论文部分内容阅读
:“温馨提示:别忘了及时为爱车纳车船使用税,3月10日前登录招行网站www.bj.cmbchina.com或到网点均可办理!详情95555。”当我收到这则手机短信时的第一反应就是:这是否是网络钓鱼者所为。如今的网络钓鱼在中国已不再是安全专家口中所谈论的趋势,而是实实在在摆在面前的事实。在这方面,中国已与世界同步。
网络钓鱼者用偷来的账号和密码将自己武装到牙齿,想方设法侵入企业网络。
IT界正在采取一系列的反击措施保护企业的声誉,并应对数据中心面临的新威胁。
IT鏖战网络钓鱼
街头骗术是一种最古老的骗局,现在这种把戏又有了新版本:网络钓鱼(Phishing)。网络钓鱼行为正在引起IT界的警觉,因为它会对在线商业和数据中心构成潜在的威胁。
“这种行为被称之为网络钓鱼并不合适……太客气了”,Fredrick Pastore这么说,他是华尔街一家大型投资公司的IT经理,“它最确切的名字应当是:恶意欺诈。”
网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点,这些站点由他们自己设计,看上去和合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”,他们自称是PayPal或者eBay的客户代表,威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息,这位用户在PayPal或者eBay上的账号就有可能被封掉。当然很多用户都能识破这种骗局,但是根据Anti-Phishing Working Group的研究,有将近5%的用户会上当,这个比率比用户对随机发送的普通垃圾邮件的反馈率高很多,后者只有1%。
网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序(这种程序会在用户打开电子邮件之后立刻自动安装,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,以至于越来越多的人上当受骗,消费者可能会举手投降,这意味着他们将放弃在线购物,或者将正常的商业邮件也直接扔进“删除邮件”夹。成了惊弓之鸟的用户对电子支付以及邮件广告都将产生戒心。
安全解决方案供应商Sophos的首席安全分析师Gregg Mastoras对此的评论是,“如果消费者不理会商业信息,停止使用在线服务,那么造成的负面影响将会相当大。”
安全专家认为,网络钓鱼现象在2005年将会更加严重,几乎所有企业都将受到影响。
“我认为我们公司在2005年也会成为攻击目标,”Mark Merton说,他是一家大型零售公司的网络管理员,该公司也从事在线销售业务,“我们有专门的员工每天检查网络并报告与我们相关的钓鱼行为。”
为了钓鱼,攻击者会首先试图从数据中心窃取身份资料。随着数据集中程度的提高,网络钓鱼将成为盗取身份资料的主要动因,因此针对数据中心的攻击将会增多。
“威胁要比以前高多了,”Prat Moghe说,他是Tizor系统公司的CEO,该公司正在开发企业级安全监视软件。他认为,网络钓鱼者很快将会集中注意力从数据库中大规模盗取身份信息,并用这些信息设计钓鱼陷阱。向某个银行的客户发送钓鱼邮件,要比随机发送这种邮件更容易得逞、效率更高,至少在理论上如此。只要发一封邮件,他们就可能上钩(参看图1)。
“要想钓鱼,必须要有鱼钩,”Moghe说,“大规模信息盗窃的鱼钩就是数据中心中的客户个人资料。一旦网络钓鱼者侵入数据库,他们可能盗走数百万条用户信息。信息盗窃的手段正在变得越来越复杂,从大型数据库中盗取用户身份信息的行为也会不断增加。”
钓鱼的季节已经正式来临了,不过好在企业防御病毒的很多措施对于防范钓鱼行为同样有效。
活的鱼饵
和病毒的情况类似,网络钓鱼行为最初也是由一些急于显示自己的黑客所为。刚开始时,钓鱼行为并没有带来多大危害,但是情况很快就开始变糟。根据美国FBI互联网犯罪投诉中心(IC3)的Dan Larkin的说法,一些有组织的犯罪团伙甚至也开始插手网络钓鱼。
据澳大利亚媒体的报道,四名高中生最近因涉嫌一起网络银行盗窃案而被起诉,此案中有数百万资金被从澳大利亚转移到东欧。作案者使用的手段就是通过虚假广告和垃圾邮件在受害者的计算机上安装特洛伊木马程序来盗取用户的密码等银行信息。
“对于普通的网络钓鱼和用户身份信息的盗窃行为,用户已经比较警惕了,”Sophos 公司的Mastoras说,“不幸的是,有组织的罪犯已开始使用更加复杂的方法。”
现在的罪犯已经不满足于将用户银行账户里的钱洗劫一空,他们正盘算着如何充分挖掘用户登录名、密码以及其他个人敏感信息的利用价值,将其用于下一次作案。网络钓鱼者希望得到实实在在的好处,并且在努力做到这一点。以前有很多钓鱼邮件都设计得非常拙劣,夹杂着生僻甚至拼错的英文单词,比方说伪造一份银行寄给客户的邮件时竟然称客户为“darling”;但是现在的钓鱼技术含量越来越高,甚至不需要用户单击链接。
近来,一旦用户在没有打过相应安全补丁或老版本的Outlook中打开这种钓鱼邮件(这种邮件通常被伪装成来自银行的邮件),邮件中包含的恶意代码就会被执行,修改用户计算机中的主机文件。而后当用户登录银行网站时就会在毫不知情的情况下被指向伪造的网站。几乎没有用户能觉察到自己正在和一个假网站做交易。这种钓鱼手段曾被用来攻击巴西的一些全融机构,后来英国的几家银行也成为攻击目标。安全专家预测此方式的各种变种很快就会被大量使用。
Natasha Stately是MessageLab的安全分析师,他说:“网络钓鱼者将开始把目标指向所有开展在线业务的企业。”
网络钓鱼还会危及网络安全。例如,如果用户能够自由设置登录名和密码,他们很有可能在多个网站上使用相同的登录名和密码。假设网络钓鱼者发现John Smith在eBay上的登录名和密码分别是Jsmith13和superman,那么他们就会在数据库和帖子中寻找关于John Smith的更多的信息,一旦找到他所在的公司网络,网络钓鱼者就会使用Jsmith13和superman尝试登录。
对付网络钓鱼
当被问及如何防范网络钓鱼时,安全专家立刻会说——加强对用户的教育。“对用户的教育总被当成是徒劳无益的,”安全顾问Robert Ferrell说,“说出来令人难以置信,很多人要通过专门学习之后才知道电子邮件的附件不可以随便打开。常识无法“升级”,智力不能“安装”,在网络安全这根链条上,人总是最薄弱的环节。仅仅告诫人们网络钓鱼的危害是不够的,安全专家敦促企业不要发送包含网络链接的电子邮件。”
“企业不应当在电子邮件中包含链接,并且要确保用户清楚这一点,”Ferrell说,“告诉用户你在什么地方,让他们自己过来,而不是派辆车去接他们。”
许多企业开始使用私人信息中心这种手段来做到这一点,例如eBay就为每个用户提供了收信箱,这个信箱位于eBay的网站上,名为My Messages。JPMorgan Chase也采用了类似的方法,对于需要经常访问这些网站的用户而言,这种措施是行之有效的,因为他们的收信箱里面不会被塞满不可靠的促销邮件。
EathLink和Comcast在给客户的电子邮件中以及其网站上都明确说明,该公司的技术支持人员和业务代表会向客户询问哪些信息,以及通过哪些途径来询问这些信息。例如,在进行技术支持之前,公司的业务代表可能会通过电话或以在线的方式询问用户的社会安全号码的最后四位数字,但是绝对不会通过电子邮件。
从长远来看,企业需要认可并使用通用、防伪、易于使用的电子邮件认证手段。有一种配合S/MIME使用并且得到多数电子邮件程序支持的可靠发信人证书,可以帮肋收信人确认邮件的合法性,并可以确认发信人已经通过了独立认证机构的认证。
但最终黑客仍然会攻破这种认证机制,正如他们成功地伪造其他安全证书和浏览器中的锁形安全图标一样。专家们认为,解决网络钓鱼最根本的方法是建立全球性的认证标准,保证电子邮件都来自于邮件中所声称的那个域。专家建议将这种邮件的“发信人标识”和可靠的认证工具结合起来,捆绑到浏览器中,这样当用户登录伪造的网站时,浏览器就会发出警告。
除此之外,IT行业还应当对那些注册与合法企业域名过分接近的企图予以注意。网络钓鱼行为往往会涉及此类域名,例如“paypaI.com”,发现其中的奥妙了吗?这里的大写I和小写的l很接近。
如果你的公司在美国成为网络钓鱼的攻击目标,你应该立刻和当地的FBI IC3部门联系。仅仅向上游ISP进行投诉让他们关闭钓鱼网站可能行不通,因为他们的经济利益和垃圾邮件以及钓鱼邮件直接相关。
还有一个好主意,在你的网站上提供警示信息,同时提供信箱供用户报告网络钓鱼行为。另外还可以参加相关的组织,比如Anti-Phishing Working Group和Digital PhishNet。当然,最有效的防范手段就是将自己掌握的钓鱼行为的可靠线索拿出来和大家分享。
Mark Menton是一家在线零售公司的网络主管,当谈及如何让系统既便于使用又可靠安全时,他认为网络钓鱼行为迫使企业采取更加有效的安全策略,他说:“如果对所有客户的账户进行监视,工作量会过于庞大,我们将不胜其烦,而且还要对软件进行升级。我们需要一种更加有效的客户身份验证手段,而不是仅仅靠用户名和密码对其身份进行验证。”
企业共享网络钓鱼信息
网络钓鱼者要小心了,当你打别人主意的时候,别人也在注意你们,FBI还想把你们投入监狱。
企业正在通过名为Digit PhishNet的组织联合起来,和FBI一起共享关于网络钓鱼以及伴随网络钓鱼出现的破坏活动的信息。
Stirling McBride是微软的安全调查员,他最初推动了该组织的工作。微软的安全部门也在对网络钓鱼事件进行监视,并向FBI IC3提供信息,这些钓鱼行为涉及AOL、EathLink和Lycos等网站。
PhishNet反钓鱼的主要工具是一个数据库,该组织的成员将网络钓鱼者的IP地址、钓鱼网站的注册以及主机提供者这些信息输入数据库。美国的National Cyber Forensics and Training Alliance会对这些数据进行分析,整理出案犯的资料并移交给执法部门处理。
“对有关网络钓鱼的信息进行整合有利于我们集中注意解决最主要的案件,”来自联邦调查局IC3 的Dan Larkin说,“Digital PhishNet起到了桥梁的作用,他们从数量众多的网络钓鱼受害者那里收集信息并将这些信息直接提供给执法部门,这个过程是实时进行的,因此我们可以在罪犯遁形之前掌握这些信息。”
Larkin还强调时间是很关键的因素。“我们必须像网络钓鱼者一样行动迅速——他们可以在几天之内建起假冒的网站,收集受骗者的信用卡信息或者其他信息,然后立刻关闭网站。”
Digital PhishNet的创始成员包括AOL、Digital River、EarthLink、Lycos、 Microsoft、 Network Solutions、VeriSign、联邦调查局、联邦贸易委员会、美国密勤局和美国邮政监察局。
企业可以在其网站www.digitalphishnet.org上注册来加入这个组织。
虽然Digital PhishNet并不能彻底消灭网络钓鱼行为,但是它的价值是那些对该组织持怀疑态度的人没有看到的。网络钓鱼是一个全球性的问题,执法部门必须和各个政府部门配合,使用多种法律手段进行打击。
Digital PhishNet的工作能不能取得成功很大程度上取决于其成员是否愿意开诚布公地分享他们所掌握的关于网络钓鱼的线索,很多企业并不十分愿意这样做。Digital PhishNet宣布成立后不久,InfoWorld杂志曾询问EarthLink,哪些国家的钓鱼网站最多。从其公关公司得到的答复是:“本公司不愿意在没有完全掌握情况的前提下讨论哪些国家的钓鱼网站最多”。
尽管如此,Digital PhishNet的出现还是证明了,通过含糊其辞来保障安全的方法是难以凑效的。
Box(指鱼钩钓起的色块):
跨站脚本执行攻击(Cross-Site Scripting)
威胁:攻击者可以从非法站点直接向用户发动攻击或者伪造合法网站。
Greyhats安全小组说,IE的DHTML中的ActiveX编辑框控件存在一个漏洞。当用户从钓鱼邮件中点击链接时,IE地址栏将显示合法网站的地址,而实际显示的内容却可以是攻击者任意指定的其他网站。此外,浏览器状态栏中显示的SSL锁形安全标记也可以伪造。
对策:
对接收到的Web内容进行鉴别和过滤,同时对反馈给用户的内容进行恰当的编码和过滤。
混合攻击
威胁:这种攻击手段依靠Cross-Site Scripting,但并不伪造网站,而是将指向合法网站的链接嵌在钓鱼邮件中,不过这个链接中包含了恶意代码。当受害者单击链接时,IE将打开合法的网站,同时链接中的恶意代码会弹出伪造的登录窗口,这个登录窗口指向网络钓鱼者的站点,从而窃取用户的登录信息。
对策:和对付跨站脚本执行攻击(Cross-Site Scripting)的方法相同
社会工程学:
威胁:利用人类常见的各种感情,如信任、恐惧、贪婪、善良,几乎所有的网络钓鱼都涉及社会工程学的技巧。
最近常见的手法比如让收到邮件的用户填写一个表单,以便得到职位、奖金或者礼物。在圣诞节前,钓鱼者发出很多钓鱼邮件,警告用户说:“圣诞节将至,您的订单可能会被耽搁,请单击下面的链接使用您的账号和密码登录。”
对策:不断进行用户教育
改写和重指向:
威胁:这种手段利用了Windows脚本,不需要用户点击电子邮件中的链接,只要邮件一打开,一段脚本就会被执行。这些代码将会改写受感染计算机的主机文件。如果修改成功,当用户登录网络银行时,他实际上会被指向伪造的网站。这个伪造的网站会收集用户输入的账号、密码以及其他个人信息。
网络钓鱼者用偷来的账号和密码将自己武装到牙齿,想方设法侵入企业网络。
IT界正在采取一系列的反击措施保护企业的声誉,并应对数据中心面临的新威胁。
IT鏖战网络钓鱼
街头骗术是一种最古老的骗局,现在这种把戏又有了新版本:网络钓鱼(Phishing)。网络钓鱼行为正在引起IT界的警觉,因为它会对在线商业和数据中心构成潜在的威胁。
“这种行为被称之为网络钓鱼并不合适……太客气了”,Fredrick Pastore这么说,他是华尔街一家大型投资公司的IT经理,“它最确切的名字应当是:恶意欺诈。”
网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点,这些站点由他们自己设计,看上去和合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”,他们自称是PayPal或者eBay的客户代表,威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息,这位用户在PayPal或者eBay上的账号就有可能被封掉。当然很多用户都能识破这种骗局,但是根据Anti-Phishing Working Group的研究,有将近5%的用户会上当,这个比率比用户对随机发送的普通垃圾邮件的反馈率高很多,后者只有1%。
网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序(这种程序会在用户打开电子邮件之后立刻自动安装,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,以至于越来越多的人上当受骗,消费者可能会举手投降,这意味着他们将放弃在线购物,或者将正常的商业邮件也直接扔进“删除邮件”夹。成了惊弓之鸟的用户对电子支付以及邮件广告都将产生戒心。
安全解决方案供应商Sophos的首席安全分析师Gregg Mastoras对此的评论是,“如果消费者不理会商业信息,停止使用在线服务,那么造成的负面影响将会相当大。”
安全专家认为,网络钓鱼现象在2005年将会更加严重,几乎所有企业都将受到影响。
“我认为我们公司在2005年也会成为攻击目标,”Mark Merton说,他是一家大型零售公司的网络管理员,该公司也从事在线销售业务,“我们有专门的员工每天检查网络并报告与我们相关的钓鱼行为。”
为了钓鱼,攻击者会首先试图从数据中心窃取身份资料。随着数据集中程度的提高,网络钓鱼将成为盗取身份资料的主要动因,因此针对数据中心的攻击将会增多。
“威胁要比以前高多了,”Prat Moghe说,他是Tizor系统公司的CEO,该公司正在开发企业级安全监视软件。他认为,网络钓鱼者很快将会集中注意力从数据库中大规模盗取身份信息,并用这些信息设计钓鱼陷阱。向某个银行的客户发送钓鱼邮件,要比随机发送这种邮件更容易得逞、效率更高,至少在理论上如此。只要发一封邮件,他们就可能上钩(参看图1)。
“要想钓鱼,必须要有鱼钩,”Moghe说,“大规模信息盗窃的鱼钩就是数据中心中的客户个人资料。一旦网络钓鱼者侵入数据库,他们可能盗走数百万条用户信息。信息盗窃的手段正在变得越来越复杂,从大型数据库中盗取用户身份信息的行为也会不断增加。”
钓鱼的季节已经正式来临了,不过好在企业防御病毒的很多措施对于防范钓鱼行为同样有效。
活的鱼饵
和病毒的情况类似,网络钓鱼行为最初也是由一些急于显示自己的黑客所为。刚开始时,钓鱼行为并没有带来多大危害,但是情况很快就开始变糟。根据美国FBI互联网犯罪投诉中心(IC3)的Dan Larkin的说法,一些有组织的犯罪团伙甚至也开始插手网络钓鱼。
据澳大利亚媒体的报道,四名高中生最近因涉嫌一起网络银行盗窃案而被起诉,此案中有数百万资金被从澳大利亚转移到东欧。作案者使用的手段就是通过虚假广告和垃圾邮件在受害者的计算机上安装特洛伊木马程序来盗取用户的密码等银行信息。
“对于普通的网络钓鱼和用户身份信息的盗窃行为,用户已经比较警惕了,”Sophos 公司的Mastoras说,“不幸的是,有组织的罪犯已开始使用更加复杂的方法。”
现在的罪犯已经不满足于将用户银行账户里的钱洗劫一空,他们正盘算着如何充分挖掘用户登录名、密码以及其他个人敏感信息的利用价值,将其用于下一次作案。网络钓鱼者希望得到实实在在的好处,并且在努力做到这一点。以前有很多钓鱼邮件都设计得非常拙劣,夹杂着生僻甚至拼错的英文单词,比方说伪造一份银行寄给客户的邮件时竟然称客户为“darling”;但是现在的钓鱼技术含量越来越高,甚至不需要用户单击链接。
近来,一旦用户在没有打过相应安全补丁或老版本的Outlook中打开这种钓鱼邮件(这种邮件通常被伪装成来自银行的邮件),邮件中包含的恶意代码就会被执行,修改用户计算机中的主机文件。而后当用户登录银行网站时就会在毫不知情的情况下被指向伪造的网站。几乎没有用户能觉察到自己正在和一个假网站做交易。这种钓鱼手段曾被用来攻击巴西的一些全融机构,后来英国的几家银行也成为攻击目标。安全专家预测此方式的各种变种很快就会被大量使用。
Natasha Stately是MessageLab的安全分析师,他说:“网络钓鱼者将开始把目标指向所有开展在线业务的企业。”
网络钓鱼还会危及网络安全。例如,如果用户能够自由设置登录名和密码,他们很有可能在多个网站上使用相同的登录名和密码。假设网络钓鱼者发现John Smith在eBay上的登录名和密码分别是Jsmith13和superman,那么他们就会在数据库和帖子中寻找关于John Smith的更多的信息,一旦找到他所在的公司网络,网络钓鱼者就会使用Jsmith13和superman尝试登录。
对付网络钓鱼
当被问及如何防范网络钓鱼时,安全专家立刻会说——加强对用户的教育。“对用户的教育总被当成是徒劳无益的,”安全顾问Robert Ferrell说,“说出来令人难以置信,很多人要通过专门学习之后才知道电子邮件的附件不可以随便打开。常识无法“升级”,智力不能“安装”,在网络安全这根链条上,人总是最薄弱的环节。仅仅告诫人们网络钓鱼的危害是不够的,安全专家敦促企业不要发送包含网络链接的电子邮件。”
“企业不应当在电子邮件中包含链接,并且要确保用户清楚这一点,”Ferrell说,“告诉用户你在什么地方,让他们自己过来,而不是派辆车去接他们。”
许多企业开始使用私人信息中心这种手段来做到这一点,例如eBay就为每个用户提供了收信箱,这个信箱位于eBay的网站上,名为My Messages。JPMorgan Chase也采用了类似的方法,对于需要经常访问这些网站的用户而言,这种措施是行之有效的,因为他们的收信箱里面不会被塞满不可靠的促销邮件。
EathLink和Comcast在给客户的电子邮件中以及其网站上都明确说明,该公司的技术支持人员和业务代表会向客户询问哪些信息,以及通过哪些途径来询问这些信息。例如,在进行技术支持之前,公司的业务代表可能会通过电话或以在线的方式询问用户的社会安全号码的最后四位数字,但是绝对不会通过电子邮件。
从长远来看,企业需要认可并使用通用、防伪、易于使用的电子邮件认证手段。有一种配合S/MIME使用并且得到多数电子邮件程序支持的可靠发信人证书,可以帮肋收信人确认邮件的合法性,并可以确认发信人已经通过了独立认证机构的认证。
但最终黑客仍然会攻破这种认证机制,正如他们成功地伪造其他安全证书和浏览器中的锁形安全图标一样。专家们认为,解决网络钓鱼最根本的方法是建立全球性的认证标准,保证电子邮件都来自于邮件中所声称的那个域。专家建议将这种邮件的“发信人标识”和可靠的认证工具结合起来,捆绑到浏览器中,这样当用户登录伪造的网站时,浏览器就会发出警告。
除此之外,IT行业还应当对那些注册与合法企业域名过分接近的企图予以注意。网络钓鱼行为往往会涉及此类域名,例如“paypaI.com”,发现其中的奥妙了吗?这里的大写I和小写的l很接近。
如果你的公司在美国成为网络钓鱼的攻击目标,你应该立刻和当地的FBI IC3部门联系。仅仅向上游ISP进行投诉让他们关闭钓鱼网站可能行不通,因为他们的经济利益和垃圾邮件以及钓鱼邮件直接相关。
还有一个好主意,在你的网站上提供警示信息,同时提供信箱供用户报告网络钓鱼行为。另外还可以参加相关的组织,比如Anti-Phishing Working Group和Digital PhishNet。当然,最有效的防范手段就是将自己掌握的钓鱼行为的可靠线索拿出来和大家分享。
Mark Menton是一家在线零售公司的网络主管,当谈及如何让系统既便于使用又可靠安全时,他认为网络钓鱼行为迫使企业采取更加有效的安全策略,他说:“如果对所有客户的账户进行监视,工作量会过于庞大,我们将不胜其烦,而且还要对软件进行升级。我们需要一种更加有效的客户身份验证手段,而不是仅仅靠用户名和密码对其身份进行验证。”
企业共享网络钓鱼信息
网络钓鱼者要小心了,当你打别人主意的时候,别人也在注意你们,FBI还想把你们投入监狱。
企业正在通过名为Digit PhishNet的组织联合起来,和FBI一起共享关于网络钓鱼以及伴随网络钓鱼出现的破坏活动的信息。
Stirling McBride是微软的安全调查员,他最初推动了该组织的工作。微软的安全部门也在对网络钓鱼事件进行监视,并向FBI IC3提供信息,这些钓鱼行为涉及AOL、EathLink和Lycos等网站。
PhishNet反钓鱼的主要工具是一个数据库,该组织的成员将网络钓鱼者的IP地址、钓鱼网站的注册以及主机提供者这些信息输入数据库。美国的National Cyber Forensics and Training Alliance会对这些数据进行分析,整理出案犯的资料并移交给执法部门处理。
“对有关网络钓鱼的信息进行整合有利于我们集中注意解决最主要的案件,”来自联邦调查局IC3 的Dan Larkin说,“Digital PhishNet起到了桥梁的作用,他们从数量众多的网络钓鱼受害者那里收集信息并将这些信息直接提供给执法部门,这个过程是实时进行的,因此我们可以在罪犯遁形之前掌握这些信息。”
Larkin还强调时间是很关键的因素。“我们必须像网络钓鱼者一样行动迅速——他们可以在几天之内建起假冒的网站,收集受骗者的信用卡信息或者其他信息,然后立刻关闭网站。”
Digital PhishNet的创始成员包括AOL、Digital River、EarthLink、Lycos、 Microsoft、 Network Solutions、VeriSign、联邦调查局、联邦贸易委员会、美国密勤局和美国邮政监察局。
企业可以在其网站www.digitalphishnet.org上注册来加入这个组织。
虽然Digital PhishNet并不能彻底消灭网络钓鱼行为,但是它的价值是那些对该组织持怀疑态度的人没有看到的。网络钓鱼是一个全球性的问题,执法部门必须和各个政府部门配合,使用多种法律手段进行打击。
Digital PhishNet的工作能不能取得成功很大程度上取决于其成员是否愿意开诚布公地分享他们所掌握的关于网络钓鱼的线索,很多企业并不十分愿意这样做。Digital PhishNet宣布成立后不久,InfoWorld杂志曾询问EarthLink,哪些国家的钓鱼网站最多。从其公关公司得到的答复是:“本公司不愿意在没有完全掌握情况的前提下讨论哪些国家的钓鱼网站最多”。
尽管如此,Digital PhishNet的出现还是证明了,通过含糊其辞来保障安全的方法是难以凑效的。
Box(指鱼钩钓起的色块):
跨站脚本执行攻击(Cross-Site Scripting)
威胁:攻击者可以从非法站点直接向用户发动攻击或者伪造合法网站。
Greyhats安全小组说,IE的DHTML中的ActiveX编辑框控件存在一个漏洞。当用户从钓鱼邮件中点击链接时,IE地址栏将显示合法网站的地址,而实际显示的内容却可以是攻击者任意指定的其他网站。此外,浏览器状态栏中显示的SSL锁形安全标记也可以伪造。
对策:
对接收到的Web内容进行鉴别和过滤,同时对反馈给用户的内容进行恰当的编码和过滤。
混合攻击
威胁:这种攻击手段依靠Cross-Site Scripting,但并不伪造网站,而是将指向合法网站的链接嵌在钓鱼邮件中,不过这个链接中包含了恶意代码。当受害者单击链接时,IE将打开合法的网站,同时链接中的恶意代码会弹出伪造的登录窗口,这个登录窗口指向网络钓鱼者的站点,从而窃取用户的登录信息。
对策:和对付跨站脚本执行攻击(Cross-Site Scripting)的方法相同
社会工程学:
威胁:利用人类常见的各种感情,如信任、恐惧、贪婪、善良,几乎所有的网络钓鱼都涉及社会工程学的技巧。
最近常见的手法比如让收到邮件的用户填写一个表单,以便得到职位、奖金或者礼物。在圣诞节前,钓鱼者发出很多钓鱼邮件,警告用户说:“圣诞节将至,您的订单可能会被耽搁,请单击下面的链接使用您的账号和密码登录。”
对策:不断进行用户教育
改写和重指向:
威胁:这种手段利用了Windows脚本,不需要用户点击电子邮件中的链接,只要邮件一打开,一段脚本就会被执行。这些代码将会改写受感染计算机的主机文件。如果修改成功,当用户登录网络银行时,他实际上会被指向伪造的网站。这个伪造的网站会收集用户输入的账号、密码以及其他个人信息。