网络钓鱼已成为网络安全领域最严重的威胁之一。它虽然不是一种新的病毒入侵方法,但是危害范围却在逐渐扩大。面对越演越烈的网络钓鱼,我们应该如何防范?
　　
　　新疆维吾尔自治区烟草公司
　　
　　互联网的高速纵深拓展正极大地推动着整个社会的发展与变革,人们的日常生活、工作、兴趣也越来越多地迁移到互联网,例如:网上银行、电子政务、网络商店、网上支付、网络炒股等,这些基于网络的业务在给人们的生活带来便利的同时,也伴生了不可避免的烦恼。当前,网络钓鱼已经成为网络安全领域最严重的威胁之一。它虽然不是一种新的病毒入侵方法,但是危害范围却在逐渐扩大。
　　
　　网络钓鱼伺机而动
　　
　　网络钓鱼 (Phishing)一词,是“Fishing”和“Phone”的综合词,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了“Phishing”。网络钓鱼就其本身而言,并没有使用什么复杂高深的技术手段,也算不上是一种新颖、独立的攻击手段,其本质是利用社会工程学(Social Engineering)原理的网络诈骗手段。社会工程学是通过对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得个人利益的一种手法。
　　网络钓鱼从攻击角度上分为两种形式:一种是通过伪造具有“概率可信度”的信息来欺骗受害者,这里提到了“概率可信度”这个名词,从逻辑上说就是有一定的概率使人信任并且响应,从原理上说,攻击者使用“概率可信度”的信息进行攻击,这类信息在概率内正好吻合了受害者的信任度,受害者就可能直接信任这类信息并且响应;另外一种是通过“身份欺骗”信息来进行攻击,攻击者必须掌握一定的信息,利用人与人之间的信任关系,通过伪造身份,使用这类信任关系伪造信息,最终使受害者信任并且响应。
　　据统计,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。据中国反钓鱼网站联盟最新月报显示,2010年4月,该联盟受理并暂停域名解析的钓鱼网站为1785个,较前个月增长70%,约有4500万网民因网络钓鱼蒙受损失,总金额达76亿元。在网络钓鱼中,钓鱼者巧妙利用社会工程学原理,洞穿大多数网络用户的心理,设计了美味的“鱼饵”,诱骗用户上钩,主要涉及如下几种形式:
　　1.假冒知名网站,骗取用户信任,盗取用户资料。
　　诈骗者通常利用欺骗性的电子邮件和伪造的Web站点来进行诈骗,或者将自己伪装成知名银行、网上证券交易平台、淘宝网、支付宝、在线零售商等拥有较好信誉的企业品牌给用户发送陷阱邮件,想方设法布局诱骗访问者提供个人资料,如网银账号、邮箱账号、手机密码、隐私信息等。
　　2.制造紧迫感,迫使用户无暇核实信息。
　　在钓鱼者发来的邮件中,常常会声称如不立即进行某项操作就可能造成严重后果。例如:某封自称是“中国工商银行安全警告”的钓鱼邮件中,会通知你的网银密码可能已被不法分子盗用,要求你立即登录网站修改密码,避免不必要的损失。
　　3.以超低价(打折、促销、中奖、退税、“慈善义卖”)等为幌子,诱惑用户。
　　网上交易多是异地形式,通常需要异地转账汇款,交易双方天各一方,很难进行真伪鉴别和溯源定位,一旦钓鱼者骗取消费者钱款得逞或者诈骗伎俩被识破后就可能立即永远切断和消费者的联系。
　　4.利用各种心理弱点,增加好奇心。
　　网络上的信息庞大繁杂,包罗万象。“想看成人免费电影么?”、“想看性感车模的清凉写真么?”、“想获取TA的联系方式么?”、“想免费参加新马泰十日游么?”当看到这些极具诱惑力的标题时,很多人可能毫不犹豫地点击了鼠标,而这样就极有可能掉入钓鱼者精心安排的陷阱。
　　
　　几种常用技术手段
　　
　　网络钓鱼本质上是网络欺诈,其形式多种多样,在信息安全领域的专业人士眼中,网络钓鱼并没有过多的技术含量,主要是利用人们心理上的弱点同时配合辅助的技术手段来予以实现,钓鱼者常用的技术手段主要包括以下几个方面:
　　1.虚假的网址
　　当人们在互联网上访问某个网址时,很少会核对URL地址的真实性、准确性,因此利用各种手段伪造URL地址、把用户引导向钓鱼网站成为最常用的技术手段,这一手段具有以下表现形式:
　　(1)假冒URL
　　例如:字母“1”和“I”仅凭肉眼不好区分,所以“1cbc.com” 可能会被用来伪造“icbc.com”;用“ebays.com” 伪造“ebay.com”等。
　　(2)URL编码伪造
　　攻击者会利用URL的编码原理,提高钓鱼网站与真实网站的相似程度。URL编码就是将字符转换成为16进制并在前面加“%”前缀,例如:Google的域名后缀“.cn”URL编码后成为“http://www.google.cn”,这种形式的网址在客户机浏览器和服务器端都能正常支持,攻击者可以通过http: //www.google cn% 2El%KK\这一仿冒URL将用户欺骗至钓鱼网站,而不是http://www.google.cn。
　　(3)利用IP地址
　　利用IP地址而非域名显示服务器的访问入口或网址,以达到隐藏身份的目的。
　　(4)欺骗性超链接
　　即超链接的标题和链接实际指向的地址不一致,这种欺骗手段比较容易被识破,可以通过核查链接指向的实际目的地址的准确性予以判别真伪(部分钓鱼网站可能通过JavaScript和URL隐藏技术使IE状态栏中的地址无法显示)。
　　2.漏洞
　　(1)Web漏洞
　　近年来,XSS(跨站脚本)成为Web漏洞中的热点,XSS漏洞的特性是能够在远程Web页面中植入恶意脚本,达到跨域名跨页面修改网页任意内容的目的。当用户使用浏览器下载这一页面时,嵌入在其中的恶意脚本被执行。例如在网页中插入以下JavaScript代码,该页面的原有内容会被清空,从而使网页内容被篡改:
　　window.onload=function Phish(){
　　document.open();
　　document.clear();
　　document.write(“Phishing Attack By 80 seconds”);
　　document.close();
　　}
　　钓鱼者可以通过XSS漏洞任意修改可信站点的内容,引诱用户按照提示给出自己的敏感信息,而用户对此浑然不知。
　　(2)浏览器漏洞
　　这类漏洞往往利用客户端软件漏洞、通过伪造URL或者网页内容等方式实施欺诈,完全不受服务器端和网络环境的限制,危害甚大。
　　(3)服务器漏洞
　　最典型的服务器漏洞是伪造Email地址,钓鱼者可以借助邮件地址嗅探搜索工具、邮件群发器、邮件代理服务器等工具发送匿名邮件,或者伪造任何人的身份实施邮件欺骗。如下面的原始邮件头信息:
　　Received:from localhost(unknown[210.191.163.131])
　　By 192.168.1.1(Postfix) with ESMTP id 8D20F606002
　　for rayh4c@80sec.com;Tue,23 Dec 2008 10:03:08
　　 0800(CST)
　　Subject:中奖了!
　　MIME-Verion:1.0
　　From:“Admin”
　　To:rayh4c@80sec.com
　　这里MIME头中的From字段(代表发件人的源地址)是可以任意控制的,普通用户很难辨别邮件的真伪。
　　(4)协议漏洞
　　除使用Web攻击技术进行钓鱼以外,攻击者还可能使用网络协议漏洞进行钓鱼,例如大家熟知的ARP攻击、DNS劫持、DHCP劫持漏洞等。
　　3.重定向
　　重定向技术通过改变域名和IP地址之间的对应关系(即域欺骗)把用户毫无察觉地引向钓鱼网站。钓鱼者可以在服务器端(如攻击DNS服务器)或者客户端(如修改Windows系统地HOSTS文件)实施这种诈骗。
　　4.恶意代码、病毒
　　钓鱼者在发给用户的垃圾邮件中可能潜伏有包括木马、病毒、恶意程序、间谍软件、黑客软件等在内的恶意代码,或是利用弱口令等漏洞破解、猜测用户账号和密码,其目的就是为了搜集、盗取、利用用户个人信息。
　　
　　网络钓鱼的防范对策
　　
　　仅仅依靠网络运营监管部门、基础网络运营商单一的查封域名、停止网站运营等手段打击、制止、防范网站钓鱼,只能起到治标的效果,治本之策还在于提高网民的安全防范意识和操作技能,通过多方合力、多措并举,加强终端安全防御,才能逐渐予以彻底清理整治。中国诺网安全专家指出,不管钓鱼者玩出什么花样,总会有一个环节是让用户输入用户名和密码,这是网络钓鱼必经的一步,以下列举出常用的、简易可行的网络钓鱼防范对策。
　　1.不轻信陌生人。
　　2.不在不安全的计算机上输入个人账户资料(例如网吧、公用计算机等)。
　　3.不轻易点击充满诱惑性的链接(如中奖、退税等)。
　　4.不轻易泄露个人账户信息。
　　5.不在不可信的网站上进行在线交易。
　　6.不要害怕(面对不可信网站提供的威胁和警告首先要想办法予以核实)。
　　7.慎重转账汇款(必须在确认网站资质信息后再汇款)。
　　8.核对网址(牢记自己开户银行的网址,每次通过输入网址并核对无误后正确登录,避免采用搜索引擎的链接进入银行网站。用户可以通过到工信部ICP备案查询系统核实网站的ICP号以确认网站资质)。
　　9.保护好个人网易账户信息(确保网银账户登录密码、交易支付密码不尽相同,密码要具备一定的复杂程度,避免和个人资料相关,并妥善保管,增加暴力破解的难度)。
　　10.慎重处理电子邮件,过滤、删除垃圾邮件,增强邮件安全检测和安全配置。
　　11.必须使用网银硬件安全数字证书(如工行U盾、身份认证加密芯片等)。
　　12.做好终端网络安全防范(在终端安装防病毒、防火墙软件,定时升级;及时升级操作系统,打好补丁、封堵漏洞、关闭高危端口服务;增强终端浏览器的安全配置,及时维护可信站点列表,对不可信站点提高安全防范等级;网上下载或者通过QQ、MSN等即时通信工具接收的文件必须先检测杀毒再打开运行)。
　　13.使用专业产品工具屏蔽恶意网站、钓鱼网站(如趋势科技IWSA网关、瑞星卡卡等)。
　　针对网络钓鱼的诈骗行为,工信部、公安部等相关部委都设有专门的监管机构。但由于钓鱼网站频繁出现,现有的处理机制很难及时有效制止钓鱼网站, 在中国反钓鱼网站联盟成立前,国内还没有建立专门协调此问题的组织。联盟的成员单位目前还有限,对于层出不穷的钓鱼网站,国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外,国家有关的法律法规也有待进一步完善。