老谋深算的电子邮件骗局,成为互联网世界潜伏的灾难。
“‘网络钓鱼( Phishing)’作为一种网络诈骗手段,算不上新鲜事物,而且没有太多技术含量,主要是利用人们的心理来实现诈骗”,一位国内的安全技术人员评论说。
尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟,但它在过去一年中非常猖獗—Gartner公司最近一项调查表明,约5700万名美国消费者收到过此类仿冒的电子邮件,有高达5%的人都会对这些骗局作出响应。由于”网络钓鱼”技术不断升级,Gartner公司预测,这种诈骗会快速蔓延到通过电子邮件与客户通信的所有商业领域,任何拥有在线业务的公司都将成为潜在的受害者。
7月20日的一则消息“一恶意网站伪装成联想主页,散布‘联想集团和腾讯公司联合赠送QQ币’的虚假消息,诱使众多用户访问该网站时造成感染”,让国人警醒:小心被“钓”,“鱼钩”就在我们眼前晃动。
认识篇
手段:威逼利诱
“网络钓鱼”利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。
“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对其中的程序代码动手脚,如果使用者信以为真地按其链接和要求填入个人重要资料,资料将被传送到诈骗者手中。
趋势科技“PhishTrap(反网络钓鱼陷 阱)”成员 Richard_Cheng 解释说:“当这些网络诈骗者将饵 (电子邮件) 撒到互联网之后,就静待受骗者上钩。”根据Gartner的统计,由于诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,所以在所 有接触诈骗信息的用户中,有高达5%的人都会对这些骗局作出响应。
诈骗者通常采用“威逼利诱”手段制造出各种名目的“主题”。比如最早引起广泛关注的“网络钓鱼”事件,是去年11月出现的 Mimail.J病毒,伪装成由Paypal网站寄出的信息,表示收件者的账户将在5个工作日后失效,要求用户更新个人信息,才能重新启动账户。再比如7 月20日,一恶意网站(www.1enovo.com)伪装成联想主页(www.lenovo.com),前者将数字1取代英文字母L,利用多种IE漏洞种植木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站时造成感染。
现状:上钩者众
最近一年以来,“网络钓鱼”在美、英等国家变得非常猖獗,数量急剧攀升。据Gartner公司最近的一项调查表明,有5700万美国消费者收到过此类仿冒的电子邮件,由此引起的ID欺诈盗窃给美国银行与信用卡公司的用户造成的直接损失在去年达到了12亿美元。
垃圾邮件过滤公司Brightmail的数据表明,过去9个月中,全球Phishing邮件总量增长迅猛,于今年4月达到31亿封。据英国安全机构MI2G报告,去年,有250多起针对主要银行、信用卡公司、电子商务站点以及政府机构的“网络钓鱼”攻击。
根据反网络钓鱼组织 APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来,而最常被仿冒的前三家公司为:Citibank(花旗银行)、eBay和Paypal。
后果:诚信危机
Gartner公司高级副总裁和研究董事Litan说:“金融机构、互联网服务提供商和其他服务商必须严肃地解决‘网络钓鱼’问题,如果不能极大地减少这种诱饵攻击,那么消费者对在线交易的信任感将会逐渐被侵蚀,最终所有网络交易的参加者都会受到伤害。”
APWG主席David Jevans表示:“这些攻击正在破坏整个电子商务系统—我们经营方式的信用。”的确,eBay和其他几十家已遭“网络钓鱼”多次攻击的公司担心:它不仅损害了业务,而且对客户、对电子商务的信心提出了极大挑战。
“网络钓鱼”已经开始显现出其巨大的破坏力。根据Pew Internet Life的调查,消费者对电子邮件的信心已经降到了有史以来的最低点。Cyota最近针对在线银行账户持有者的一项调查表明,74%的被调查者表示,由于 此项威胁,自己不太可能对来自银行的电子邮件做出回复,而且进行在线购物的可能性降低了。这意味着,一些合法商业机构如果无法阻止其品牌被欺骗活动继续利 用,其在线渠道将可能部分或者彻底失去。
当然受损的还有商业机构的品牌。MI2G执行总裁DK Matai指出:“虽然在很多情况下,品牌所有者并没有错,但这些在线品牌应当具备足够的能力,并用更多的心思来防止消费者犯错误。” APWG旗下一个企业成员因“网络钓鱼”遭到客户起诉,理由是没有履行相应责任。
除了信任,“网络钓鱼”也会给企业和个人带来一些更直接的损失。如果诈骗者钓到用户的信用卡账户信息,无论对于持卡者还是销售商都面临着风险。另外,为每个用户发行新的信用卡、账号和密码大约需要50多美元,如果是大量客户被钓,成本也是非常惊人的。
警惕:真伪难辨
这些欺骗性的电子邮件和Web站点,正看起来越来越“完美”,也越来越“可信”。
信息加密公司PostX首席技术官Cayce Ullman说:“我们遇到一个利用eBay品牌进行诈骗的‘网络钓鱼’者,我用了整整25分钟才确定他是真正的骗子。连我们也很难分清真假,那我们的消费者又如何来区分呢?”其中最令安全专家忧心的是,“网络钓鱼”者使用 Javascript 将浏览器网址所显示的地址换掉,让呈现出来的网址与假冒公司的官方网址完全相同。
绿盟科技专业服务部总监王红阳说:“浏览器自身的脆弱性也在一定程度上增加了迷惑性。”他建议,用户可以使用其他的浏览器来降低风险。
趋势科技中国区技术顾问齐军的建议:如果是这种情况就一定要用反网络钓鱼(anti-phishing)工具来防范,因为眼睛看到的是正确网址,但工具看到的才是真正机器码。他提供一个“一劳永逸的方法”,就是永远不要从电子邮件的链接直接连出去。
令普通用户头疼的是,“网络钓鱼”要达到广泛诈骗的目的,通常都伴随着病毒和木马,或者说病毒邮件、木马也经常包含“网络钓鱼”的内容。
中国:一步之遥
值得庆幸的是,中国遭遇的“网络钓鱼”攻击比较少,安全专家将主要原因归结为:“网络钓鱼”主要攻击的是网上银行和电子商务,而国内的网上银行与电子商务应用还不普及。
江民研发部总经理何公道还谈到另外一方面原因:国内金融机构的防范工作比较到位,加上国家对金融犯罪的惩罚严厉,所以“网络钓鱼”目前威胁还不是很大。对比之下,他认为当前“网络钓鱼”对于虚拟财富的威胁程度是比较高的,比如QQ号码、网游账号及装备等。
但是一些“网络钓鱼”案例已开始见诸报端:今年5月26日哈尔滨市某妇幼保健院麻醉医生付志受审,其利用类似“网银大盗”木马病毒在网上传 播、盗取了各类密码达7000多个,并已经成功盗取12000元; 6月,中国台湾破获一起网络银行入侵案,总计20万名客户资料外泄;中国香港金融管理局公布一“李鬼”银行网站,其与港基国际银行有限公司的正式网站非常 相似; 7月20日,江民快速反病毒中心接到举报,发现一个恶意网站伪装成联想官方网站隐藏病毒,伺机窃取用户传奇游戏账号。
所以我们在庆幸之余,不能侥幸:互联网无国界,“网络钓鱼”的危机其实一直潜伏在我们身边。
应对篇
步骤1:教育
在美国《网络世界》所做的采访中,任何一家大型在线企业都将“对用户进行适当教育”放在应对“网络钓鱼”举措之首。花旗银行在主页的底部设有一个明显链接,以提醒用户注意有关电子邮件诈骗的问题。
何公道说:“网络钓鱼”也是“愿者上钩”,之所以不断发生,就是人们防范观念淡薄。如果大家的安全意识 永远只停留在现在的话,那么“网络钓鱼”事件一定会越来越多。王红阳说:用户安全意识的提高能降低“网络钓鱼”的风险,严格执行的安全策略、良好的安全习 惯、安全技术的提高,可以大幅度减少“网络钓鱼”成功的几率。
但是记者在完成这篇稿子之前,浏览了不少国内商业网站,并没有发现关于“网络钓鱼”甚至是关于安全方面的显著提示,当然也没有看到一些验证手段。
在美国和英国已经开始出现专门反网络钓鱼的组织,比如去年11月成立的APWG和今年6月成立的 “Trusted Electronic Communications Forum(TECF)”,它们致力于教育用户的目的是终止——至少是降低“网络钓鱼”的攻击。
步骤2:验证
除了教育外,在线品牌还应当通过简单、易用的方式对合法的电子邮件进行验证。常被人冒充的eBay发出警告称,即使发信人写的是“support@ebay.com”和“billing@ebay.com”等内容,也不见得就是来自eBay的邮件。
因为“网络钓鱼”也是一种垃圾邮件,所以人们可以运用相同的垃圾邮件处理工具对网页和电子邮件进行过滤。趋势科技将推出IWSS 2.0,包含名为PhishTrap的反钓鱼技术,利用诈编网站特征数据库来过滤电子邮件。
此外,银行在发出的电子邮件里启用了数位电子签名,现在技术的发展,让“验明正身”更加简单,一旦网络钓鱼者试图伪造一个数字签名,收件人就会收到一条警告信息。当然,用户必须学会识别电子签名。
远期的全球验证项目包括发送者策略框架(Sender Policy Framework)、Yahoo DomainKeys建议和微软的Caller-ID。但是,这些方法要想完善起来尚需时日,而且需要得到在线企业的100%完全认同。
步骤3:确认
Web站点也需要利用某些确认机制来证明自己的合法性。因此,专业身份确认企业CoreStreet最 近在其Web站点上贴出一种被称为Spoofstick的免费浏览器助手。当用户在合法的站点,如http://signin.ebay.com/aw- cgi/ ...时,请注意在URL框的下方会出现一个明显的注释,并显示“You're on ebay.com。”如果用户被骗到了一个伪造的站点,如http://signin.ebay.com@10.19.32.4,该注释便会显示 “You're on 10.19.32.4。”
eBay已经为它的工具栏添加了一项新的服务,称为账户保镖。这项服务可以告诉用户是否处于eBay和PayPal的合法站点上。如果当用户将eBay的口令输入到未经确认的网站上时,eBay还会进一步向用户发出警告信。
步骤4:阻断
有些ISP还可以阻止用户被引导到名声不好的Web站点上。例如,当AOL的客户报告自己收到了垃圾邮 件,那么包含在这封垃圾邮件中的链接都将被添加到一个受阻站点列表中。当用户点击这些链接,它们显示出的都是错误页面。但这一技术也有可能阻断那些提供真 正商业服务的合法链接。
美国EarthLink于4月19日推出了具有防止“网络钓鱼”功能的工具条,当用户试图访问确认 的诈骗网站,该工具条将会发出警告,并且将用户重定向到EarthLink公司的WWW网页。而以防堵网站存取起家的Websense,也将“网络钓鱼” 或恶意网站列入防堵项目之一。
| 共2页: 1 [2] 下一页 |