網路釣魚
社會工程攻擊的形式之一
網路釣魚(Phishing),與釣魚的英語fishing發音相近,又名釣魚法或釣魚式攻擊)。黑客始祖起初是以電話作案,通過大量發送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件,是引誘收信人給出敏感信息的一種攻擊方式,是“社會工程攻擊”的一種形式。
“網路釣魚”收益主要來源於銀行存款的直接套現,也就是說釣魚大都發生在買賣雙方的交易過程當中,釣魚者發布讓人心動的寶貝,買家通過某些途徑發現這寶貝,在買賣雙方激烈的討價還價后,賣家會在這個時機把釣魚網站鏈接發過去,如果買家點擊進行交易,就很有可能存款被盜。
網路釣魚
各國受網路釣魚攻擊比例
網民中,4500萬網民蒙受了經濟損失,佔網民總數11.9%。網路釣魚給網民造成的損失已達76億元。
網路釣魚
最典型的網路釣魚攻擊是將收信人引誘到一個通過精心設計、與目標組織的網站非常相似的釣魚網站(官方外觀的假冒網站)上,冒充真正需要信息的值得信任的人,並欺詐性地獲取收信人在此網站上輸入的個人敏感信息(比如口令和信用卡細節),通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。
網路釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由於黑客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了”Phishing”。早期的案例主要在美國發生,但隨著亞洲地區的網際網路服務日漸普遍,有關攻擊亦開始在亞洲各地出現。
“網路釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動時,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。詐騙者則通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局做出響應。
在美國和英國已經開始出現專門反網路釣魚的組織,越來越多在線企業、技術公司、安全機構加入到反“網路釣魚”組織的行列,比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃,微軟還捐出4.6萬美元的軟體,協助防治“網路釣魚”。
防止在這類網站受害的最好辦法就是記住正宗網站的網址,併當鏈接到一個銀行網站時,對香港亦有多宗案例,指有網站假冒並尚未開設網上銀行服務的銀行,利用虛假的網站引誘客戶在網上進行轉賬,但其實把資金轉往網站開設者的賬戶內。而從2004年開始,有關詐騙亦開始在中國大陸出現,曾出現過多起假冒銀行網站,比如假冒的中國工商銀行網站。
不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網路傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟體傳播,這些途徑往往可能被黑客利用來進行詐騙。
不要相信網上流傳的消息,除非得到權威途徑的證明。如網路論壇、新聞組、 QQ 等往往有人發布謠言,伺機竊取用戶的身份資料等。
不要在網站註冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網路完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。
不要輕易相信通過電子郵件、網路論壇等發布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
1、提高警惕,不登錄不熟悉的網站,鍵入網站地址的時候要校對,以防輸入錯誤誤入狼窩,細心就可以發現一些破綻。
2、不要打開陌生人的電子郵件,更不要輕信他人說教,特別是即時通訊工具上的傳來的消息,很有可能是病毒發出的。
3、安裝殺毒軟體並及時升級病毒知識庫和操作系統(如Windows)補丁。
4、將敏感信息輸入隱私保護,打開個人防火牆。
5、收到不明電子郵件時不要點擊其中的任何鏈接。登錄銀行網站前,要留意瀏覽器地址欄,如果發現網頁地址不能修改,最小化IE窗口后仍可看到浮在桌面上的網頁地址等現象,請立即關閉IE窗口,以免賬號密碼被盜。
1、安裝殺毒軟體和防火牆。
2、加強電腦安全管理,及時更新殺毒軟體,升級操作系統補丁。
3、加強員工安全意識,及時培訓網路安全知識。
4、一旦發現有害網路,要及時在防火牆中屏蔽它。
5. 為避免被“網路釣魚”冒名,最重要的是加大製作網站的難度。具體辦法包括:“不使用彈出式廣告”、“不隱藏地址欄”、“不使用框架”等。這種防範是必不可少的,因為一旦網站名稱被“網路釣魚”者利用的話,企業也會被卷進去,所以應該在泛濫前做好準備。
1.停止共享敏感信息。如果員工已經泄露了敏感的信息,應立即報告。企業要教育員工立即與經理、服務台工作人員,或與網路管理員、安全人員聯繫。後者要採取措施更改口令,或監視網路的異常活動。
2.請求銀行等機構採取措施。如果員工共享了財務信息,或認為財務信息遭到了泄露,應立即與相關機構聯繫。請求其監視賬戶的異常活動和費用,甚至在必要時關閉賬戶。
3.保護口令。如果懷疑口令遭到了泄露,應立即更改。公司應教育員工不能在多個系統或賬戶上使用相同的口令。要盡最大努力確保所有的口令都完全不同。
網路釣魚(Phishing),並不是一種新的入侵方法,但是它的危害範圍卻在逐漸擴大,並成為威脅網路安全的最大危害之一。你了解Phishing嗎?與傳統的入侵方式相比,它有什麼顯著特點呢?典型的Phishing案例有哪些?如何防範被Phishing呢?
南方的早春總是伴著綿綿細雨,難得今天是個晴朗天,某服裝公司的張經理帶著十幾個重要員工來到郊外一個魚塘進行垂釣活動。張經理放置好釣具后,便打開了隨身攜帶的筆記本電腦並連上網路,他想利用這點時間處理一下最近的一筆生意。秘書見他在這種時候還離不開工作,便勸他:“經理,今天是遊玩的日子,難得放鬆一下,今天還是不要處理公司業務了吧……您不怕釣竿被魚叼走了?”張經理對秘書笑了笑,看著身前的釣竿緩緩說道:“都說姜太公釣魚,願者上鉤,但是如果不知道提竿的時機,即將到手的魚也會溜走的。等這筆生意談妥,我再休息也不遲。”說罷又繼續低頭敲鍵盤。
生意終於談妥,客戶把貨款轉入張經理的銀行賬戶,張經理笑了:“這條大魚終於被我釣到了。”然後他登上網路銀行賬戶查看轉賬情況。當頁面上顯示出賬戶剩餘金額時,張經理心裡一緊,接著有了暈眩的感覺:賬戶里原來的存款不翼而飛,頁面里惟有客戶剛剛轉入的貨款,彷彿在嘲笑著張經理。
張經理做夢也沒想到,這一次,他成了別人釣上的魚,而且是大魚。
釋疑網路釣魚
網路釣魚(Phishing),並不是一種新的入侵方法,但是它的危害範圍卻在逐漸擴大,成為最嚴重的網路威脅之一。Phishing就是指入侵者通過處心積慮的技術手段偽造出一些以假亂真的網站和誘惑受害者根據指定方法操作的email等方法,使得受害者“自願”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)的手段。入侵者並不需要主動攻擊,他只需要靜靜等候這些釣竿的反應並提起一條又一條魚就可以了,就好像是“姜太公釣魚,願者上鉤”。
看到這裡,有些讀者可能會說,這不是社會工程學嗎?兩者都是騙人的手段啊。不錯,網路釣魚裡面的確有社會工程學的影子,但是與後者相比,網路釣魚更趨向於技術方面,因為它不僅僅是欺騙,裡面還必須摻入技術成分,否則如果連“垂釣者”自己都無法控制“釣竿”的話,又怎麼可能釣到魚呢?
視覺陷阱:網頁背後的釣竿
警察正在分析張經理那台筆記本電腦硬碟里的數據,張經理本人在報案時因心臟病發作而住進了醫院。由於無法得知張經理最後一次登錄網路銀行的時間,而且系統里也沒有感染任何偷盜賬號的後門程序,案件變得有點撲朔迷離起來。一個分析員無意中打開了Foxmail,發現最後一封信件是銀行發送的,主題為“XX網路銀行關於加強賬戶安全的通告”,分析員預測案件與這封信件有重大關係,馬上打開閱讀。這是一封HTML網頁模板的信件,內容大意為銀行為了加強賬戶安全而升級了系統,請各位客戶儘快重新設置賬戶密碼,末尾還給出了設置密碼的URL鏈接。
幕後黑手果然在這裡!分析員馬上查看信件源代碼,很快就找出了其中的貓膩:正如常說的“說的一套,做的一套”,這個郵件的作者採用了“看的一套,進的一套”這種簡單的欺騙手法,而這個所謂的更改密碼頁面,當然偽造得與真正的銀行頁面完全一致,但是它的“更改密碼”功能卻是把賬號和密碼發送到了幕後的“垂釣者”手上,然後“垂釣者”登錄上真正的網路銀行改了受害者設置的密碼,並順手牽羊把銀行賬戶里的存款轉移掉。這樣釣來的魚,即使是小魚也會讓“垂釣者”在夢裡發出笑聲來了,即使一條太小,積累起來的數目也會變得相當可觀了。在金錢的誘惑下,“垂釣者”一次又一次提竿,殊不知,他自己也是被金錢釣竿釣上的一條魚。
拙劣手段成功的關鍵
為什麼如此拙劣的技術卻能頻頻得手呢?在你的實際生活中有沒有遇到類似的情況呢?你會採取什麼樣的預防措施呢?
因為網路釣魚充分利用了人們的心理漏洞,首先,人們收到銀行這類影響力很大的商務郵件時幾乎都會緊張,很多人都不曾懷疑信件的真實性,更會下意識地根據要求打開郵件裡面指定的URL進行操作;其次,頁面打開后,我們通常都只會留意頁面內容而不會注意瀏覽器地址欄的顯示,正是這點讓“垂釣者”有了可乘之機。
其實“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像一回事似的,只是現在IE普遍打了補丁,這種情況下還使用這個漏洞就會“不打自招”了,所以只有極少數“垂釣者”會採用這個方法,有的“垂釣者”根本連個看起來“比較正規”的域名都沒有,而是採用IP地址形式甚至直接光明正大把真實地址顯示在瀏覽器的地址欄里——因為他們知道,除非出現意外情況,否則大部分人根本是不會注意瀏覽器的地址欄的。
這裡順便提一下那封email,為什麼張經理會上當呢?縱然,如果那封email的發件人地址不是銀行網站的,那麼白痴都看得出來這是偽造的郵件。但是問題就出在這裡,這封email的發件人地址清清楚楚寫著該銀行網站的技術支持信箱地址!“垂釣者”是怎麼做到的呢?很簡單,一些未經設置的email伺服器並不會驗證用戶信息是否真實,於是騙子用這樣的郵件伺服器發送一封偽造了發件人地址的信件簡直是易如反掌。反釣魚攻擊是IE 7在安全方面的一個重要更新。每次打開新頁面,為了檢測該頁面是否存在釣魚攻擊,我們可以看到在IE窗口的右下會顯示一個警報的標誌。
看到這個警報的提示,我們可以手動進行反釣魚攻擊的檢測程序,或者打開自動檢測檢測功能。另外,還可以向微軟彙報一個帶有釣魚攻擊的站點URL,微軟的網上資料庫會將此地址收入,並提供給其他用戶作為參考。採用這種群策群力對抗系統威脅的方式,使得遭受攻擊的可能性大大降低。 、
補充:近日,由斯里蘭卡安全人員Zer0 Thunder又發現一種更為隱蔽的欺騙方式,並起名為:桌面網路釣魚(desktop phishing)。步驟大致如下:
1、修改HOSTS文件,將一些需要釣魚的頁面映射本機公網IP,並在本機上製作釣魚頁面。
2、將HOSTS文件製作成自解壓文件(解壓路徑設置成原來HOSTS路徑)
3、捆綁其他軟體,通過任意途徑誘導用戶安裝。
這裡,由於釣魚頁面是通過HOSTS跳轉的,所以非常隱蔽!