网路安全期末报告－网路钓鱼-TWAREN.PPT

網路安全期末報告－網路釣魚 　　　　學生：A0963301 蘇育諄 　　　　指導教授：梁明章　教授 前言 　　隨著網際網路的蓬勃發展，線上交易活動日益頻繁熱絡；但當線上交易市場的不斷成長及多樣化發展的同時，也開始引起一些不法份子的覬覦，將傳統電話詐騙的手法移植到網路上，進行網路釣魚的行為，嚴重危害了線上交易的安全與可信度 定義 　　根據APWG(反網路釣魚工作小組)定義，網路釣魚是利用社交工程手法及技術性的詐騙手法，偽造e-mail或知名品牌網站(多為金融機構)，甚至是綁架網址的手法，來偷取使用者的身分資料及金融帳號等機密資料。 資料竊取手法：　　　 (1/9) 假造網站： 　　　這類型的網路釣魚技術門檻並不高，只要具備網站架設能力，就可以誘使使用者在假造的網站輸入帳號與密碼；根據國外的研究數據統計，一般人上網會注意網址的不到30%，也讓這種看似簡單的攻擊手法，還是能夠成功竊取使用者資料。 資料竊取手法： (2/9) 惡意程式： 　 　　近來的新攻擊趨勢，是將惡意程式植入假造的網站，即使不小心點擊進入的使用者已經產生了警覺性，沒有輸入個人的帳號密碼資料，但在連結網站的同時，也已經被植入了惡意程式，潛伏在電腦中，伺機偷取使用者個人的機密資料。 資料竊取手法： (3/9) 廣告郵件： 　　　目前最普遍也最常見的手法，是利用標題聳動的垃圾郵件，以及精心偽造的連結，來誘使使用者點擊進入網站，並騙取帳號與密碼。透過部份收信軟體的瑕疵來掩蓋真實的連線。 資料竊取手法： (4/9) 縮網址： 　　　利用部份網頁提供的縮址功能，來隱藏網頁的真實位址，再將網址張貼在各大論壇與BBS上或放置於簽名檔中，誘使粗心的使用者點擊連結至惡意網址。 資料竊取手法： (5/9) 網址置換技術： 　　　常見的手法是利用 Java Script的技術，置換掉網址列上的URL網址，讓偽造網站顯示在網址列上的網址與原本的正常官方網站相同，讓使用者不容易察覺，而輸入個人資料。 資料竊取手法： (6/9) 搜尋引擎： 　　　利用破解搜尋引擎的計算公式，甚至是明目張膽的買下關鍵字廣告，讓攻擊者製作的惡意網站搜尋排名提升，使用者一但透過搜尋引擎去搜尋相關字詞時，很容易就誤入釣魚網站。 資料竊取手法： (7/9) 網址嫁接(Pharming)： 　　　近來攻擊者的技術日益進步與多樣化，開始將攻擊目標轉向Web之外的地方了。這種手法是透過”DNS Cache Poisoning”的方式，向網路上的DNS伺服器提供錯誤的IP，或是透過植入的惡意程式來修改使用者的hosts檔案，當使用者打開瀏覽器，準備連到這些網站時，就被引導至攻擊者假造的網路釣魚網站。 資料竊取手法： (8/9) 入侵正常網站： 　　　從zone-H網站上的紀錄顯示，有越來越多的網路攻擊，都是透過入侵正常網頁，在網頁中植入惡意連結，使瀏覽正常網站的使用者電腦被植入惡意程式，個人機密資料流出。國內已有多家知名廠商，甚至包含金控公司首頁都曾經遭到這類型手法入侵與利用。 資料竊取手法： (9/9) Vishing (VoIP + Phishing)： 　　　攻擊者可能透過入侵VoIP系統，結合傳統的電話詐騙，讓發話端的追查更為困難，甚至直接入侵目標的VoIP系統，使受害者誤信，增加網路釣魚的成功機率；加上目前企業端對VoIP的防護幾近於零，也尚未建立起VoIP的安全觀念，使得Vishing很有機會成為下個發光發熱的網路釣魚題材。 新出現的網釣手法: (1)　　　　　　　　　 Fast-flux 是一種網域名稱伺服器 (DNS) 交換機制，結合了對等式 (peer-to-peer) 網路、分散式指揮與控制、網頁式負載平衡以及代理器重導，可隱藏網路釣魚發送網站的蹤跡。Fast-flux 能讓網路釣魚網站維持更長的運作時間，引誘更多受害者。例如，研究人員在嘗試尋找惡意的 Storm 網域時就吃足了苦頭，因為該網域正是運用了 Fast-flux 技巧來躲避追蹤。 新出現的網釣手法： (2) in-session攻擊： 　　　首先駭客必須入侵合法的網站並嵌入惡意程式，其次是該惡意程式要能辨識出使用者登入的是哪個網站。瀏覽器的漏洞也將協助駭客進行此類的攻擊。市場上所有受歡迎的瀏覽器都擁有同樣的JavaScript引擎漏洞。該漏洞的產生是來自一個特定的J