網絡釣魚(Phishing),並不是壹種新的入侵方法,但是它的危害範圍卻在逐漸擴大,並成為威脅網絡安全的最大危害之壹。妳了解Phishing嗎?與傳統的入侵方式相比,它有什麽顯著特點呢?典型的Phishing案例有哪些?如何防範被Phishing呢?
南方的早春總是伴著綿綿細雨,難得今天是個晴朗天,某服裝公司的張經理帶著十幾個重要員工來到郊外壹個魚塘進行垂釣活動。張經理放置好釣具後,便打開了隨身攜帶的筆記本電腦並連上網絡,他想利用這點時間處理壹下最近的壹筆生意。秘書見他在這種時候還離不開工作,便勸他:“經理,今天是遊玩的日子,難得放松壹下,今天還是不要處理公司業務了吧……您不怕釣竿被魚叼走了?”張經理對秘書笑了笑,看著身前的釣竿緩緩說道:“都說姜太公釣魚,願者上鉤,但是如果不知道提竿的時機,即將到手的魚也會溜走的。等這筆生意談妥,我再休息也不遲。”說罷又繼續低頭敲鍵盤。
生意終於談妥,客戶把貨款轉入張經理的銀行賬戶,張經理笑了:“這條大魚終於被我釣到了。”然後他登上網絡銀行賬戶查看轉賬情況。當頁面上顯示出賬戶剩余金額時,張經理心裏壹緊,接著有了暈眩的感覺:賬戶裏原來的存款不翼而飛,頁面裏惟有客戶剛剛轉入的貨款,仿佛在嘲笑著張經理。
張經理做夢也沒想到,這壹次,他成了別人釣上的魚,而且是大魚。
釋疑網絡釣魚
網絡釣魚(Phishing),並不是壹種新的入侵方法,但是它的危害範圍卻在逐漸擴大,成為最嚴重的網絡威脅之壹。Phishing就是指入侵者通過處心積慮的技術手段偽造出壹些以假亂真的網站和誘惑受害者根據指定方法操作的email等方法,使得受害者“自願”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)的手段。入侵者並不需要主動攻擊,他只需要靜靜等候這些釣竿的反應並提起壹條又壹條魚就可以了,就好像是“姜太公釣魚,願者上鉤”。
看到這裏,有些讀者可能會說,這不是社會工程學嗎?兩者都是騙人的手段啊。不錯,網絡釣魚裏面的確有社會工程學的影子,但是與後者相比,網絡釣魚更趨向於技術方面,因為它不僅僅是欺騙,裏面還必須摻入技術成分,否則如果連“垂釣者”自己都無法控制“釣竿”的話,又怎麽可能釣到魚呢?
視覺陷阱:網頁背後的釣竿
警察正在分析張經理那臺筆記本電腦硬盤裏的數據,張經理本人在報案時因心臟病發作而住進了醫院。由於無法得知張經理最後壹次登錄網絡銀行的時間,而且系統裏也沒有感染任何偷盜賬號的後門程序,案件變得有點撲朔迷離起來。壹個分析員無意中打開了Foxmail,發現最後壹封信件是銀行發送的,主題為“XX網絡銀行關於加強賬戶安全的通告”,分析員預測案件與這封信件有重大關系,馬上打開閱讀。這是壹封HTML網頁模板的信件,內容大意為銀行為了加強賬戶安全而升級了系統,請各位客戶盡快重新設置賬戶密碼,末尾還給出了設置密碼的URL鏈接。
幕後黑手果然在這裏!分析員馬上查看信件源代碼,很快就找出了其中的貓膩:正如常說的 “說的壹套,做的壹套”,這個郵件的作者采用了“看的壹套,進的壹套”這種簡單的欺騙手法,而這個所謂的更改密碼頁面,當然偽造得與真正的銀行頁面完全壹致,但是它的“更改密碼”功能卻是把賬號和密碼發送到了幕後的“垂釣者”手上,然後“垂釣者”登錄上真正的網絡銀行改了受害者設置的密碼,並順手牽羊把銀行賬戶裏的存款轉移掉。這樣釣來的魚,即使是小魚也會讓“垂釣者”在夢裏發出笑聲來了,即使壹條太小,積累起來的數目也會變得相當可觀了。在金錢的誘惑下,“垂釣者”壹次又壹次提竿,殊不知,他自己也是被金錢釣竿釣上的壹條魚。
拙劣手段成功的關鍵
為什麽如此拙劣的技術卻能頻頻得手呢?在妳的實際生活中有沒有遇到類似的情況呢?妳會采取什麽樣的預防措施呢?
因為網絡釣魚充分利用了人們的心理漏洞,首先,人們收到銀行這類影響力很大的商務郵件時幾乎都會緊張,很多人都不曾懷疑信件的真實性,更會下意識地根據要求打開郵件裏面指定的URL進行操作;其次,頁面打開後,我們通常都只會留意頁面內容而不會註意瀏覽器地址欄的顯示,正是這點讓“垂釣者”有了可乘之機。
其實“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像壹回事似的,只是現在IE普遍打了補丁,這種情況下還使用這個漏洞就會“不打自招”了,所以只有極少數“垂釣者”會采用這個方法,有的“垂釣者”根本連個看起來“比較正規”的域名都沒有,而是采用IP地址形式甚至直接光明正大把真實地址顯示在瀏覽器的地址欄裏——因為他們知道,除非出現意外情況,否則大部分人根本是不會註意瀏覽器的地址欄的。
這裏順便提壹下那封email,為什麽張經理會上當呢?縱然,如果那封email的發件人地址不是銀行網站的,那麽白癡都看得出來這是偽造的郵件。但是問題就出在這裏,這封email的發件人地址清清楚楚寫著該銀行網站的技術支持信箱地址!“垂釣者”是怎麽做到的呢?很簡單,壹些未經設置的email服務器並不會驗證用戶信息是否真實,於是騙子用這樣的郵件服務器發送壹封偽造了發件人地址的信件簡直是易如反掌。反釣魚攻擊是IE 7在安全方面的壹個重要更新。每次打開新頁面,為了檢測該頁面是否存在釣魚攻擊,我們可以看到在IE窗口的右下會顯示壹個警報的標誌。
看到這個警報的提示,我們可以手動進行反釣魚攻擊的檢測程序,或者打開自動檢測檢測功能。另外,還可以向微軟匯報壹個帶有釣魚攻擊的站點URL,微軟的網上數據庫會將此地址收入,並提供給其他用戶作為參考。采用這種群策群力對抗系統威脅的方式,使得遭受攻擊的可能性大大降低。 、