随着一种新型诈骗术以每周一次的频率光临用户信箱,钓鱼攻击也正在成为一个常用词汇。实际上,钓鱼攻击的传播之广使得甚至“个人用户”都知道它的含义。
然而,钓鱼攻击与病毒和其他威胁有何不同之处?而且为什么会变得如此普及?钓鱼和其他诸如病毒等威胁的最大不同在于攻击背后的“意图”。 很多病毒、蠕虫和其他恶件的编写者意在破环用户的计算机或者文件,还有一些想利用那些可制造大范围传播的成功攻击使自己出名。
另一方面,钓鱼攻击者并不关心对用户硬件和软件的损害,他们对让自己成为头条新闻不感兴趣。相反,钓鱼攻击特别适合于秘密操作,其编写者选择的是财富而不是名声。
那些受利益驱动而发动攻击的人不会与其他以出名为目的的恶件编写者进行竞争,他们会把时间花在开发并提高技术方面,以便增加窃取更有用信息的机会 - 以匿名且更为有效的方法。
垃圾邮件和钓鱼攻击之间的关系
电子邮件伪造技术把这两种同属利益驱动型的攻击结合在一起。
电子邮件伪造是建立在SMTP和互联网协议的基本漏洞基础之上的。正是由于这些漏洞,伪造的电子邮件的起始地址也是非常难以确定的。
此外,不论邮件客户端或服务器端是如何的配置完好,仍有可能通过端口25受到黑客的袭击。黑客可以利用这些邮件客户端和服务器端达到各种恶意目的,包括发送未经请求的邮件或者制造源于电子邮件的恶件。
修复现有计算协议的这些漏洞需要整个计算世界投入巨资!
和其他利益驱动型攻击相比,钓鱼攻击利用了互联网的力量 - 互联网也是推动全球无数业务和服务发展的媒介。
钓鱼攻击实际上就是同时使用两种在线身份偷窃技术。对所有的钓鱼攻击来说,首先要窃取目标公司的身份,这样便于偷窃更多的身份 - 受害者数以千计。
典型的钓鱼攻击包括两部分:一份看似可信的邮件以及一个欺骗性的网页。钓鱼攻击电子邮件的内容一般可使接收者感到困惑、不安甚至兴奋。典型的电子邮件主题包括账户问题、账户验证、安全更新/升级以及普通的新产品/服务,因此接收者肯定会立即做出反应。然后他们就会点击电子邮件正文中的链接,实际上就是指引他们进入钓鱼攻击网页。
与钓鱼攻击电子邮件一样,一般钓鱼攻击网页看起来也总是真实的 - 其中包括相同的公司标识、图形、写作样式、字体、排版等。这种伪造的网页包含了图形用户界面(GUI),用户可以在其中输入其账户资料,然后所有被窃取的资料被发送给匿名的远程用户。
钓鱼攻击发展史
钓鱼攻击可被看成是垃圾邮件的自然衍生物。垃圾邮件和钓鱼攻击都使用电子邮件伪造技术,这些实际上是因为SMTP和标准互联网协议的基本以及关键漏洞而得以成为可能。
但是钓鱼攻击比垃圾邮件更高一筹,它可以广泛利用垃圾散布技巧和技术,同时丰富其自身独特的身份窃取程序。
和许多黑客假名一样,钓鱼攻击的根源可追溯到起源于20世纪70年代而目前已是声名狼藉的“电话欺诈”黑客攻击,它使用了一个简单的儿童玩具非法访问电话系统。和传统的电话欺诈类似,钓鱼攻击通过额恶意利用技术知识来获得实际利益。
黑客简介:John “Cap’n Crunch” Draper John Draper利用 “Cap'n Crunch”牌麦片盒里的玩具口哨和其自己的“蓝盒子”免费拨打电话。该口哨2600赫兹的音频与电话频率相吻合。他因电话诈骗活动而被捕入狱。
早期的钓鱼攻击邮件与电子邮件没什么区别,以普通的ASCII文本写成,要求用户透露个人资料。文本内容非常拙劣,通篇都充斥着语法和拼写错误。用户不久就了解了这些诈骗伎俩。
然而几年之后,钓鱼攻击发展成为一种看似更为专业的诈骗。大部分普通的ASCII电子邮件已经被看起来很专业的HTML邮件所代替,邮件内容包括字体样式、颜色、图形以及其他可以成功欺骗潜在发送者的元素。大多数邮件也包括一个可以收集信息的网站。网站几乎总是欺骗性网站的完整复制,引诱用户泄漏个人资料。今天的许多钓鱼攻击伎俩中,语法和拼写错误已经不复存在,取而代之的是精美而专业的外观,这些一般是银行或者其他钓鱼攻击的目标才会提供的。
后端所获取的信息也变得越来越复杂。过去Script Kiddies获取信用卡号码供自己使用,现在钓鱼攻击利用有组织的、系统的方式来收集、整理并利用窃取的信息,从而使利益达到最大化 - 人们相信今天的钓鱼攻击为一些有组织的犯罪团伙所操纵。
现代钓鱼攻击的组成要素实例
该电子邮件用来提醒接收者其账户可能不安全。邮件采用了商业化的写作风格,努力使接收者相信账户验证程序是强制性的,必须立即采取措施以避免账户的暂时停用。然后邮件会提供一个诈骗网站链接。尽管显示出来的URL看起来是合法的,但实际上钓鱼攻击者已经设计了用来掩盖真实URL的方法。
通过使用花旗银行的标识和交易名、版权以及“注册”标志,这份钓鱼攻击电子邮件努力使接收者认为其是可信的。近期的一些钓鱼攻击电子邮件甚至包括了该银行有关钓鱼攻击的警告!
更重要的是,钓鱼攻击者的写作风格变得越来越完善。这些和更好的伪造技术、图形的广泛使用以及其他使其看来真实的因素、更好的用来确保钓鱼攻击电子邮件到达银行真实客户手中的针对性技术一道提高了钓鱼攻击的成功机会。
任何被电子邮件愚弄的用户都会连接到下面的网站中。正如上面提到的,诈骗网站是真实网站的完整复制,因此它比电子邮件更容易让人相信。
钓鱼攻击技术
以下是目前被使用的5种主要钓鱼攻击技术 - 以技术复杂性排序:
钓鱼攻击URL的清晰显示 - 这是一种最容易辨别的方法。此种情况下,钓鱼攻击者不会隐藏实际的钓鱼攻击URL,因此钓鱼攻击URL清楚的显示在地址栏中。某些情况下,还会涉及到与合法域名类似的域名的使用。
伪造地址栏 – 修改浏览器的地址栏用来显示合法地址。整体效果就是钓鱼攻击URL的表面覆盖着白色背景的文本对象,从而显示合法的银行地址。但是检查网页的属性窗口可以发现伪造网址的真实地址。
使用弹出式窗口 – 这种方法采用了一种可以在背景中打开合法网站的脚本。伪造的弹出式窗口通常与合法网站雷同,而且是在前景中打开的。它会误导用户认为弹出式窗口直接与正式页面相关。某些情况下,弹出式窗口包括了合法网站的一部分。
在钓鱼攻击电子邮件中使用格式 – 这种情况下,钓鱼攻击电子邮件到达时采用了HTML格式。它已经包含了用来收集用户个人/账户资料嵌入式格式。窃取的详细资料通常被发送给指定的电子邮件地址或者被张贴在某个特殊的网站上。
伪造网站 – 这是一种艰苦的创新,需要完整复制合法且真实的网站。伪造的网站看起来和实际网站完全相同,包括细节内容也都是一样的。伪造网站中的所有可见链接都在一个钓鱼攻击域名下。
钓鱼攻击一般利用未打补丁的机器上特定Microsoft Windows中与URL地址更改相关的漏洞。有关该漏洞的详细资料,请登录: https://www.microsoft.com/technet/security/bulletin/MS04-004.mspx.
钓鱼攻击的影响
被窃取的银行账号资料可以通过多种方式被加以利用。非法访问受害者的账号后,钓鱼攻击者可以改变账号密码,阻止合法用户访问自己的账号。然后他们以电子的方式把可用资金转移到一个临时账号上,在受害者知道情况之前提取资金。钓鱼攻击者可以以受害者的名义填写伪造支票。
被偷盗的信用卡证明可以被用于未经授权的在线订购或购买。受害者仅仅在看到当月数额极大的账单时或者发现其信用卡透支的情况下才会知道。
诸如卡号、密码以及到期日期等被窃取的ATM账号资料可能被钓鱼攻击者用来复制ATM卡。然后钓鱼攻击者会清空对应的ATM账号。
一般来说,所有被窃取的资料可能被保存以备未来之用,也有可能在网络地下团体中进行交易或买卖。
然而,钓鱼攻击的整体影响并不会随着个体受害者账号的清空而结束。对个体消费者以及企业网络入侵来说,还需要考虑成功的钓鱼攻击也预示着对私密信息的侵犯。
钓鱼攻击始终会影响被钓鱼攻击的公司的名誉并削弱其可信度。就商业而言,商标是每个公司最重要的资产,公司需要几年的时间才可以建立起让消费者信任的商标。钓鱼攻击的受害者将会发现很难与那些似乎不能保护其资产和私密安全性的公司进行交易合作。客户的信任是一种难以估量的资产,但失去它对任何公司来说都是坏消息。
长期来看,钓鱼攻击的成功将会影响越来越多的人们对互联网这种贸易方式失去信任,从而阻碍作为一种技术创新的互联网的发展与壮大,而总的来说,互联网实际上确实为改善人们的生活做出了贡献。
钓鱼攻击事件
首次单独的钓鱼攻击发生在1997年3月左右。但是起初人们对钓鱼攻击关注的很少。通过不断的实例收集以及公众对其认识的不断增加,钓鱼攻击事件在2004年第二季度变得越来越突出。
上图显示,2005年1月钓鱼攻击事件达到峰值,共发生5,405起。自此之后,上报的钓鱼攻击事件似乎呈稳定下降趋势,这可能是由于钓鱼攻击的性质发生了改变。一方面,攻击被认为比以往更具有组织性和专业性,而且钓鱼攻击电子邮件和受害者之间一对一的关系也被打破,取而代之的是一个攻击就可以对大量受害者造成影响。因此,尽管数量在下降,但攻击的质量 - 也就是有效性 - 却在上升。
不过,该统计最令人担忧的部分在于按照类型区分的关于攻击的统计数字。按下图所示,76%的钓鱼攻击与钓鱼攻击URL的清晰显示相关,而这种方法是最容易被发现的,因此这个数字太惊人了。统计数据表明,随着钓鱼攻击外观质量的改进,用户实际上不会细查真实“信息”!
以下是其它几种方法的总结:
• 19% 使用伪造地址栏。
• 4%使用制作精致的伪造网站。
• 1%采用带有假格式的HTML电子邮件。
• 其余的使用弹出式窗口。
用户教育 - 最好的防护
就钓鱼攻击而言,最重要的考虑因素之一就是钓鱼攻击的成功程度主要依赖于实际收到电子邮件的用户。很显然,人为因素事实上是无法修补的漏洞,没有任何安全产品、服务或更新可以阻止人们做出自己的选择。用户必须永远不要让自己因对技术的依赖而导致自满和不负责任。仅仅通过遵循下列特定的指导原则并执行如下所述简单的逻辑练习,用户就可以为互联网安全做出巨大的贡献:
与钓鱼攻击相关的最佳练习
互联网社区对防止钓鱼攻击不是完全没有帮助。这部分列出了几个逻辑性指导原则以及与网络攻击相关的最佳练习,可以防止钓鱼攻击各种类型的用户。
个人和家庭网络
1. 收到请求账号证明之类的电子邮件信息时要谨慎处理。记住,钓鱼攻击电子邮件可以使用户感到不安、困惑或兴奋,从而诱使用户立即做出反应。
2. 提交诸如信用卡号等敏感资料时,确保所访问的网站是安全的。网站地址安全的标志之一就是以https:// 而不是https://开头。另一个标志就是屏幕下方有一个锁型图标,点击该图标就可以显示安全证书。
3. 不要点击可疑邮件中的任何链接。相反,要在浏览器的地址栏中输入合法的公司URL来访问合法的公司网站,然后登录网站。用户也可以直接给公司打电话。此前目标公司已经发布了有关钓鱼攻击事件的联系信息。
4. 避免打开可疑钓鱼攻击电子邮件信息中的任何附件,因为附件很可能会执行可以窃取个人信息的恶件程序。
5. 养成浏览互联网上有关钓鱼攻击的最新新闻和资料的习惯。趋势科技定期维护针对钓鱼攻击的网页:
https://www.trendmicro.com/en/security/phishing/overview.htm
6. 确保浏览器是最新的,而且要及时应用安全补丁。对网络浏览器来说,与钓鱼攻击方案相关的特殊补丁可以在下列地址下载:
https://support.microsoft.com/?id=833786
7. 处于传播和实施的目的,钓鱼攻击也可能和不同的恶件及间接软件相联,因此,要考虑安装个人安全软件,不仅可以防止钓鱼攻击,还可以封堵恶件和黑客的入侵。
8. 及时更新已安装的安全软件。
9. 向以下任意网站以及电子邮件地址报告可疑的钓鱼攻击:
互联网犯罪投诉中心(美国联邦调查局和美国白领犯罪中心的合办项目):
https://www.ic3.gov
联邦贸易委员会的身份窃取网站:
https://www.consumer.gov/idtheft
联邦贸易委员会的电子邮件地址:
uce@ftc.gov
防钓鱼攻击工作组:
reportphishing@antiphishing.org
趋势科技防诈骗组:
antifraud@support.trendmicro.com
趋势科技鼓励用户报告钓鱼攻击事件,以便有助于更好的实例收集。
中小企业及大企业的企业网络
除了上述提到的以外,还有一些针对公司网络的指导原则:
1. 建立并实施公司电子邮件策略。
2. 定期开展广泛的防钓鱼攻击信息活动。
3. 支持有关钓鱼攻击的消费者教育。
4. 考虑从信任的安全软件厂商处获得防钓鱼攻击产品和服务。企业网主要关心的是防止钓鱼攻击电子邮件到达员工的信箱。典型的防钓鱼攻击产品会与恶意URL的定期维护数据库集成起来。通常他们还会同时采用启发式和签名式方法针对可能的恶意特征进行邮件扫描。
趋势科技还提供了一种安全计算指导,可以作为所有计算机用户保护其系统和网络的起始点。安全计算指导可在以下网址获得:
https://www.trendmicro.com/en/security/general/guide/overview.htm
结论
身份一直都是最昂贵的日用品。过去,人们会通过娴熟的模仿“窃取”身份。几个世纪以后,人们会从另一个人的邮箱、抽屉甚至是垃圾箱到处翻找放错地方的信息。今天的这个时代,身份已经变成了一系列的字符串,最后成为分散的数据字节。如今人们不用亲自到场就可以进行各种商业交易并完成大量业务。不幸的是,这种技术所带来的便利和高效却为一些为追逐利益而采取不当行为的人所用。 (责任编辑:韩建光)
|