浅谈钓鱼攻击技术及对策.doc

浅谈钓鱼攻击技术及对策摘 要：随着互联网技术的高速发展，电子商务平台的大规模推广和应用，黑客攻击事件逐年上升，黑客攻击的重要手段钓鱼攻击事件频繁发生。据中国APAC（反钓鱼联盟）统计，仅2011年4月，APAC处理的钓鱼网络达2635个，截止至2011年4月份，APAC累计认定并处理钓鱼网络共46477个，包括钓鱼攻击、恶意代码等安全威胁，给国内网购用户带来了超过150亿元的损失，针对支付交易类、金融证卷类的钓鱼攻击，已占据所有钓鱼攻击事件的90%以上。如何及时、有效地识别与网络钓鱼相关的互联网风险，控制钓鱼攻击带来的影响，已经成为当前亟需解决的问题 关键词：钓鱼攻击；网络钓鱼；风险防控；监控体系 前言：互联网技术的飞速发展，电子商务平台的大规模推广和应用，黑客攻击驱动力的变化，这些都促使安全威胁有了一些新的变化。作为一种主要基于互联网传播和实施的攻击――“钓鱼攻击”（Phishing Attack）正呈逐年上升之势，这不仅让广大用户遭受到经济损失，也让金融证券机构、电子商务公司的声誉和形象受到了影响 如何及时、准确地发现钓鱼网站，并给予有效的控制和阻断，不仅是互联网用户关注的问题，同时也是金融机构、电子商务公司亟待解决的问题。本文针对钓鱼攻击的技术手段作了简要的分析并就对抗钓鱼攻击提出一些思路和建议，希望能给一些“反钓鱼”监控体系的机构带来一些启示 1 钓鱼攻击已成为互联网最严重的威胁之一 国际反钓鱼网站工作组APWG（Anti-Phishing Working Group）对钓鱼攻击是这样定义的：一种利用社会工程和技术诡计，针对客户个人身份数据和金融账号进行盗窃的犯罪机制。钓鱼攻击是一种利用社会工程技术愚弄用户的实例。钓鱼攻击始于1987年，首度使用“网络钓鱼”这个术语则是在1996年，是由“Fishing”和“Phone”综合而成的（最早的钓鱼攻击是通过电话诈骗作案的），意味着放线钓鱼以“钓”取受害人的财务数据和密码 钓鱼攻击越来越频繁地出现在我们的身边，所带来的经济损失也超过了传统恶意代码的攻击，甚至已经成为经济犯罪工业化的一部分 为了避免更多的用户成为钓鱼攻击的受害者，保障他们的合法权利和财产安全，在美国和英国已成立了专门反假冒网址等网络诈骗的组织，如2003年11月成立的APWG（Anti-Phishing Working Group）国际反钓鱼网站工作组，以及2004年6月成立的TECF（Trusted Electronic Communications Forum） 在国内，2008年7月18日，由银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者组成的“中国反钓鱼网站联盟”（APAC）在北京正式宣布成立。联盟已初步建立了一种快速解决机制，借助停止钓鱼网站CN域名解析等手段，及时终止其危害 1.1 钓鱼攻击的本质分析 所谓“姜太公钓鱼，愿者上钩”，钓鱼网站一般把自己伪装成信誉卓越的机构以骗取用户的信任。通过大量散发的诱骗邮件、垃圾短信，将用户引诱到精心设计，与目标组织网站非常相似的钓鱼网站之后，攻击者再通过恶意代码窃取包括账号、密码等在内的个人敏感信息，最终得以假冒受害者，进行欺诈性金融交易 1.省略”可用来假冒“paypal.省略”可用来假冒“barclays.省略”假冒“ebay.省略”假冒“paypal.省略%6C%6C...%6C@211.112.22 8.2”。网页浏览器的最近更新已关闭了这个漏洞，其方法是在地址栏显示前将URL中的用户名和密码去掉，或者只是简单地完全禁用含用户名/密码的URL语法，Internet Explorer就使用了后一种办法 ③IP地址 隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示，如50。这种技术的有效性令人难以置信，由于许多合法URL也包含一些不透明且不易理解的数字，因此，只有懂得解析URL且足够警觉的用户才有可能产生怀疑 ④欺骗性的超链接 一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异，在链接标题中显示一个URL，而在背后使用了一个完全不同的URL。即便是一个有着丰富知识的用户，他在看到消息中显而易见的URL后也可能不会想到去检查其真实的URL。检查超链接目的地址的标准方法是将鼠标放在超链接上，其URL就会在状态栏中显示出来，但这也可能被攻击者利用JavaScript或URL隐藏技术所更改 ⑤隐藏提示 还有一种更复杂的攻击，它不是在URL上做文章，而是通过完全替换址栏或状态栏达到使其提供欺骗性提示信息的目的。有些攻击就使用了用JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口，