攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,誘騙訪問者提供一些個人信息,如信用卡號、賬戶用和口令、社保編號等內容(通常主要是那些和財務,賬號有關的信息,以獲取不正當利益),受騙者往往會泄露自己的財務數據。
詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,因此來說,網絡釣魚的受害者往往也都是那些和電子商務有關的服務商和使用者。
一、網絡釣魚工作原理圖
現在網絡釣魚的技術手段越來越復雜,比如隱藏在圖片中的惡意代碼、鍵盤記錄程序,當然還有和合法網站外觀完全一樣的虛假網站,這些虛假網站甚至連瀏覽器下方的鎖形安全標記都能顯示出來。網絡釣魚的手段越來越狡猾,這里首先介紹一下網絡釣魚的工作流程。通常有五個階段:
![]("http://www.netadmin.com.cn/UploadFile/upload/200671410015486.jpg")
圖1 網絡釣魚的工作原理
1. 釣魚者入侵初級服務器,竊取用戶的名字和郵件地址
早期的網絡釣魚者利用垃圾郵件將受害者引向偽造的互聯網站點,這些站點由他們自己設計,看上去和合法的商業網站極其相似。很多人都曾收到過來自網絡釣魚者的所謂“緊急郵件”,他們自稱是某個購物網站的客戶代表,威脅說如果用戶不登錄他們所提供的某個偽造的網站并提供自己的個人信息,這位用戶在購物網站的賬號就有可能被封掉,當然很多用戶都能識破這種騙局。現在網絡釣魚者往往通過遠程攻擊一些防護薄弱的服務器,獲取客戶名稱的數據庫。然后通過釣魚郵件投送給明確的目標。
2. 釣魚者發送有針對性質的郵件
現在釣魚者發送的釣魚郵件不是隨機的垃圾郵件。他們在郵件中會寫出用戶名稱,而不是以往的“尊敬的客戶”之類。這樣就更加有欺騙性,容易獲取客戶的信任。這種針對性很強的攻擊更加有效地利用了社會工程學原理。
很多用戶已經能夠識破普通的以垃圾郵件形式出現的釣魚郵件,但是他們仍然可能上這種郵件的當,因為他們往往沒有料到這種郵件會專門針對自己公司或者組織。根據來自IBM全球安全指南(Global Security Index)的報告,被截獲的釣魚事件從2005年一月份的56起爆炸性地增長到了六月份的60萬起。
3. 受害用戶訪問假冒網址
受害用戶被釣魚郵件引導訪問假冒網址。主要手段是
(1)IP地址欺騙。主要是利用一串十進制格式,通過不知所云的數字麻痹用戶,例如IP地址202.106.185.75,將這個IP地址換算成十進制后就是3395991883,Ping這個數字后,我們會發現,居然可以Ping通,這就是十進制IP地址的解析,它們是等價的。
(2)鏈接文字欺騙。我們知道,鏈接文字本身并不要求與實際網址相同,那么你可不能只看鏈接的文字,而應該多注意一下瀏覽器狀態欄的實際網址了。如果該網頁屏蔽了在狀態欄提示的實際網址,你還可以在鏈接上按右鍵,查看鏈接的“屬性”。
(3)Unicode編碼欺騙。Unicode編碼有安全性的漏洞,這種編碼本身也給識別網址帶來了不便,面對“%21%32”這樣的天書,很少有人能看出它真正的內容。
4. 受害用戶提供秘密和用戶信息被釣魚者取得
一旦受害用戶被釣魚郵件引導訪問假冒網址,釣魚者可以通過技術手段讓不知情的用戶輸入了自己的“User Name”和“Password”,然后,通過表單機制,讓用戶輸入姓名、城市等一般信息。填寫完畢。他現在要用戶填寫的是信用卡信息和密碼。一旦獲得用戶的帳戶信息,攻擊者就會找個理由來欺騙用戶說“您的信息更新成功!”,讓用戶感覺很“心滿意足”。
這是比較常見的一種欺騙方式,有些攻擊者甚至編造公司信息和認證標志,其隱蔽性更強。一般來說,默認情況下我們所使用的HTTP協議是沒有任何加密措施的。不過,現在所有的消息全部都是以明文形式在網絡上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容。
5. 釣魚者使用受害用戶的身份進入其他網絡服務器
下面釣魚者就會使用受害用戶的身份進入其他網絡服務器(比如購物網站)進行消費或者在網絡上發送反動、黃色信息。
二、Linux用戶對網絡釣魚的防范
Linux用戶訪問互聯網的兩個主要工具是瀏覽器和電子郵件。下面就從這兩個方面作起。
1.電子郵件防范網絡釣魚的設置
Linux下電子郵件軟件很多,其中Mozilla基金會的雷鳥(Thunderbird)是比較常用和安全的。
(1)升級電子郵件軟件雷鳥到1.1以上。
首先建議您將電子郵件軟件雷鳥(Thunderbird)到1.1以上,在雷鳥 1.1 版本中實現的新功能包括實現了防止網釣(phishing)攻擊警告系統。在新的Thunderbird 功能里,當使用者點選電子郵件里疑似網釣的URL (網址)時,偵測器會在網頁打開之前以對話框提醒使用者,Gemal 寫道。當網址內有數字型的IP位址而不是用域名名(domain name),或者URL 和文字鏈結里所顯示的網絡地址不一樣時,偵測器就會啟動。見面見圖2。
![]("http://www.netadmin.com.cn/UploadFile/upload/200671410028566.jpg")
圖2 1.1版本以上的雷鳥可以防范網絡釣魚
另外也可以通過一個SPF插件防范網絡釣魚,下載鏈接:http://taubz.for.net/code/spf/thunderbird-sve.tgz 。安裝SPF插件后當用戶點擊網絡釣魚郵件中的鏈接時,雷鳥的SPF插件將檢測這一地址或者鏈接文字與實際地址不相符時都將發出警告,并彈出警告對話框提醒用戶。工作界面見圖3。
![]("/UploadFile/upload/20067141012983.jpg")
圖3 使用SPF插件防范網絡釣魚
(2)關閉雷鳥的預覽面板
許多網絡釣魚郵件只需要在電子郵件收發程序的預覽面板中顯示就能侵入你的計算機。因此我們建議用戶關閉收件箱的預覽面板。在Mozilla 雷鳥中,打開“Layout ” ->,清除““Messages pane”復選框(或者使用“F8”快捷鍵關閉預覽面板),見圖4。
![]("/UploadFile/upload/200671410154112.jpg")
圖4 關閉雷鳥的預覽面板
許多網絡釣魚郵件都是通過HTML代碼來達到其不可告人的目的,因此如果你以純文本方式閱讀這些郵件就會讓它們無計可施。在Mozilla 雷鳥中,選擇“view” ->“Message body As” -> “Plain text”復選框。見圖5。
![]("/UploadFile/upload/20067141025730.jpg")
圖5 以純文本方式閱讀雷鳥電子郵件
(4)不要把字符Unicode編碼
Unicode編碼有安全性的漏洞,這種編碼本身也給識別網址帶來了不便,所以不要把雷鳥的字符集設置為Unicode編碼。
(1)增強火狐(Firefox)的安全性。
火狐是Linux下最佳瀏覽器,當然火狐也存在一些安全隱患。丹麥安全產品開發商Secunia于7月30日公開了Web瀏覽器“Mozilla”與“Mozilla Firefox”的安全漏洞。
如果惡意使用安全漏洞,可以偽裝地址欄、工具欄、SSL對話框等用戶界面。可偽裝的不僅是地址欄,還有工具欄、表示進行SSL通信的加密標記等,甚至可以偽裝點擊加密標記后所顯示的數字證書。
Secunia提出的對策是“不要點擊不可靠的網站鏈接”,“不要隨便輸入個人信息”,一定要記住:眼見不一定為實。升級到最新版本可以消除這些安全隱患。另外,將java script設為無效也可防止偽裝。另外網絡釣魚者在用戶輸入數據后,還可以通過巧妙的java script腳本來迷惑用戶。
仿冒的站點提供了很多銀行的連接,這樣就給人以可信的感覺,實際上也是一種社會工程學的暗示。用戶輸入賬號信息后,釣魚者可能就在后面竊喜了,因為,網站早已通過巧妙的腳本設計,使用戶相信自己的數據確實得到了更新。要想對網站禁用java script,必須下載并安裝插件NoScript,它由Giorgio Maone開發。
