全球中文钓鱼网站现状统计报告

(2012年上半年)CNNIC国家域名安全中心中国反钓鱼联盟(APAC)反钓鱼工作组(APWG)2012年11月总体情况1.
钓鱼定义网络钓鱼(phishing,和钓鱼的英文fishing发音相同),是指攻击者通过垃圾邮件、即时通信、社交网络等信息载体,发布欺诈性消息,骗取网络用户访问其构建的仿冒网站(即钓鱼网站),引诱用户泄露其敏感信息(如用户名、口令、帐号、ATMPIN码或信用卡详细信息)的一种当前极为流行的网络攻击方式.
被攻击的用户,轻者泄露个人隐私,重者遭受经济损失.
2.
本报告的统计范围和统计方法《全球中文钓鱼网站现状统计报告》汇总并统计了全球范围内,针对中国网站和用户的中文钓鱼攻击事件.
其使用的数据主要由三部分构成:中国反钓鱼联盟(APAC)的成员举报数据,国家域名安全中心的钓鱼检测数据和反钓鱼工作组(Anti-phishingWorkingGroup,APWG)会员全球范围内举报的中文钓鱼数据.
其中,APWG贡献的全球中文钓鱼数据占到总数据量的49%.
本报告针对钓鱼网站数量的统计是基于钓鱼URL进行的,即包括主机名和路径名在内的完整的钓鱼URL只要和其他钓鱼URL不完全相同,则认定为一个独立的钓鱼网站.
采取该种统计方法,而不是直接统计钓鱼主机数量的原因如下:1.
存在同一个钓鱼主机下挂载了多个仿冒不同目标公司的钓鱼网页的情况;2.
存在正常主机下面的子页面被篡改为钓鱼站点的情况;3.
网络安全工具针对钓鱼攻击的防护主要是基于完整URL进行访问拦截.
3.
重要数据摘要2012年上半年,针对中国网民的钓鱼网站数量为15618个.
钓鱼攻击的目标公司统计前五位分别为:淘宝,阿里巴巴,中国工商银行,加拿大帝国商业银行(中国区业务),中央电视台.
钓鱼网站采用的顶级域名分布前五位为:.
COM、.
TK、.
PL、.
CC、.
NET.
重要指标的按月变化趋势,如下表所示:钓鱼网站按月统计趋势2012年上半年,全球共发现中文钓鱼网站15618个.
在第一季度内,钓鱼网站数量呈现逐月上升的趋势.
2012年5月份,钓鱼网站数量达到上半年的最大值,然后于2012年6月份大幅回落.
图1:钓鱼网站数量按月统计趋势1701265128562751332523340500100015002000250030003500钓鱼网站钓鱼攻击目标单位的统计分布网络钓鱼由于其本质上采用的是社会工程学手段,利用的是网民对于网页视觉效果和内容信息的信任感,因此其攻击的目标单位,即伪装仿冒的对象,呈现出涉及范围广,分布较集中的特点.
2012年上半年,共有59个单位被当做过钓鱼攻击的目标,其中,仿冒攻击淘宝网的钓鱼网站以超过总量50%的举报量位列第一.
钓鱼攻击目标单位具体分布如图2所示.
图2:2012年上半年钓鱼攻击目标统计分布从分布可以看出,排名前五的攻击目标的举报量,占到了总举报量的90%,表明了钓鱼攻击目标范围广,分布集中的特点.
主要攻击目标的按月举报量的趋势如图3所示:872956%301419%9656%6815%6364%4683%2862%1901%1671%4823%淘宝网阿里巴巴中国工商银行加拿大帝国商业银行中央电视台腾讯公司中国银行中国建设银行支付宝其他图3:主要钓鱼目标公司按月举报量趋势钓鱼域名统计情况除了极少数直接使用IP地址提供访问的钓鱼网站以外,绝大部分钓鱼网站采用域名作为其网站的访问入口,因此,大量的顶级域名都被钓鱼网站使用过.
其中,COM域名是被使用最多的顶级域.
具体分布和按月趋势如下所示:110417931976170213857696516123843611699451221361871522101581322093225818321151141014612313705001000150020002500淘宝网阿里巴巴中国工商银行加拿大帝国商业银行中央电视台424227%352823%233215%11287%10086%5013%4583%3362%2642%2562%156510%comtkplccnetinorginfomsbiz其他图4:钓鱼网站顶级域名分布图5:主要钓鱼网站顶级域按月统计趋势值得注意的是,宽松的域名注册和审核机制,过于低廉甚至免费的域名注册,更容易被钓鱼者利用来注册钓鱼域名,比如.
PL排名靠前,就是因为OSA.
PL和BEE.
PL等免费注册的二级域名造成的.
相对的,由于CN域名的实名审核机制,针对中国网民的钓鱼网站反而极少使用CN域名.
这从侧面也反映出,良好的域名注册管理机制有利于提高互联网的可信度.

URL-域名-钓鱼目标的比较和分布本节旨在比较钓鱼URL、钓鱼目标和钓鱼攻击所使用的独立域名三者之间的相互关系.
独立域名,指钓鱼攻击者拥有的可由其直接设置解析的域名,包括但不只有一级域名(如example.
com).
比如某些提供免费二级域使用的一级域名常常会被攻击者申请用做钓鱼,那么此处攻击者实际控制的独立域名就是二级域名(如free.
example.
com).
独立域名-钓鱼目标,是指独立域名和钓鱼目标的配对组合.
多个URL,如果采用同样3754656136311116104223241082692583629973812133618481922253302284248441613081801671480200400600800100012001400comtkplccnet的独立域名,面对同样的钓鱼目标,那么会被认为是一个独立域名-钓鱼目标对.