網絡釣魚如何防范?

網絡釣魚已成為網絡安全領域最嚴重的威脅之一。它雖然不是一種新的病毒入侵方法，但是危害范圍卻在逐漸擴大。面對越演越烈的網絡釣魚，我們應該如何防范?

新疆維吾爾自治區煙草公司

互聯網的高速縱深拓展正極大地推動著整個社會的發展與變革，人們的日常生活、工作、興趣也越來越多地遷移到互聯網，例如:網上銀行、電子政務、網絡商店、網上支付、網絡炒股等，這些基于網絡的業務在給人們的生活帶來便利的同時，也伴生了不可避免的煩惱。當前，網絡釣魚已經成為網絡安全領域最嚴重的威脅之一。它雖然不是一種新的病毒入侵方法，但是危害范圍卻在逐漸擴大。

網絡釣魚伺機而動

網絡釣魚 (Phishing)一詞，是“Fishing”和“Phone”的綜合詞，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了“Phishing”。網絡釣魚就其本身而言，并沒有使用什么復雜高深的技術手段，也算不上是一種新穎、獨立的攻擊手段，其本質是利用社會工程學(Social Engineering)原理的網絡詐騙手段。社會工程學是通過對受害者的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得個人利益的一種手法。

網絡釣魚從攻擊角度上分為兩種形式:一種是通過偽造具有“概率可信度”的信息來欺騙受害者，這里提到了“概率可信度”這個名詞，從邏輯上說就是有一定的概率使人信任并且響應，從原理上說，攻擊者使用“概率可信度”的信息進行攻擊，這類信息在概率內正好吻合了受害者的信任度，受害者就可能直接信任這類信息并且響應;另外一種是通過“身份欺騙”信息來進行攻擊，攻擊者必須掌握一定的信息，利用人與人之間的信任關系，通過偽造身份，使用這類信任關系偽造信息，最終使受害者信任并且響應。

據統計，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應。據中國反釣魚網站聯盟最新月報顯示，2010年4月，該聯盟受理并暫停域名解析的釣魚網站為1785個，較前個月增長70%，約有4500萬網民因網絡釣魚蒙受損失，總金額達76億元。在網絡釣魚中，釣魚者巧妙利用社會工程學原理，洞穿大多數網絡用戶的心理，設計了美味的“魚餌”，誘騙用戶上鉤，主要涉及如下幾種形式:

1.假冒知名網站，騙取用戶信任，盜取用戶資料。

詐騙者通常利用欺騙性的電子郵件和偽造的Web站點來進行詐騙，或者將自己偽裝成知名銀行、網上證券交易平臺、淘寶網、支付寶、在線零售商等擁有較好信譽的企業品牌給用戶發送陷阱郵件，想方設法布局誘騙訪問者提供個人資料，如網銀賬號、郵箱賬號、手機密碼、隱私信息等。

2.制造緊迫感，迫使用戶無暇核實信息。

在釣魚者發來的郵件中，常常會聲稱如不立即進行某項操作就可能造成嚴重后果。例如:某封自稱是“中國工商銀行安全警告”的釣魚郵件中，會通知你的網銀密碼可能已被不法分子盜用，要求你立即登錄網站修改密碼，避免不必要的損失。

3.以超低價(打折、促銷、中獎、退稅、“慈善義賣”)等為幌子，誘惑用戶。

網上交易多是異地形式，通常需要異地轉賬匯款，交易雙方天各一方，很難進行真偽鑒別和溯源定位，一旦釣魚者騙取消費者錢款得逞或者詐騙伎倆被識破后就可能立即永遠切斷和消費者的聯系。

4.利用各種心理弱點，增加好奇心。

網絡上的信息龐大繁雜，包羅萬象。“想看成人免費電影么?”、“想看性感車模的清涼寫真么?”、“想獲取TA的聯系方式么?”、“想免費參加新馬泰十日游么?”當看到這些極具誘惑力的標題時，很多人可能毫不猶豫地點擊了鼠標，而這樣就極有可能掉入釣魚者精心安排的陷阱。

幾種常用技術手段

網絡釣魚本質上是網絡欺詐，其形式多種多樣，在信息安全領域的專業人士眼中，網絡釣魚并沒有過多的技術含量，主要是利用人們心理上的弱點同時配合輔助的技術手段來予以實現，釣魚者常用的技術手段主要包括以下幾個方面:

1.虛假的網址

當人們在互聯網上訪問某個網址時，很少會核對URL地址的真實性、準確性，因此利用各種手段偽造URL地址、把用戶引導向釣魚網站成為最常用的技術手段，這一手段具有以下表現形式:

(1)假冒URL

例如:字母“1”和“I”僅憑肉眼不好區分，所以“1cbc.com” 可能會被用來偽造“icbc.com”;用“ebays.com” 偽造“ebay.com”等。

(2)URL編碼偽造

攻擊者會利用URL的編碼原理，提高釣魚網站與真實網站的相似程度。URL編碼就是將字符轉換成為16進制并在前面加“%”前綴，例如:Google的域名后綴“.cn”URL編碼后成為“http://www.google%2E%63%6E”，這種形式的網址在客戶機瀏覽器和服務器端都能正常支持，攻擊者可以通過http: //www.google cn% 2E%1A%6C%25%4B%4B%5C這一仿冒URL將用戶欺騙至釣魚網站，而不是http://www.google.cn。

(3)利用IP地址

利用IP地址而非域名顯示服務器的訪問入口或網址，以達到隱藏身份的目的。

(4)欺騙性超鏈接

即超鏈接的標題和鏈接實際指向的地址不一致，這種欺騙手段比較容易被識破，可以通過核查鏈接指向的實際目的地址的準確性予以判別真偽(部分釣魚網站可能通過JavaScript和URL隱藏技術使IE狀態欄中的地址無法顯示)。

2.漏洞

(1)Web漏洞

近年來，XSS(跨站腳本)成為Web漏洞中的熱點，XSS漏洞的特性是能夠在遠程Web頁面中植入惡意腳本，達到跨域名跨頁面修改網頁任意內容的目的。當用戶使用瀏覽器下載這一頁面時，嵌入在其中的惡意腳本被執行。例如在網頁中插入以下JavaScript代碼，該頁面的原有內容會被清空，從而使網頁內容被篡改:

window.onload=function Phish(){

document.open();

document.clear();

document.write(“Phishing Attack By 80 seconds”);

document.close();

}

釣魚者可以通過XSS漏洞任意修改可信站點的內容，引誘用戶按照提示給出自己的敏感信息，而用戶對此渾然不知。

(2)瀏覽器漏洞

這類漏洞往往利用客戶端軟件漏洞、通過偽造URL或者網頁內容等方式實施欺詐，完全不受服務器端和網絡環境的限制，危害甚大。

(3)服務器漏洞

最典型的服務器漏洞是偽造Email地址，釣魚者可以借助郵件地址嗅探搜索工具、郵件群發器、郵件代理服務器等工具發送匿名郵件，或者偽造任何人的身份實施郵件欺騙。如下面的原始郵件頭信息:

Received:from localhost(unknown[210.191.163.131])

By 192.168.1.1(Postfix) with ESMTP id 8D20F606002

for rayh4c@80sec.com;Tue，23 Dec 2008 10:03:08

+0800(CST)

Subject:中獎了!

MIME-Verion:1.0

From:“Admin”

To:rayh4c@80sec.com

這里MIME頭中的From字段(代表發件人的源地址)是可以任意控制的，普通用戶很難辨別郵件的真偽。

(4)協議漏洞

除使用Web攻擊技術進行釣魚以外，攻擊者還可能使用網絡協議漏洞進行釣魚，例如大家熟知的ARP攻擊、DNS劫持、DHCP劫持漏洞等。

3.重定向

重定向技術通過改變域名和IP地址之間的對應關系(即域欺騙)把用戶毫無察覺地引向釣魚網站。釣魚者可以在服務器端(如攻擊DNS服務器)或者客戶端(如修改Windows系統地HOSTS文件)實施這種詐騙。

4.惡意代碼、病毒

釣魚者在發給用戶的垃圾郵件中可能潛伏有包括木馬、病毒、惡意程序、間諜軟件、黑客軟件等在內的惡意代碼，或是利用弱口令等漏洞破解、猜測用戶賬號和密碼，其目的就是為了搜集、盜取、利用用戶個人信息。

網絡釣魚的防范對策

僅僅依靠網絡運營監管部門、基礎網絡運營商單一的查封域名、停止網站運營等手段打擊、制止、防范網站釣魚，只能起到治標的效果，治本之策還在于提高網民的安全防范意識和操作技能，通過多方合力、多措并舉，加強終端安全防御，才能逐漸予以徹底清理整治。中國諾網安全專家指出，不管釣魚者玩出什么花樣，總會有一個環節是讓用戶輸入用戶名和密碼，這是網絡釣魚必經的一步，以下列舉出常用的、簡易可行的網絡釣魚防范對策。

1.不輕信陌生人。

2.不在不安全的計算機上輸入個人賬戶資料(例如網吧、公用計算機等)。

3.不輕易點擊充滿誘惑性的鏈接(如中獎、退稅等)。

4.不輕易泄露個人賬戶信息。

5.不在不可信的網站上進行在線交易。

6.不要害怕(面對不可信網站提供的威脅和警告首先要想辦法予以核實)。

7.慎重轉賬匯款(必須在確認網站資質信息后再匯款)。

8.核對網址(牢記自己開戶銀行的網址，每次通過輸入網址并核對無誤后正確登錄，避免采用搜索引擎的鏈接進入銀行網站。用戶可以通過到工信部ICP備案查詢系統核實網站的ICP號以確認網站資質)。

9.保護好個人網易賬戶信息(確保網銀賬戶登錄密碼、交易支付密碼不盡相同，密碼要具備一定的復雜程度，避免和個人資料相關，并妥善保管，增加暴力破解的難度)。

10.慎重處理電子郵件，過濾、刪除垃圾郵件，增強郵件安全檢測和安全配置。

11.必須使用網銀硬件安全數字證書(如工行U盾、身份認證加密芯片等)。

12.做好終端網絡安全防范(在終端安裝防病毒、防火墻軟件，定時升級;及時升級操作系統，打好補丁、封堵漏洞、關閉高危端口服務;增強終端瀏覽器的安全配置，及時維護可信站點列表，對不可信站點提高安全防范等級;網上下載或者通過QQ、MSN等即時通信工具接收的文件必須先檢測殺毒再打開運行)。

13.使用專業產品工具屏蔽惡意網站、釣魚網站(如趨勢科技IWSA網關、瑞星卡卡等)。

針對網絡釣魚的詐騙行為，工信部、公安部等相關部委都設有專門的監管機構。但由于釣魚網站頻繁出現，現有的處理機制很難及時有效制止釣魚網站， 在中國反釣魚網站聯盟成立前，國內還沒有建立專門協調此問題的組織。聯盟的成員單位目前還有限，對于層出不窮的釣魚網站，國內反釣魚網站協調機制和反釣魚網站綜合治理體系的建設還需進一步推進。另外，國家有關的法律法規也有待進一步完善。