钓鱼网络钓鱼

2009.
08国外"网络钓鱼"技术原理与方法初探周国民,陶永红,吕钟炜(浙江警察学院计算机与信息技术系.
浙江杭州310053)摘要:随着互联网技术和电子商务的不断普及应用,互联网应用安全问题日益突出.
以窃取个人敏感信息为重要手段实施网络诈骗的"网络钓鱼"违法犯罪行为,已逐渐成为世界各国互联网安全的重大威胁,正在不断地危害着网络经济.
文章通过对国外"网络钓鱼"现象进行较为全面的探究,旨在为国内同行防范"网络钓鱼"提供参考与指导.
关键词:网络钓鱼;技术原理;方法中图分类号:TP393文献标识码:A0引言随着电子商务、网上结算、网上银行等业务在生活中的普及,"网络钓鱼"层出不穷,正在以平均每月38%的速率递增.
根据国际反"钓鱼"组织APWG2008年上半年全球"网络钓鱼"攻击调查报告显示,半年内共截获全球47324次"网络钓鱼"攻击,"网络钓鱼"已成为一种全世界共同的危害….
探究分析国外"网络钓鱼"的行为模式、技术手段与实施方式等,以便更深入地认识"网络钓鱼"技术原理和犯罪手段方法,对于我国网民提高"网络钓鱼"防范意识,应用切实有效的防范措施,增强相应的防范能力等都有非常重要的现实指导意义.
1"网络钓鱼"危害严重美国和英国是遭受网络攻击较为严重的西方国家,通过以下一些统计资料,我们不难看出"网络钓鱼"在国际上肆虐.
自2003年以来,"网络钓鱼"在美国已经普遍存在,目的是盗取信用卡号码和密码等用户个^信息.
被盗的个人信息不可避免地会遭到恶意使用.
第一数据公司去年公布的一项调查数据表明,、43%的美国成年入至少接到一次假邮件.
在这些接到假邮件的人中,约有5%(即450万人)提供了卟人资料,其中半数人成为账户盗窃或银行诈骗的受害者.
根据安全公司西曼技术公司的—项统讹仅2005年,美国平均每天都要发生680万件企图"网上钓鱼"的诈骗案,美国非盈利组织PewInternet&AmericanLifeProject(PIP)最新的一份调查报告结果显示,当前美国网民上网时看到垃圾信息时他们都能轻易辨出,但对于"网络钓鱼"却知者甚少.
据悉,去年一年中,就有500万美国网民成为网络钓鱼攻击的受害春比上一年度增长近40%.
英国也有l/4的网民遭遇过钓鱼攻击,l/6的网民遭遇其他形式的网络欺诈.
据英国公平交易委员会称,英国每年有近300万人遭遇信件、电子邮件、短信或电话等不同形式的诈骗,损失金额达35亿英镑.
而让有关部门不解的是,这些受害者中只有不到5%的人会选择投诉或报案.
公平交易委员会提醒民众,收到承诺过于完美的推销邮件后不要急着去汇款.
早期的网络钓鱼案件主要在美国发生,有资料显示应该是在1987年前后问世.
网络钓鱼口1(Phishing,是"Fishing"和"Phone"的综合体,由于攻击者起初是以电话作案,所以用"Ph"来取代"F",其发音与Fishing相同)是一种企图从电子通讯中,通过伪装成信誉卓著的企业以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程.
嘲络钓鱼通常是通过E.
mail或者实时通汛工具进行"】.
这些信息声称其来自于知名的社交网站(YouTube、Facebook)、电子商务网站(eBay)、网络银行、电子支付网站(PayPal)或瑚络管理者,欺骗用户提供个人敏感信息.
它常常引导用户到URL和界面外观与真正网站几无二致的假胃网站输入个^、数据.
就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难.
由此可见"网络钓鱼"是一种利用社会工程技术来愚弄用户的实例,它凭恃的是现行网络安全技术的低亲和度H.
攻击者通过垃圾邮件"网络钓鱼"能够使5%的接收者给他们以响应.
因此,"网络钓鱼"的基本原理和本质可以概述为网络犯罪分子综合利用社会工程学原理和互联网应用技术手段,以盗取个人敏感信息为重要途径实施网络诈骗的违法犯罪手段和行为方式.
2国外"网络钓鱼"常见技术手段与方法分析近年来,国外"网络钓鱼"技术方法不断更新,薪的手法更是层出不穷:2.
1利用电子邮件技术根据美国微软研究院(MicrosoftResearch)的5-)-析显示,大约有95%的"网络钓鱼"来自欺骗电子邮件或伪造电子邮件.
典型案例中,攻击者利用僵尸网络(Botnet)向大量僵尸主机发送"钓鱼"邮件,要求用户在其网页式邮件中提供个人信息,或者在邮件内容中提供一段URL链接,诱骗用户点击进入"钓鱼"网站.
典型的"钓鱼"邮件如图l所示.
2.
1.
1以假冒身份来骗取信任一些未经设置的E.
mail服务器并不会验证用户信息是否真实.
发件人名称("发件人")属于数据正文的一部分,可以随意伪装.
于是攻击者架设自己的邮件服务器,将发件人改写成知名网站,用这样的邮件服务器给僵尸主机发送伪造了发件人地址的信件.
再图1典型的"钓鱼"邮件利用URL的特殊格式伪装URL地址,设置图片式链接或利用脚本编写伪装状态栏,使用户更加信以为真.
例如,通过IE5.
x及6.
0中的URL漏洞,攻击者使用URL特殊格式(以网址http://www.
microsoft.
com%01%00@66.
94,230.
51为例),便可将用户带到IP地址为66.
94.
230.
51的网站,并非Microsoft的某个页面,而地址栏和状态栏却看不到URL的真貌.
用户收到这样的邮件根本不会怀疑就提供了似信息或点击了其中的URL地址.
2.
1.
2以诱惑信息来诱引用户通过社会工程学技术愚弄用户,强调有迫切需要来"更新"或"核实"数据.
这些邮件内容多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或者以各种紧迫的理由说服收件人访问某网页提交个^、信息,继而窃取个人敏感信息.
例如:"你还没有为最近在XX拍卖网上竞购成功的商品付款.
请点击这里付款.
"用户往往在买卖成交前好几天就竞购了商品,所以,自己忘了为竞购的商品付款并不奇怪.
攻击者抓住了,人们担心在XX拍卖网上的多年积累的反馈评分或者"信誉"受到负面影响的心理.
所以用户一旦收到这样的电子邮件,就会马上回复.
再如:"由于公司裁员,你被解雇了,如果你希望登记领取解雇金,请点击这里.
"鉴于目前美国经济形势的2009.
08收到貌似雇主发来的电子邮件,邮件内容显得很急迫,'当前形势下没有人想招惹问题,所以这种电子邮件也很容易得到回复.
2.
2;乖lJ用网站仿冒技术2.
2.
1网站仿冒"钓鱼"技术攻击者架没的"钓鱼"网站大多数仿冒知名的网上银行、网上证券网站,其与正规的网站几无二致,用户很难发现其中的差别.
.
2.
2.
2网站仿冒"钓鱼"手法分析攻击者一般采用对知名机构进行网址名称近似仿冒的方式建立"钓鱼"网站.
"钓鱼"网站会有一个信息收集网页显示给用户,要求提交用户名、密码、身份证号、信用卡号等个人信息,或者利用浏览器漏洞在"钓鱼"网站后台下载攻击者的木马或病毒.
如2008年北京奥运会网上预订门票系统刚推出,很快就在国外出现了"钓鱼"网站.
该网站要求使用者在购票前必须先申请账号并提供一些机密信息,如图2所示.
2.
3利用鱼叉式"钓鱼"技术2.
3.
1鱼叉式"钓鱼"技术近期美国等国又出现了更具针对性的新型"钓鱼"方式一鱼叉式"钓鱼"【5】,明确地将攻击目标针对到了特殊的人群.
鱼叉式"网络钓鱼"的危害性极大,目前已经成为反"网络钓鱼"攻击中的重要话题.
美国和加拿大政府在2006年10月联合发布的《网络钓鱼报告》(ReportOnPhishing)中,将鱼叉式"网络钓鱼"列为"网络钓鱼"的重要变种.
2.
3.
2鱼叉式"钓鱼"手法分析三苎:二芝登妻篓至芝{竺'三苎Ill2北京奥运门票预订.
钓鱼.
网站不法分子抓住了这种恐惧心里.
雇员…'….
….
一典型的鱼叉式"网络钓鱼"是假冒单位内某管理部门,向该单位的大批员工发送电子邮件,欺骗他们打开伪造的邮件并输入个人敏感信息.
如AT&T公司的销售系统被黑客攻击后,遗失了大量的订单信息,包括客户姓名、家庭住址、订单号、信用卡号等.
随后,黑客向每一个客户发送了高度个人化的邮件,谎称发生系统故障,要求客户点击邮箱中的网址后重新输入订单信息,同时要求补充输入其他的敏感信息.
显然,多数客户不会对这样的邮件产生足够的警惕.
66:E圆:2009.
082.
4利用跨站点脚本技术2.
4.
1跨站点脚本"钓鱼"技术攻击者在进行"网络钓鱼"时,不会单纯地使用一种方法,而是多种技术手法交织、相互配合进行.
跨站点脚本"钓鱼"便是一种将传统的"网络钓鱼"方式和跨站点脚本技术结合起来的新的骗术.
利用Web网站漏洞插入恶意Html代码、挂接盗号木马或病毒等恶意脚本是该技术的主要实施方法.
2.
4.
2跨站点脚本"钓鱼"手法分析攻击者利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用Cookies窃取用户信息.
当用户点击进入此类已被篡改的合法站点时,恶意脚本会在用户的浏览器上弹出一个小窗口,这样看起来小窗L|就像是合法站点的某一部分,不知情的用户往往就会在这俐、窗口中填入自己的个^信‰除了小窗口外,恶意脚本还可能在后台下载木马或病毒,将监控到的用户的其他信息发给攻击者.
甚至利用跨站点脚本技术,攻击者还可以在存在漏洞的合法站点中嵌入自己的内容,将访问的用户导向自己的站点.
因为这是一种客户端技术,所以被篡改的网站很难发现这种变化,往往只有在愤怒的用户上门投诉时,无辜的企业机构才知道自己的品牌形象已经受损.
2.
5其它"网络钓鱼"新技术与手段2.
5.
1通过修改本地主机的HOSTS文件或者污染DNSlJ.
务器解析对网络流量进行重定向典型的"网络钓鱼"模式是攻击者发送大量伪造邮件,怀着"愿者上钩"的心情等待用户反馈个人的敏感信息.
而现在,越来越多的主动攻击技术应用到了网络钓鱼中,使得网络钓鱼攻击者不仅仅只是等着,攻击的主动性、危害性也越来越大.
典型手段便是修改主机的HOSTS文件和通过DNS服务器中毒攻击【6】.
HOSTS文件(Windows的默认位置为%SystemRoot%\system32\drivers\etc)的作用是将IP地址和网址映射起来以提高上网效率,攻击者可通过修改HOSTS文件,在表里添加所想要的映射关系,从而实现"网络钓鱼".
改变目标网站的DNS服务器解析又称DNS服务器中毒攻击或DNS缓存污染(DNSCachePoisoning).
DNS缓存攻击指的是更改了网络DNS服务器的DNS缓存中的某项,使得缓存中与主机名相关的IP地址不再指向正确的位置.
DNS服务器一旦被成功攻击,下层网络中的个人系统将会被成批的带到钓鱼网站被欺骗或遭受木马的植入.
2.
5.
2通过捆绑系统升级补丁或应用程序由于漏洞危害的日趋严重,一般用户都会很紧张地留意操作系统的升级补丁.
攻击者伪造系统补丁下载的页面,将补丁文件和恶意软件捆绑在一起,传播补丁下载地址供用户下载.
当用户安装这个捆绑程序的时候,一方面安装了补丁程序,—方面恶意软件也在后台运行并安装到受害者的电脑中,直接盗取个人资料或使用木马程序、键盘记录程序等.
也有攻击者将流行的应用程序和恶意软件捆绑在一起,上传到网络上供用户下载安装.
甚至,有的木马制作者会将供下载的木马客户端和服务端捆绑在一起,试图想要进行木马活动的用户安装并运行了客户端程序后,却首先成了制作者的攻击对象.
以2007年泛滥的灰鸽子远程控制程序为例.
当用户从黑客网站下载灰鸽子客户端并安装运行时,捆绑在客户端上的木马服务端便在后台自动运行.
由于在进行木马活动的时候,用户一般都会关闭计算机的安全防护程序,以免自己生成的木马被杀毒软件查杀,所以下载木马客户端的用户很难发现自己已经被制作者安装木马.
即使开启了杀毒软件并发出了警报,用户也只会以为是木马客户端的缘故,不会意识到自己已成为别人的"肉鸡"了o3短消息"钓鱼"和语音"钓鱼"等由于新闻媒体和相关安全厂商的广泛宣传,以及网络安全组织对"钓鱼"事件的关注,攻击者使用传统"钓鱼"来获取用户的个人敏感信息的成功率越来越低,于是,国外一些攻击者开始寻求新的方式来获取用户敏感信息.
"网络钓鱼"攻击的战场扩展到了新的领域,手机用户和网络电话用户成为攻击者的目标,这就是短消息"钓鱼"和语音"钓鱼州71.
短消息"钓鱼"最早出现在2006年.
当时,澳大利亚的很多手机用户收到一则短消息,被告知他们正在使用一项收费服务,每天的费用是2美元,如欲取消收费服磊可登陆指定的嘲站.
但当用户去点击这个网络地址时,就会将一个木马程序下载到自己的手机上.
安全厂商截获了这个短消息"钓鱼"攻击的样本——VBS/Eliles,这是一个群发邮件蠕虫,具有向移动电话发送短消息"钓鱼"消息的功能.
"网络钓鱼"攻击的实施机制从电子邮件转变为短消息服务(SMS)甚至MMS(多媒体消息服务),是信息技术发展的必然结果.
移动通讯技术在不断更新,功能越来越强大,传统IP网的很多应用都已经可以实现,自然也为很多攻击提供了平台.
语音"钓鱼"是一种使用网络电话(VoIP)技术的目标式"网络钓鱼".
在这种攻击中,用户会收到一封邮件,要求其拨打某个电话号码来验证账号信息,而不是单击某个电子邮件的链接.
在这种攻击中,攻击者有时在另一端人工接听,设法套取用户的银行账号、信用卡号等信息;也有很多情况下另一端是运行VoIP软件的计算机,—旦拨通此号码,自动化的语音提示将诱使用户写入敏感信息,对方将记录下用户的每一次按键动作.
目前,"钓鱼"信息还大量出现在网络聊天信息和在线游戏中,攻击者假冒系统管理员发送给用户虚假的中奖信息,愚弄用户进入"钓鱼"网站.
另外,也有攻击者在公共场合建立Wi.
Fi(无线保真技术)网络接入点,并将它伪装成合法无线宽带提供商的注册页面,用来窃取受害者的密码,并用恶意软件感染用户计算机等.
4结语"网络钓鱼"是一项综合利用社会工程学和技术手段的犯罪行为.
随着计算机与互联网的发展,"网络钓鱼"的手段还将不断更新,防范难度也将不断增大.
防御"网络钓鱼"攻击必将是一场艰辛的持久战.
研究"网络钓鱼"常用技术和手法目的在于做到知已知彼,这样才能在加强自我防范,改进技术检测和防范手段,完善网络信息安全立法等方面寻找应对良策.
(责编杨晨)参考文献:【1]Anti—PhishingWorkingGroup.
GlobalPhishingSurvey:DomainNameUseandTrendsin1H2008【DB/OL].
http://www.
antiphishing.
org/reports/APWG_GlobalPhishingSurveylH2008.
pdf,2009.
2009-os{匪圆l酊12]Anti—PhishingWorkingGroup.
PhishingandPharming[DB/OL】.
http://www.
mcafee.
corn/us/local—content/white—papers/wp_phishing_.
pharming.
pdf:2008.
【3】Tan,Koon.
PhishingandSpammingviaIM【DB/OL].
InternetStormCenter.
2007.
【4】Josang,Auduneta1.
.
SecurityUsabilityPrinciplesforVulnerabilityAnalysisandRiskAssessment[DB/OLjhttp://www.
unik.
no/people/josang/papers/JAGAM2007一ACSAC.
pal,2008.
15]Microsoft.
Spearphishing:Highlytargetedphishing$caITB【DB/OL】.
http:llwww.
microsoft.
com/protect/yourself/phishing/spear.
m8px.
July14.
2∞8.
【6lTheHoneynetProJect&ResearchAlliance.
KonwyourEnemy:Phishing--BehindtheScenesofPhishingAttacks.
Http://www.
honeynet.
org,2008.
171中国反钓鱼联盟.
http://www.
anti—spam.
org.
cn/.
项目资助:公安应用技术研究所研究项目:职业导向的信息安全培训教学内容体系研究.
浙江省教育科学规划项目(SCG392).
2009.
作者简介:周国民(1971-),男,硕士,计算机与信息技术系副主任,公安应用技术研究所所长,研究方向:信息网络安全;陶永红(1963一),男,表科.
计算机应用教研室主任,研究方向:数据恢复技术;吕钟炜(1990一),男,大学本科在读,科研小助手.
展的信息安全国际合作的研究不够;第二,俄罗斯本国电子工业和信息产业发展优先方向存在不确定性,国家支持生产者生产具有竞争力产品并将之推向国内外市场的机制不稳定;第三,使本国商品生产者免受来自国外信息市场参加者的恶意竞争的法律保护不够;第四,推动将国家信息资源纳入到有效的经济运行之中的法规基础薄弱;第五,缺少俄罗斯联邦及其它相关主体在信息安全领域进行立法协商的法律基础;第六,涉及俄罗斯国家信息安全技术保障的法律不够完善;第七,俄罗斯联邦执行权力机关及各主体执行权力机关在确保信息、电信和通讯网络安全方面的权力划分问题没有解决;第八,有关信息安全领域的违法责任问题的法律效率不高.
6小结纵观20世纪90年代初期、中期以来俄罗斯在信息安全领域颁布的各种政策、法令和法规,表明俄罗斯已经明确了其在信息安全领域的重大利益,以及所面临的威胁和应对措施.
而且,俄罗斯的信息安全保护范围由最初只重视国家机关的信息安全保护扩展到对公民和社会的信息安全保护,强调公民、社会和国家在信息领域利益平衡的基本原则,尤其是普京签署的《国家信息安全学说》表明俄罗斯对于国家信息安全的保护已经提升到战略高度,这些都值得我国借鉴学习.
然而,俄罗斯信息安全立法仍也存在诸多不足,尤其是在信息安全领域还没有制定专门的法律,不能完全满足其信息化发展的要求,因此,俄罗斯也面临着积极探索制定单独的部门法——《信息法》的重大立法课题.
国家信息安全将在俄罗斯的信息政策中占有特殊地位.
受地缘政治的影响,俄罗斯的国家信息安全将成为国家信息政策未来关注和研究的重点.
(责编程斌)参考文献:【1】1陆忠伟.
非传统安全论【M】.
时事出版社,2003年版.
第381页.
【21蔡翠红.
信息网络与国际政治lMl,学林出版社,2003年版.
第163页.
【3]http://www.
infotecs.
m/law/doctrina.
hun【414刘跃进.
国家信息安全学.
中国政法大学出版社,2004年版.
第184页一第185页.
【5】5肖秋惠.
20世纪90年代以来俄罗斯国家信息政策综述U】,图书情报工作,2006.
5.
【6l肖秋惠.
20世纪90年代以来俄罗斯信息安全政策和立法研究Ⅱ】.
图书情报工作,2005.
10.
【7】俄新社一塔斯社发表署名文章,称这是一部"非常及时且重要的纲领性文件".
f8】8肖秋惠.
20世纪9()年代以来俄罗斯国家信息政策综述Ⅱ】,图书情报工作,2006.
5.
【9】9中俄法律网.
h叩://www.
chinaruslaw.
corn/CN/InvestR.
u/Law/2005531140842him.
【10l电子商务网.
http://eb.
mofconl.
gov.
cn/aarticle/ab/d/200810/2()()81005822890.
html.
【111肖秋惠.
20世纪90年代以来俄罗斯信息立法探索Ol,在国外,2003.
1.
作者简介:王磊(1986一)硕士,研究员,主要研究方向:民商法专业知识产权法方向.