網絡釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由于黑客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了”Phishing”,Phishing 發音與 Fishing相同。“網絡釣魚”就其本身來說,稱不上是一種獨立的攻擊手段,更多的只是詐騙方法,就像現實社會中的一些詐騙一樣。
攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,誘騙訪問者提供一些個人信息,如信用卡號、賬戶用和口令、社保編號等內容(通常主要是那些和財務,賬號有關的信息,以獲取不正當利益),受騙者往往會泄露自己的財務數據。
詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,因此來說,網絡釣魚的受害者往往也都是那些和電子商務有關的服務商和使用者。
一、網絡釣魚工作原理圖
現在網絡釣魚的技術手段越來越復雜,比如隱藏在圖片中的惡意代碼、鍵盤記錄程序,當然還有和合法網站外觀完全一樣的虛假網站,這些虛假網站甚至連瀏覽器下方的鎖形安全標記都能顯示出來。網絡釣魚的手段越來越狡猾,這里首先介紹一下網絡釣魚的工作流程。通常有五個階段: 
圖1 網絡釣魚的工作原理
1. 釣魚者入侵初級服務器,竊取用戶的名字和郵件地址
早期的網絡釣魚者利用垃圾郵件將受害者引向偽造的互聯網站點,這些站點由他們自己設計,看上去和合法的商業網站極其相似。很多人都曾收到過來自網絡釣魚者的所謂“緊急郵件”,他們自稱是某個購物網站的客戶代表,威脅說如果用戶不登錄他們所提供的某個偽造的網站并提供自己的個人信息,這位用戶在購物網站的賬號就有可能被封掉,當然很多用戶都能識破這種騙局。現在網絡釣魚者往往通過遠程攻擊一些防護薄弱的服務器,獲取客戶名稱的數據庫。然后通過釣魚郵件投送給明確的目標。
2. 釣魚者發送有針對性質的郵件
現在釣魚者發送的釣魚郵件不是隨機的垃圾郵件。他們在郵件中會寫出用戶名稱,而不是以往的“尊敬的客戶”之類。這樣就更加有欺騙性,容易獲取客戶的信任。這種針對性很強的攻擊更加有效地利用了社會工程學原理。
很多用戶已經能夠識破普通的以垃圾郵件形式出現的釣魚郵件,但是他們仍然可能上這種郵件的當,因為他們往往沒有料到這種郵件會專門針對自己公司或者組織。根據來自IBM全球安全指南(Global Security Index)的報告,被截獲的釣魚事件從2005年一月份的56起爆炸性地增長到了六月份的60萬起。
3. 受害用戶訪問假冒網址
受害用戶被釣魚郵件引導訪問假冒網址。主要手段是
(1)IP地址欺騙。主要是利用一串十進制格式,通過不知所云的數字麻痹用戶,例如IP地址202.106.185.75,將這個IP地址換算成十進制后就是3395991883,Ping這個數字后,我們會發現,居然可以Ping通,這就是十進制IP地址的解析,它們是等價的。
(2)鏈接文字欺騙。我們知道,鏈接文字本身并不要求與實際網址相同,那么你可不能只看鏈接的文字,而應該多注意一下瀏覽器狀態欄的實際網址了。如果該網頁屏蔽了在狀態欄提示的實際網址,你還可以在鏈接上按右鍵,查看鏈接的“屬性”。
(3)Unicode編碼欺騙。Unicode編碼有安全性的漏洞,這種編碼本身也給識別網址帶來了不便,面對“%21%32”這樣的天書,很少有人能看出它真正的內容。
4. 受害用戶提供秘密和用戶信息被釣魚者取得
一旦受害用戶被釣魚郵件引導訪問假冒網址,釣魚者可以通過技術手段讓不知情的用戶輸入了自己的“User Name”和“Password”,然后,通過表單機制,讓用戶輸入姓名、城市等一般信息。填寫完畢。他現在要用戶填寫的是信用卡信息和密碼。一旦獲得用戶的帳戶信息,攻擊者就會找個理由來欺騙用戶說“您的信息更新成功!”,讓用戶感覺很“心滿意足”。
這是比較常見的一種欺騙方式,有些攻擊者甚至編造公司信息和認證標志,其隱蔽性更強。一般來說,默認情況下我們所使用的HTTP協議是沒有任何加密措施的。不過,現在所有的消息全部都是以明文形式在網絡上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容。
5. 釣魚者使用受害用戶的身份進入其他網絡服務器
下面釣魚者就會使用受害用戶的身份進入其他網絡服務器(比如購物網站)進行消費或者在網絡上發送反動、黃色信息。
二、Linux用戶對網絡釣魚的防范
Linux用戶訪問互聯網的兩個主要工具是瀏覽器和電子郵件。下面就從這兩個方面作起。
1.電子郵件防范網絡釣魚的設置
Linux下電子郵件軟件很多,其中Mozilla基金會的雷鳥(Thunderbird)是比較常用和安全的。
(1)升級電子郵件軟件雷鳥到1.1以上。
首先建議您將電子郵件軟件雷鳥(Thunderbird)到1.1以上,在雷鳥 1.1 版本中實現的新功能包括實現了防止網釣(phishing)攻擊警告系統。在新的Thunderbird 功能里,當使用者點選電子郵件里疑似網釣的URL (網址)時,偵測器會在網頁打開之前以對話框提醒使用者,Gemal 寫道。當網址內有數字型的IP位址而不是用域名名(domain name),或者URL 和文字鏈結里所顯示的網絡地址不一樣時,偵測器就會啟動。見面見圖2。
圖2 1.1版本以上的雷鳥可以防范網絡釣魚
另外也可以通過一個SPF插件防范網絡釣魚,下載鏈接:http://taubz.for.net/code/spf/thunderbird-sve.tgz 。安裝SPF插件后當用戶點擊網絡釣魚郵件中的鏈接時,雷鳥的SPF插件將檢測這一地址或者鏈接文字與實際地址不相符時都將發出警告,并彈出警告對話框提醒用戶。工作界面見圖3。
圖3 使用SPF插件防范網絡釣魚
(2)關閉雷鳥的預覽面板
許多網絡釣魚郵件只需要在電子郵件收發程序的預覽面板中顯示就能侵入你的計算機。因此我們建議用戶關閉收件箱的預覽面板。在Mozilla 雷鳥中,打開“Layout ” ->,清除““Messages pane”復選框(或者使用“F8”快捷鍵關閉預覽面板),見圖4。
圖10以不同顏色的符號,顯示系統漏洞。如:綠色的“√”圖標表示該項目已經通過檢測。紅顏色的“×”表明不安全的因素,黃顏色的“×”表明MBSA無法確認其安全性,二者(紅色或黃色)的圖標表示該項目沒有通過檢測,即存在漏洞或安全隱患。
藍色的“*”圖標表示該項目雖然通過了檢測但可以進行優化,或者是由于某種原因MBSA跳過了其中的某項檢測。白色的“i”圖標表示該項目雖然沒有通過檢測,但問題不很嚴重,只要進行簡單的修改即可。
對于第一個系統漏洞“Password test”的詳細情況,點擊“Result Details”可以看到它的詳細解釋。下面點擊“How to correct this”可以得到如何修補這個漏洞的方法和建議以及下載補丁的網址。
MBSA 是面向 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 系統的安全評估工具,MBSA1.2不但能為我們找到系統需要的補丁,并且介紹給我們如何去做。
總結:
網絡釣魚之所以如此猖獗并且能夠頻頻得手,最大的原因就是利用了人們疏于防范的心理以及“貪小便宜”和“貪圖便利”的弱點。網絡釣魚投下足夠吸引獵物上鉤的“美味魚餌”或恐嚇,或誘惑,用戶的防線在這些因素的干擾下徹底崩潰而咬住了鉤子。
這是任何軟件也無法解決的,因為毒在心,而非工具軟件。當然這些騙術也涉及了一些技術手段,但是社會工程學的影響卻成了最大的干擾。
