网络钓鱼手段分析与防范对策研究
杨明
中国人民公安大学北京 100038
摘要:随着网络技术的发展,网络犯罪应运而生。网络钓鱼活动日益加剧,网络钓鱼攻击成为Internet上最主要的网络诈骗方式,对网络安全和电子商务的正常运行构成了极大的威胁。本文通过真实的案例分析,总结了网络钓鱼的手段,并提出了相应的防范对策。
关键词:网络钓鱼;社会工程学;防范
0 前言
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于最初黑客是用电话实施诈骗活动,所以用“Ph”来取代了“F”,变成了现在的“Phishing”。网络钓鱼的基本原理可以概述为网络犯罪分子综合利用社会工程学原理和互联网应用技术手段,以盗取个人敏感信息为重要途径实施网络诈骗的违法犯罪手段和行为方式。目前,网络钓鱼分两类,第一类主要是通过社会工程学的方法对网络用户进行诱骗,以获取网络用户金融信息和其他个人信息。钓鱼者搜集相关个人信息,引诱他人受骗。另一类主要是利用技术手段攻击计算机或网页可能存在的漏洞,影响其正常有效运行后,再对网络用户进行诱骗。
1 网络钓鱼的案例分析
2012年春运,铁道部首次专门开通了网上购票系统,由于其方便快捷,许多旅客将网络购票作为首选方式。然而,一些“钓鱼”网站也相继浮出水面,通过设置各种购票“陷阱”骗取钱财。家住北京的苏女士打算春节带孩子回南方老家探亲,在铁路部门官方网站没买到火车票,就登录国内信誉较好的“去哪儿网”购票,却通过一个链接进入了一家名为“逍遥行上海营业部”的网站购票,这个网站看上去很规范,上面列着车次、价格、送票费等信息,还需要旅客填写姓名、身份证件号码、手机号码、送票地址等个人信息。苏女士没多想就填好这些信息,并按了“购买”按钮。苏女士按照建设网银付款,输入银行账号密码,核对无误后就点击“付款”。为了保险起见,苏女士拨打网站上的服务热线4006976678咨询。接电话的男子先告知那趟火车没票了,可退还票款,但必须到最近的建行ATM。苏女士来到建行ATM 网点,对方问:有“申请退款”按键吗?——自然是没有。他解释说那台ATM系统没更新,所以就按“转账汇款”键,按他说的“交易代码”操作才行。苏女士因为着急退款,也就稀里糊涂地按他说的做了。结果收到银行扣款短信,被扣去了 1580 元。此时,苏女士才意识到已上当受骗。在百度上搜索关于“逍遥行上海营业部”的信息,发现与苏女士一样遭遇的人不在少数。
分析本案例中苏女士由于购票心切,相信网站中“还有火车票”的诱饵,通过一个链接进入了一家名为“逍遥行上海营业部”的钓鱼者精心设计的假冒网站,继而又拨打了所谓的热线电话,在得知可退款后,又盲目转账,最后造成了无法挽回的损失。网络钓鱼最基础也是最重要的是“鱼饵”,即利用社会工程学原理,利用人们好奇心、信任、贪婪等心理陷阱作为诱饵。本案例中苏女士因为买票心切,没有认真核对网址,只看到“中国建设银行版权所有”字样,就认为是该行官方网站,却被链接到“. cn”的网站,显然其为钓鱼网站。分析得知苏女士缺乏必要的电子商务的安全意识,结果只能是人财两空。目前,网络钓鱼开始变得猖獗,钓鱼手段也不断翻新,给蓬勃发展的电子商务活动带来极大的威胁,已成为全社会不得不重视的社会新问题。
2 网络钓鱼的手段分析
2.1 利用网络钓鱼邮件
根据美国微软研究院的分析显示,大约有95% 的“网络钓鱼”来自欺骗电子邮件或伪造电子邮件。用户在收到电
子邮件后,一般情况下首先会查看邮件的来源,来源的可靠性会直接影响用户对邮件真实性的判断。一些垃圾邮件,将发件人的邮箱和称谓伪造成一些知名的电子商务网站或者银行,如“淘宝网”、“支付宝”、“中国工商银行”等。钓鱼者很善于将钓鱼邮件伪装得与真实机构发送的邮件非常相似,并且在整体风格上也抄袭官方的内容,比如商标或者网站的图标,使邮件与被仿冒的网站具有一定的相似性,使收信人放松警惕,从而一步一步走入钓鱼者的陷阱。普通用户很难识破这种伪造的身份。目前还有一种鱼叉式网络钓鱼,其锁定之对象并非一般个人,即向特定人群或机构发送电子邮件,是为了获取对方高度敏感性资料,如商业机密。
2.2 利用社会工程学原理
社会工程学是网络钓鱼者常用的一种手段,它是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。通过社会工程学技术愚弄用户,通常通过在知名电子商务网站发布虚假商品信息,以所谓“超低价”、“走私货”、“慈善义卖”、“免税”等名义出售,或在钓鱼邮件的内容中包含类似“您中奖了”、“需要验证您的账户,请快速处理,否则账户会被冻结”等迫切需要用户“更新”或“核实”的数据信息。收信人或网页浏览者看到此类信息后,通常都会因紧张、好奇或者贪婪等心理,对其提出的要求做出回复,从而将个人账号、口令等敏感信息轻易泄露。社会工程学的手法其实并不包含较高的技术,但因为其直接针对的是比较感性的网络用户本身,而网民往往是网络安全中较薄弱的一个环节,易受外界因素的影响,所以这种典型的欺骗手法仍然很容易得手。
2.3 网页包含虚假链接
网络钓鱼者通过发布诱惑信息,最终的目的就是千方百计地将用户通过链接方式引诱到他精心设计的虚假网上银行、虚假电子商务网站中,并获取网民个人敏感信息,实施网络欺诈。链接往往有一定的隐蔽性,以达到欺骗收信人的目的,这些虚假链接主要有以下几种形式:
(1) 相似域名
钓鱼者提供的链接地址,一般都是仿冒银行、购物等知名网站,人们对这些网站的网址都比较熟悉,所以钓鱼者会使用看起来非常相似的域名,以达到以假乱真的目的。例如:工商银行的真正网址是 ,而 或者 就是用数字1和小写字母l 来仿冒小写字
母i 。网上还有用 仿冒淘宝网站www.
。总之,网民稍不注意,就会误认为这些链接指向的是合法网站,从而点击链接访问这些网站。
(2) DNS 域名与实际链接中的DN S 域名不符
在网页的源代码中用a 标记来表示超链接,格式为href=”real_link”>show_link,页面上显示的网址为show_link ,而该超链接实际指向的地址为real_link 。假如邮件中包含这样一段html 代码:
https://.au/sml/logon.a sp
用户看到的地址是https://internetbanking.suncorpmetway.
com.au/sml/logon.asp ,但是当用户点击该链接时,进入的确是钓鱼网站 http://amdel.cl/archivos/suncorp.html ,而对普通用户而言,却浑然不知自己已进入了钓鱼网站。
(3) 用编码策略伪装超级链接
常见的url 一般是由ASCII 字符,或者其他易于识别的字符组成,比如中文等。浏览器支持对这些字符的编码,编码的方式是将字符转换成十六进制,并在前面加上“%”,编码后的url 由一串数字和%组成,用户识别起来非常困难。同时浏览器还支持对url 的部分编码,例如.
cn%2E%61%62%63,看似是工商银行的网址,可实际指向的地址是.abc 是一个钓鱼网站的网址。
2.4 利用恶意脚本和木马攻击
目前,出现了利用恶意脚本实施钓鱼式欺诈攻击,在发送的电子邮件中或在网站中隐藏“木马”程序,当嵌入脚本链接触发,用户点击链接后,会进入一个正常站点,而恶意脚本毫无觉察地在后台下载木马,在感染“木马”的计算机上进行网上交易时,“木马”程序即以键盘记录方式获取用户账号和密码。当用户下一次登录合法的银行网站时,自动地被引导到一个钓鱼网站。
当前“网络钓鱼”还呈现“假日”和“热点”和“境外域名为主、主动建网站为主、非法入侵挂马和假冒侵权网站冒头”等特点。网络钓鱼者经常采取以上几种手法交织与配合,欺骗性极强。
3 网络钓鱼的防范对策
通过案例的分析,深入剖析了当前网络钓鱼者的手段和技术,那么作为网民如何防范网络钓鱼欺骗行为,从而在网络钓鱼游戏中获取主动,使钓鱼者败兴而归。
