò)用戶進行誘導(dǎo)，非法獲取用戶姓名、住址、身份證號、手機號等個人隱私信息[1]。釣魚網(wǎng)站通過非法途徑實施網(wǎng)絡(luò)犯罪[2]，使網(wǎng)絡(luò)環(huán)境遭受污染和破壞，影響極為惡劣。本文探討了網(wǎng)絡(luò)釣魚攻擊的方法、方式、檢測技術(shù)、危害和預(yù)防措施。

1 網(wǎng)絡(luò)釣魚攻擊方法

網(wǎng)絡(luò)釣魚攻擊一般包括創(chuàng)建釣魚網(wǎng)站、URL偽裝、誘導(dǎo)訪問、信息竊取和登錄真實網(wǎng)站五個步驟（如圖1所示）。

圖1 網(wǎng)絡(luò)釣魚攻擊步驟

1.1 創(chuàng)建釣魚網(wǎng)站

為了達到誘騙目的，攻擊者首先創(chuàng)建釣魚網(wǎng)站[3]。釣魚網(wǎng)站的頁面與真實網(wǎng)站頁面幾乎完全一致，釣魚網(wǎng)站制作可以用網(wǎng)站制作軟件模仿出和真實網(wǎng)站相似的頁面，也可以直接將真實網(wǎng)站網(wǎng)頁保存后再進行簡單修改而成。釣魚網(wǎng)站制作完畢以后，需將網(wǎng)站放到互聯(lián)網(wǎng)上讓用戶來訪問，攻擊者一般采取購買網(wǎng)站空間的方法實現(xiàn)，為了隱藏自己或逃避調(diào)查追蹤，攻擊者往往會選擇境外服務(wù)器來安放釣魚網(wǎng)站。

1.2 URL偽裝

除了頁面和真實網(wǎng)站頁面相似，釣魚網(wǎng)站的URL與真實網(wǎng)站的URL也很相似[4]，經(jīng)常是一兩個字符的差別，只要用戶稍微不仔細觀察就可以蒙混過關(guān)。比如，京東的網(wǎng)址是www.jd.com，釣魚網(wǎng)址的網(wǎng)址是www.jd.c0m，這兩個網(wǎng)址只有一個字符不同，而且不相同的字符“o”和“0”極其相似；華夏銀行的網(wǎng)址是www.hxb.com.cn，釣魚網(wǎng)站的網(wǎng)址是www.hx.com.cn；這兩個網(wǎng)址是后者比前者少一個字符；北京高速公路ETC網(wǎng)址是www.bjetc.cn，釣魚網(wǎng)址是www.bjetc.com.cn，釣魚網(wǎng)址比真實網(wǎng)址多一級域名.com，如果用戶不注意觀察也不容易被發(fā)現(xiàn)。

1.3 誘導(dǎo)訪問

網(wǎng)絡(luò)釣魚攻擊是一種社會工程學(xué)攻擊，多數(shù)是利用網(wǎng)民的好奇或讓利消費心理等誘導(dǎo)用戶訪問釣魚網(wǎng)站，誘導(dǎo)訪問的主要方法有：通過電子郵件或垃圾短信發(fā)送誘導(dǎo)性鏈接吸引用戶點擊，比如贈送大禮包、打折、信用卡消費等；通過QQ、微信等社交媒體發(fā)送迷惑性信息，如交友或投資交流等虛假鏈接吸引用戶點擊；入侵網(wǎng)站將網(wǎng)頁掛在上面，導(dǎo)致用戶不經(jīng)意間點擊；在其他網(wǎng)站上投放廣告、提升排名等方式吸引用戶點擊進入釣魚網(wǎng)站。

1.4 信息竊取

信息竊取是釣魚攻擊的核心內(nèi)容。信息竊取的一種方式是通過模仿真實網(wǎng)站實現(xiàn)。仿真型釣魚網(wǎng)站和真實網(wǎng)站在用戶打開主頁后，都要進行登錄驗證，這個過程是攻擊者竊取信息的關(guān)鍵過程。攻擊者在網(wǎng)站頁面制作后在登錄驗證頁面編寫信息竊取代碼或?qū)υ瓉韽?fù)制的真實網(wǎng)站代碼進行修改，在登錄驗證過程中真實網(wǎng)站是將用戶輸入的用戶名、銀行賬戶、密碼等信息傳送到后臺數(shù)據(jù)庫進行正確性比對，而攻擊者將這部分代碼修改成將這些信息傳送到攻擊者指定的后臺數(shù)據(jù)庫或生成郵件發(fā)送到指定郵箱。信息竊取的另一種方式通過充當代理型網(wǎng)站來實現(xiàn)。代理型網(wǎng)站充當用戶和真實網(wǎng)站的中間人，轉(zhuǎn)發(fā)用戶向真實網(wǎng)站發(fā)出的請求和真實網(wǎng)站給用戶返回的響應(yīng)，所以在代理過程中可以竊取用戶和真實網(wǎng)站交互的信息，這種方式也需要編寫相應(yīng)的代碼將截獲的信息發(fā)送到指定數(shù)據(jù)庫或郵箱。

1.5 登錄真實網(wǎng)站

在獲得用戶訪問真實網(wǎng)站的用戶名、密碼等隱私信息之后，攻擊者使用用戶的真實身份登錄真實網(wǎng)站，對用戶合法權(quán)利進行非法侵害。

2 網(wǎng)絡(luò)釣魚攻擊方式

網(wǎng)絡(luò)釣魚攻擊方式主要有郵件攻擊、域欺騙和魚叉式攻擊等方式。

2.1 郵件攻擊

攻擊者向目標用戶發(fā)送具有誘惑性或誤導(dǎo)性郵件，郵件往往攜帶釣魚網(wǎng)站鏈接或者木馬程序下載鏈接等，如果用戶不注意辨識就會點擊鏈接進入釣魚網(wǎng)站或下載木馬程序，木馬程序一旦運行，則可監(jiān)視用戶鍵盤輸入的敏感信息并實現(xiàn)盜取。

2.2 域欺騙

域欺騙是攻擊者利用用戶計算機漏洞，通過惡意代碼修改用戶計算機中存儲的關(guān)于DNS信息的文件，將用戶要訪問的網(wǎng)站地址替換成釣魚網(wǎng)站地址。用戶在瀏覽器中輸入合法的網(wǎng)站地址后就被重定向成釣魚網(wǎng)站地址，若在這個過程中，用戶未察覺，則攻擊成功。

2.3 魚叉式攻擊

魚叉式攻擊是一種選擇性攻擊，攻擊者選擇特定被攻擊者進行攻擊以實現(xiàn)攻擊行為利益最大化。比如選擇特定組織中的職位較低的職員進行攻擊，偽裝成他們的上級領(lǐng)導(dǎo)給他們發(fā)郵件進行誘騙；或者選擇某個領(lǐng)域的知名企業(yè)的部門負責人或主要領(lǐng)導(dǎo)作為攻擊目標，因為他們掌握更加有價值的敏感數(shù)據(jù)，比如更高級別的訪問權(quán)限等，通過官方網(wǎng)站、新聞網(wǎng)站及社交媒體等網(wǎng)絡(luò)途徑獲得他們的姓名、職務(wù)、年齡和郵件地址等個人信息，然后發(fā)送特定郵件給他們的，誘導(dǎo)他們打開欺騙鏈接，以便實施釣魚攻擊。

3 網(wǎng)絡(luò)釣魚攻擊的危害

3.1 使網(wǎng)絡(luò)用戶財產(chǎn)遭嚴重損失

釣魚網(wǎng)站經(jīng)常是偽裝成銀行、電子商務(wù)網(wǎng)站或其他交易型網(wǎng)站，在用戶未察覺的情況下竊取其提交的賬號和密碼信息等，然后轉(zhuǎn)賣獲利或利用這些信息詐騙用戶財產(chǎn)。目前，網(wǎng)絡(luò)釣魚事件頻繁發(fā)生，釣魚網(wǎng)址和電話往往是臨時或虛擬的，追查比較困難，導(dǎo)致被攻擊者財產(chǎn)遭受嚴重損失。

3.2 使用戶選擇網(wǎng)絡(luò)交易的意愿下降

在利益的驅(qū)動下，網(wǎng)絡(luò)釣魚攻擊頻繁發(fā)生，攻擊者利用各種機會對用戶進行偽裝和誘騙，使用戶稍不注意就受到攻擊，結(jié)果造成用戶對網(wǎng)絡(luò)交易的意愿下降，降低了人們進行網(wǎng)絡(luò)交易的信心，而銀行和電子商務(wù)商家等也不得不加大網(wǎng)絡(luò)釣魚防范措施使交易成本提高，網(wǎng)絡(luò)釣魚對網(wǎng)絡(luò)交易產(chǎn)生極大的消極影響。

3.3 使網(wǎng)民個人隱私信息遭受泄露

在電子政務(wù)廣泛應(yīng)用的背景下，有釣魚網(wǎng)站以相關(guān)社會熱點及工作文件為誘餌，向國家重要單位郵箱賬戶投遞釣魚郵件，誘導(dǎo)受害人點擊仿冒該單位郵件服務(wù)提供商或郵件服務(wù)系統(tǒng)的虛假頁面鏈接，從而盜取受害人的個人隱私信息并將其販賣從中牟利，使網(wǎng)民個人隱私信息遭受泄露，嚴重損害了網(wǎng)民的個人隱私安全。

4 網(wǎng)絡(luò)釣魚攻擊檢測技術(shù)

網(wǎng)絡(luò)釣魚攻擊使用戶經(jīng)濟利益和隱私信息面臨挑戰(zhàn)，因此網(wǎng)絡(luò)釣魚攻擊檢測技術(shù)成為當前的研究熱點。當前網(wǎng)絡(luò)釣魚攻擊檢測方法主要有黑白名單檢測[4-5]、內(nèi)容相似度檢測[6]和基于特征分類的檢測[7-8]等。

4.1 黑白名單檢測

黑白名單檢測是一種基于URL檢測的技術(shù)，將事先檢測到的釣魚網(wǎng)址的URL存放到黑名單中，合法的URL則放到白名單中，在用戶訪問一個URL地址之前先將該URL地址與黑名單進行比對，不匹配則為合法URL，否則為釣魚網(wǎng)址，禁止用戶訪問。黑白名單檢測的準確性依賴于事先檢測到黑名單，對于釣魚網(wǎng)站地址頻繁更新的情況難以適應(yīng)。

4.2 內(nèi)容相似度的檢測

基于內(nèi)容相似度的檢測方法是將釣魚網(wǎng)站和真實網(wǎng)站進行內(nèi)容相似度計算，內(nèi)容包括URL、HTML網(wǎng)頁框架、文本和圖像外觀等，應(yīng)用相關(guān)相似度算法進行相似度計算來確定被檢測網(wǎng)站是否為釣魚網(wǎng)站。

4.3 基于特征分類的檢測

基于特征分類的檢測方法是先收集一定數(shù)量的合法網(wǎng)站和釣魚網(wǎng)站數(shù)據(jù)，對這些數(shù)據(jù)進行特征提取，特征包括URL特征，文本特征、圖像特征等，然后應(yīng)用特定的機器學(xué)習(xí)算法或深度學(xué)習(xí)算法進行特征訓(xùn)練，得到分類器，最后用得到的分類器對網(wǎng)站進行分類檢測。

5 網(wǎng)絡(luò)釣魚攻擊的預(yù)防

網(wǎng)絡(luò)釣魚攻擊的發(fā)生使網(wǎng)絡(luò)用戶的個人隱私和財產(chǎn)遭受嚴重損失，防范網(wǎng)絡(luò)釣魚攻擊顯得非常重要。

5.1 個人防護

從個人用戶角度要預(yù)防網(wǎng)絡(luò)釣魚攻擊，一是不要點擊來源不明的郵件和短信，不輕易相信論壇、博客、微博等媒體收到的抽獎、中獎或加好友等虛假鏈接，上網(wǎng)時需要輸入個人隱私信息時要謹慎確認；二是在計算機和手機上安裝具備防釣魚攻擊功能的安全軟件。

5.2 構(gòu)建URL公共數(shù)據(jù)庫

個人識別釣魚網(wǎng)址往往比較困難，一種比較經(jīng)濟有效的方法是構(gòu)建URL數(shù)據(jù)庫，由特定組織機構(gòu)構(gòu)建一個釣魚網(wǎng)站URL公共數(shù)據(jù)庫，為其他網(wǎng)站提供釣魚網(wǎng)址查詢服務(wù)。該數(shù)據(jù)庫負責發(fā)現(xiàn)和收集釣魚網(wǎng)址，并不斷更新URL公共數(shù)據(jù)庫。在用戶訪問某個網(wǎng)站前，先在URL公共數(shù)據(jù)庫中查詢是否有該網(wǎng)站的網(wǎng)址，若有則提示該網(wǎng)址有釣魚風(fēng)險暫停訪問，否則可以繼續(xù)訪問。

5.3 Web安全防護技術(shù)

Web安全防護技術(shù)是通過對網(wǎng)頁代碼進行文本分析來確定是否是釣魚網(wǎng)頁。方法是先提取釣魚網(wǎng)頁代碼文本特征，再用統(tǒng)計學(xué)或機器學(xué)習(xí)、深度學(xué)習(xí)等方法進行統(tǒng)計分析或分類，根據(jù)統(tǒng)計分析或分類結(jié)果來確定是否為釣魚網(wǎng)頁。

6 結(jié)束語

網(wǎng)絡(luò)釣魚攻擊是一種社會工程學(xué)攻擊，這種攻擊利用網(wǎng)民的好奇或讓利消費心理等誘導(dǎo)用戶訪問釣魚網(wǎng)站，從而竊取用戶銀行賬號和密碼等敏感信息，使網(wǎng)民經(jīng)濟利益遭受嚴重損失。本文探討了網(wǎng)絡(luò)釣魚攻擊攻擊的方法、方式、檢測技術(shù)、危害和防范措施，旨在為預(yù)防網(wǎng)絡(luò)釣魚攻擊提供參考。■