網(wǎng)絡(luò)釣魚(yú)(Phishing)�����,并不是一種新的入侵方法,但是它的危害范圍卻在逐漸擴(kuò)大���,并成為近期威脅網(wǎng)絡(luò)安全的最大危害之一�。你了解Phishing嗎?與傳統(tǒng)的入侵方式相比���,它有什么顯著特點(diǎn)呢?典型的Phishing案例有哪些?如何防范被Phishing呢?
南方的早春總是伴著綿綿細(xì)雨����,難得今天是個(gè)晴朗天���,某服裝公司的張經(jīng)理帶著十幾個(gè)重要員工來(lái)到郊外一個(gè)魚(yú)塘進(jìn)行垂釣活動(dòng)��。張經(jīng)理放置好釣具后����,便打開(kāi)了隨身攜帶的筆記本電腦并連上網(wǎng)絡(luò),他想利用這點(diǎn)時(shí)間處理一下最近的一筆生意�。秘書(shū)見(jiàn)他在這種時(shí)候還離不開(kāi)工作,便勸他:“經(jīng)理�,今天是游玩的日子,難得放松一下�����,今天還是不要處理公司業(yè)務(wù)了吧……您不怕釣竿被魚(yú)叼走了?”張經(jīng)理對(duì)秘書(shū)笑了笑���,看著身前的釣竿緩緩說(shuō)道:“都說(shuō)姜太公釣魚(yú)���,愿者上鉤,但是如果不知道提竿的時(shí)機(jī)�,即將到手的魚(yú)也會(huì)溜走的。等這筆生意談妥�����,我再休息也不遲��。”說(shuō)罷又繼續(xù)低頭敲鍵盤(pán)�。
生意終于談妥,客戶(hù)把貨款轉(zhuǎn)入張經(jīng)理的銀行賬戶(hù)��,張經(jīng)理笑了:“這條大魚(yú)終于被我釣到了������!比缓笏巧暇W(wǎng)絡(luò)銀行賬戶(hù)查看轉(zhuǎn)賬情況。當(dāng)頁(yè)面上顯示出賬戶(hù)剩余金額時(shí)����,張經(jīng)理心里一緊���,接著有了暈眩的感覺(jué):賬戶(hù)里原來(lái)的存款不翼而飛���,頁(yè)面里惟有客戶(hù)剛剛轉(zhuǎn)入的貨款,仿佛在嘲笑著張經(jīng)理��。
張經(jīng)理做夢(mèng)也沒(méi)想到�����,這一次,他成了別人釣上的魚(yú)����,而且是大魚(yú)。
釋疑網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú)(Phishing)�,并不是一種新的入侵方法,但是它的危害范圍卻在逐漸擴(kuò)大��,成為近期最嚴(yán)重的網(wǎng)絡(luò)威脅之一�����。Phishing就是指入侵者通過(guò)處心積慮的技術(shù)手段偽造出一些以假亂真的網(wǎng)站和誘惑受害者根據(jù)指定方法操作的email等方法�����,使得受害者“自愿”交出重要信息或被竊取重要信息(例如銀行賬戶(hù)密碼)的手段��。入侵者并不需要主動(dòng)攻擊����,他只需要靜靜等候這些釣竿的反應(yīng)并提起一條又一條魚(yú)就可以了,就好像是“姜太公釣魚(yú)���,愿者上鉤”�����。
看到這里�,有些讀者可能會(huì)說(shuō),這不是社會(huì)工程學(xué)嗎?兩者都是騙人的手段啊���。不錯(cuò)�����,網(wǎng)絡(luò)釣魚(yú)里面的確有社會(huì)工程學(xué)的影子��,但是與后者相比����,網(wǎng)絡(luò)釣魚(yú)更趨向于技術(shù)方面�,因?yàn)樗粌H僅是欺騙�����,里面還必須摻入技術(shù)成分�,否則如果連“垂釣者”自己都無(wú)法控制“釣竿”的話(huà),又怎么可能釣到魚(yú)呢?視覺(jué)陷阱:網(wǎng)頁(yè)背后的釣竿
警察正在分析張經(jīng)理那臺(tái)筆記本電腦硬盤(pán)里的數(shù)據(jù)��,張經(jīng)理本人在報(bào)案時(shí)因心臟病發(fā)作而住進(jìn)了醫(yī)院。由于無(wú)法得知張經(jīng)理最后一次登錄網(wǎng)絡(luò)銀行的時(shí)間��,而且系統(tǒng)里也沒(méi)有感染任何偷盜賬號(hào)的后門(mén)程序���,案件變得有點(diǎn)撲朔迷離起來(lái)�����。一個(gè)分析員無(wú)意中打開(kāi)了Foxmail��,發(fā)現(xiàn)最后一封信件是銀行發(fā)送的�,主題為“XX網(wǎng)絡(luò)銀行關(guān)于加強(qiáng)賬戶(hù)安全的通告”�����,分析員預(yù)測(cè)案件與這封信件有重大關(guān)系����,馬上打開(kāi)閱讀。這是一封HTML網(wǎng)頁(yè)模板的信件���,內(nèi)容大意為銀行為了加強(qiáng)賬戶(hù)安全而升級(jí)了系統(tǒng)���,請(qǐng)各位客戶(hù)盡快重新設(shè)置賬戶(hù)密碼�����,末尾還給出了設(shè)置密碼的URL鏈接�����。
幕后黑手果然在這里!分析員馬上查看信件源代碼����,很快就找出了其中的貓膩:正如常說(shuō)的 “說(shuō)的一套�����,做的一套”���,這個(gè)郵件的作者采用了“看的一套�����,進(jìn)的一套”這種簡(jiǎn)單的欺騙手法,入侵者利用HTML語(yǔ)言里URL標(biāo)記的特性�����,把它寫(xiě)成了這樣:“〈A 〉http://www.xxbank.com.cn/account/index.asp〈/A〉”,由于心理作用����,受害者潛意識(shí)里都會(huì)直接點(diǎn)擊那個(gè)寫(xiě)著“http://www.xxbank.com.cn/account/index.asp”的URL鏈接,然而他們并不知道�,這個(gè)點(diǎn)擊實(shí)際上是把他們引向“http://www.xxxbank.com.cn/account/index.asp”這條釣竿!而這個(gè)所謂的更改密碼頁(yè)面,當(dāng)然偽造得與真正的銀行頁(yè)面完全一致�����,但是它的“更改密碼”功能卻是把賬號(hào)和密碼發(fā)送到了幕后的“垂釣者”手上�,然后“垂釣者”登錄上真正的網(wǎng)絡(luò)銀行改了受害者設(shè)置的密碼,并順手牽羊把銀行賬戶(hù)里的存款轉(zhuǎn)移掉��。這樣釣來(lái)的魚(yú)��,即使是小魚(yú)也會(huì)讓“垂釣者”在夢(mèng)里發(fā)出笑聲來(lái)了��,即使一條太小����,積累起來(lái)的數(shù)目也會(huì)變得相當(dāng)可觀了。在金錢(qián)的誘惑下���,“垂釣者”一次又一次提竿����,殊不知,他自己也是被金錢(qián)釣竿釣上的一條魚(yú)��。拙劣手段成功的關(guān)鍵
為什么如此拙劣的技術(shù)卻能頻頻得手呢?在你的實(shí)際生活中有沒(méi)有遇到類(lèi)似的情況呢?你會(huì)采取什么樣的預(yù)防措施呢?
因?yàn)榫W(wǎng)絡(luò)釣魚(yú)充分利用了人們的心理漏洞����,首先,人們收到銀行這類(lèi)影響力很大的商務(wù)郵件時(shí)幾乎都會(huì)緊張����,很多人都不曾懷疑信件的真實(shí)性,更會(huì)下意識(shí)地根據(jù)要求打開(kāi)郵件里面指定的URL進(jìn)行操作;其次���,頁(yè)面打開(kāi)后����,我們通常都只會(huì)留意頁(yè)面內(nèi)容而不會(huì)注意瀏覽器地址欄的顯示��,正是這點(diǎn)讓“垂釣者”有了可乘之機(jī)��。
其實(shí)“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像一回事似的��,只是現(xiàn)在IE普遍打了補(bǔ)丁,這種情況下還使用這個(gè)漏洞就會(huì)“不打自招”了���,所以只有極少數(shù)“垂釣者”會(huì)采用這個(gè)方法,有的“垂釣者”根本連個(gè)看起來(lái)“比較正規(guī)”的域名都沒(méi)有����,而是采用IP地址形式甚至直接光明正大把真實(shí)地址顯示在瀏覽器的地址欄里——因?yàn)樗麄冎溃浅霈F(xiàn)意外情況��,否則大部分人根本是不會(huì)注意瀏覽器的地址欄的��。
這里順便提一下那封email�,為什么張經(jīng)理會(huì)上當(dāng)呢?縱然,如果那封email的發(fā)件人地址不是銀行網(wǎng)站的���,那么白癡都看得出來(lái)這是偽造的郵件��。但是問(wèn)題就出在這里��,這封email的發(fā)件人地址清清楚楚寫(xiě)著該銀行網(wǎng)站的技術(shù)支持信箱地址!“垂釣者”是怎么做到的呢?很簡(jiǎn)單�,一些未經(jīng)設(shè)置的email服務(wù)器并不會(huì)驗(yàn)證用戶(hù)信息是否真實(shí)�����,于是騙子用這樣的郵件服務(wù)器發(fā)送一封偽造了發(fā)件人地址的信件簡(jiǎn)直是易如反掌。
借竿釣魚(yú):愛(ài)恨交加的搜索引擎
由于Internet的迅速發(fā)展��,信息量大爆炸時(shí)代隨著網(wǎng)絡(luò)的普及聳立在世人面前����,我們可以獲取信息的途徑越來(lái)越多,但是查找特定的信息數(shù)據(jù)也開(kāi)始變得困難��,為此人們急切需要一種能盡量把各種信息統(tǒng)一管理并提供簡(jiǎn)便搜索功能的工具�,搜索引擎因此而誕生。與此同時(shí)��,搜索引擎的代表作Google由于技術(shù)的強(qiáng)大已經(jīng)成為病毒和入侵者窺視的焦點(diǎn)�。
這次,依舊是Google惹的禍����。很早以前,Google就“提供”了一種“搜索入侵”:入侵者通過(guò)在Google上查詢(xún)某些特定的字符����,可以發(fā)現(xiàn)甚至直接進(jìn)入存在該漏洞的計(jì)算機(jī),當(dāng)年有許多存在Unicode漏洞的計(jì)算機(jī)就是被Google拎了出來(lái)——只要搜索諸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此類(lèi)的關(guān)鍵字就能發(fā)現(xiàn)很多包含“Directory of”字符串的IP地址���,點(diǎn)擊進(jìn)去�����,你會(huì)發(fā)現(xiàn)你已經(jīng)用Unicode漏洞入侵了該計(jì)算機(jī)……現(xiàn)在雖然這個(gè)方法已經(jīng)基本失效����,但是Google帶來(lái)的安全性問(wèn)題卻更值得引起所有人的重視�����。面對(duì)強(qiáng)大的Google�����,“垂釣者”已經(jīng)不滿(mǎn)足于僅靠Web頁(yè)面釣魚(yú)�,他們還看上了Google的桌面搜索工具Desktop Search,這個(gè)工具存在一個(gè)信息泄漏的漏洞�����,入侵者能通過(guò)腳本程序欺騙Desktop Search提供用戶(hù)信息���,最常見(jiàn)的就是泄漏磁盤(pán)數(shù)據(jù)��。利用這個(gè)漏洞提供的信息��,“垂釣者”可以偽造相關(guān)信件并建立欺騙性的電子商務(wù)網(wǎng)站���,讓用戶(hù)誤以為是大公司發(fā)給自己的信函而受欺騙�。一些“垂釣者”用假的口令驗(yàn)證得以竊取用戶(hù)信息���,另一些則欺騙用戶(hù)點(diǎn)擊一些商品信息而被種植木馬程序����。
典型的Phishing攻擊示例跨站釣魚(yú):真實(shí)網(wǎng)站的噩夢(mèng)
前面提到的偽造頁(yè)面欺騙是“垂釣者”利用虛假信函和人們尋求方便的心理���,直接點(diǎn)擊信函給出的惡意鏈接而達(dá)到釣魚(yú)的目的�,如今隨著媒體的揭露以及用戶(hù)警惕性的提高��,這種手段成功率逐漸降低了��。于是處心積慮的騙子們開(kāi)始制造一種新的迷霧:他們同樣是用某種手段把用戶(hù)騙到商務(wù)網(wǎng)站����,但是與以前不同的是,這次用戶(hù)訪問(wèn)到的是真正的商務(wù)站點(diǎn)��。難道“垂釣者”們改邪歸正了?答案是否定的,這個(gè)真正的商務(wù)站點(diǎn)依然會(huì)把用戶(hù)帶到“垂釣者”的惡意頁(yè)面——騙子利用一種稱(chēng)為“跨站攻擊”的技術(shù)�,在真實(shí)網(wǎng)站上插入惡意鏈接,用戶(hù)即使再細(xì)心也很難想到真實(shí)網(wǎng)站也會(huì)暗藏殺機(jī)��。這種被稱(chēng)為“雞尾酒釣魚(yú)術(shù)”的手段使商務(wù)網(wǎng)站的可信度大大降低�。
什么是“跨站攻擊”呢?業(yè)界對(duì)其定義如下:“跨站攻擊是指入侵者在遠(yuǎn)程Web頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù),使得用戶(hù)認(rèn)為該頁(yè)面是可信賴(lài)的�����,但是當(dāng)瀏覽器下載該頁(yè)面�,嵌入其中的腳本將被解釋執(zhí)行�。”
跨站攻擊有多種方式����,典型的方式有兩種:其一,由于HTML語(yǔ)言允許使用腳本進(jìn)行簡(jiǎn)單交互�,入侵者便通過(guò)技術(shù)手段在某個(gè)頁(yè)面里插入一個(gè)惡意HTML代碼——例如記錄論壇保存的用戶(hù)信息(Cookie),由于Cookie保存了完整的用戶(hù)名和密碼資料����,用戶(hù)就會(huì)遭受安全損失。讓我們舉一個(gè)例子來(lái)說(shuō)明這種情況:比如某個(gè)正規(guī)論壇是你經(jīng)常去的��,你當(dāng)然不會(huì)懷疑這個(gè)論壇有問(wèn)題,但是有些無(wú)聊的用戶(hù)可能在這個(gè)論壇發(fā)布帶有惡意腳本的帖子��,當(dāng)你瀏覽這個(gè)帖子時(shí)�,就有可能被攻擊。
“垂釣者”自然不會(huì)索要用戶(hù)的Cookie信息��,如今有多少商務(wù)網(wǎng)站會(huì)允許用戶(hù)保存Cookie呢?所以他們只能讓用戶(hù)自己送上門(mén)來(lái)��,這就出現(xiàn)了第二種同時(shí)也是目前更為流行的跨站攻擊方式:“垂釣者”利用一段特殊的跨站攻擊腳本代碼讓頁(yè)面彈出一個(gè)設(shè)計(jì)時(shí)根本不曾有的網(wǎng)頁(yè)對(duì)話(huà)框��,它要求用戶(hù)輸入密碼或者把用戶(hù)帶到偽造的站點(diǎn)����。因?yàn)檫@些對(duì)話(huà)框是用戶(hù)在正常網(wǎng)站看到的,他們自然不會(huì)懷疑它的合法性����,然而正是這種心理欺騙法導(dǎo)致了又一場(chǎng)信任危機(jī)。
這種方法迫害的不僅僅是用戶(hù)���,更是無(wú)辜的商務(wù)站點(diǎn)�,因?yàn)榭缯竟舨⒉皇侨肭址⻊?wù)器����,而是在客戶(hù)那邊進(jìn)行篡改,商務(wù)站點(diǎn)根本不知道發(fā)生了什么事情,直到用戶(hù)找上門(mén)來(lái)����,他們才發(fā)現(xiàn)自己的信譽(yù)被這些騙子給毀了。
危險(xiǎn)的HOSTS文件
對(duì)網(wǎng)絡(luò)了解較多的讀者一般都會(huì)知道Windows的系統(tǒng)目錄中有個(gè)HOSTS文件���,它的作用是把IP地址和網(wǎng)址映射起來(lái)��。大家都知道�,訪問(wèn)網(wǎng)站時(shí)必須通過(guò)DNS服務(wù)器把域名解析為IP地址���,這樣瀏覽器才能知道連接到哪里才是我們要的網(wǎng)站�。在Windows的處理邏輯里��,它總是先在HOSTS文件里查找這個(gè)域名和IP的對(duì)應(yīng)關(guān)系�,如果對(duì)應(yīng)關(guān)系存在�,Windows就直接連接HOSTS表里描述的IP地址,只有在找不到的時(shí)候才向DNS服務(wù)器發(fā)送解析域名的請(qǐng)求�����,這個(gè)邏輯關(guān)系在某些程度上的確方便了用戶(hù)����,因?yàn)镠OSTS表的優(yōu)先度比任何一個(gè)DNS服務(wù)器都高����,然而可怕的是�����,正是由于HOSTS表的特性����,我們可能再次成為被釣的“魚(yú)”。
HOSTS表的原理是更改域名與IP的映射關(guān)系��,我們能改�,“垂釣者”就也能更改。通過(guò)利用諸如MIME�、EML等下載漏洞,甚至只是簡(jiǎn)單的網(wǎng)頁(yè)腳本��,騙子就能在HOSTS表里添加任何他們想要的映射關(guān)系����,因?yàn)镠OSTS藏得太深了,一般用戶(hù)很少會(huì)留意到這個(gè)文件的變化�����,這就給“垂釣者”鉆了個(gè)空子,雖然HOSTS表是為域名和IP地址建立映射關(guān)系�,但是它并不能判斷這個(gè)映射關(guān)系的準(zhǔn)確性!于是“垂釣者”把用戶(hù)訪問(wèn)幾率較大的商務(wù)網(wǎng)站域名和他們偽造的網(wǎng)站IP地址映射起來(lái),以后用戶(hù)即使是自己輸入的域名��,即使安裝了無(wú)數(shù)殺毒監(jiān)視程序也無(wú)法扭轉(zhuǎn)被帶入欺騙站點(diǎn)的厄運(yùn)——誰(shuí)讓HOSTS的優(yōu)先權(quán)那么高呢?
HOSTS表映射原理系統(tǒng)升級(jí)補(bǔ)���。候_子的魚(yú)餌
相信每個(gè)Windows用戶(hù)都會(huì)對(duì)Windows時(shí)不時(shí)冒出一個(gè)漏洞然后再冒出一個(gè)補(bǔ)丁的做法恨得牙齒發(fā)癢�����,也因?yàn)槁┒次:Φ娜遮厙?yán)重����,一般用戶(hù)都會(huì)很緊張地留意新的Windows升級(jí)補(bǔ)丁���,騙子也不例外,不過(guò)他們更在意的是如何借用漏洞補(bǔ)丁程序入侵用戶(hù)機(jī)器���。騙子偽造一封貌似Microsoft“好心”主動(dòng)發(fā)送給用戶(hù)的“針對(duì)某個(gè)嚴(yán)重安全漏洞而開(kāi)發(fā)的補(bǔ)丁”���,然而附件里是個(gè)木馬程序���。一般用戶(hù)難得碰上這種殊遇,自然不會(huì)起戒心而運(yùn)行這個(gè)“補(bǔ)丁”�。而騙子也夠精明,他們會(huì)將運(yùn)行后出現(xiàn)的界面做得與真正的補(bǔ)丁程序一模一樣�,但是最后安裝到用戶(hù)機(jī)器的是什么呢?這個(gè)不用我說(shuō)了吧。除了這些涉及技術(shù)手段的“網(wǎng)絡(luò)釣魚(yú)”����,還有許多接近社會(huì)工程學(xué)的手段,如利用QQ騙取信任����、發(fā)送假冒中獎(jiǎng)資訊、買(mǎi)空賣(mài)空騙錢(qián)術(shù)等�,騙子們處心積慮用盡一切方法,就是為了侵害你的利益!
跨站攻擊示例
遠(yuǎn)離釣魚(yú):一道沉重的難題
網(wǎng)絡(luò)釣魚(yú)之所以如此猖獗并且能夠頻頻得手�,最大的原因就是利用了人們疏于防范的心理以及“貪小便宜”和“貪圖便利”的弱點(diǎn)���!按贯炚摺蓖断伦銐蛭C物上鉤的“美味魚(yú)餌”——或恐嚇�,或誘惑�,用戶(hù)的防線在這些因素的干擾下徹底崩潰而咬住了鉤子。這是任何殺毒軟件也無(wú)法解決的���,因?yàn)椤岸尽痹趦?nèi)心���,而非軟件���。當(dāng)然這些騙術(shù)也涉及了一些技術(shù)手段,但是社會(huì)工程學(xué)的影響卻成了最大的干擾���。我們無(wú)法阻止全部網(wǎng)絡(luò)釣魚(yú)攻擊��,稍不留意��,厄運(yùn)就會(huì)降臨�����,我們能做的�����,惟有提高自己的警惕性和降低貪欲���,同時(shí)學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)�����,才能盡量減少“上鉤”的幾率。
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營(yíng)銷(xiāo)知識(shí)
常見(jiàn)技術(shù)問(wèn)題
QQ空間
新浪微博
開(kāi)心網(wǎng)
人人網(wǎng)
