網絡釣魚(Phishing),並不是一種新的入侵方法,但是它的危害范圍卻在逐漸擴大,並成為近期威脅網絡安全的最大危害之一。你了解Phishing嗎?與傳統的入侵方式相比,它有什麼顯著特點呢?典型的Phishing案例有哪些?如何防范被Phishing呢?
南方的早春總是伴著綿綿細雨,難得今天是個晴朗天,某服裝公司的張經理帶著十幾個重要員工來到郊外一個魚塘進行垂釣活動。張經理放置好釣具後,便打開了隨身攜帶的筆記本電腦並連上網絡,他想利用這點時間處理一下最近的一筆生意。秘書見他在這種時候還離不開工作,便勸他:“經理,今天是游玩的日子,難得放松一下,今天還是不要處理公司業務了吧……您不怕釣竿被魚叼走了?”張經理對秘書笑了笑,看著身前的釣竿緩緩說道:“都說姜太公釣魚,願者上鉤,但是如果不知道提竿的時機,即將到手的魚也會溜走的。等這筆生意談妥,我再休息也不遲。”說罷又繼續低頭敲鍵盤。
生意終於談妥,客戶把貨款轉入張經理的銀行賬戶,張經理笑了:“這條大魚終於被我釣到了。”然後他登上網絡銀行賬戶查看轉賬情況。當頁面上顯示出賬戶剩余金額時,張經理心裡一緊,接著有了暈眩的感覺:賬戶裡原來的存款不翼而飛,頁面裡惟有客戶剛剛轉入的貨款,仿佛在嘲笑著張經理。
張經理做夢也沒想到,這一次,他成了別人釣上的魚,而且是大魚。
釋疑網絡釣魚
網絡釣魚(Phishing),並不是一種新的入侵方法,但是它的危害范圍卻在逐漸擴大,成為近期最嚴重的網絡威脅之一。Phishing就是指入侵者通過處心積慮的技術手段偽造出一些以假亂真的網站和誘惑受害者根據指定方法操作的email等方法,使得受害者“自願”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)的手段。入侵者並不需要主動攻擊,他只需要靜靜等候這些釣竿的反應並提起一條又一條魚就可以了,就好像是“姜太公釣魚,願者上鉤”。
看到這裡,有些讀者可能會說,這不是社會工程學嗎?兩者都是騙人的手段啊。不錯,網絡釣魚裡面的確有社會工程學的影子,但是與後者相比,網絡釣魚更趨向於技術方面,因為它不僅僅是欺騙,裡面還必須摻入技術成分,否則如果連“垂釣者”自己都無法控制“釣竿”的話,又怎麼可能釣到魚呢?
視覺陷阱:網頁背後的釣竿
警察正在分析張經理那台筆記本電腦硬盤裡的數據,張經理本人在報案時因心髒病發作而住進了醫院。由於無法得知張經理最後一次登錄網絡銀行的時間,而且系統裡也沒有感染任何偷盜賬號的後門程序,案件變得有點撲朔迷離起來。一個分析員無意中打開了Foxmail,發現最後一封信件是銀行發送的,主題為“XX網絡銀行關於加強賬戶安全的通告”,分析員預測案件與這封信件有重大關系,馬上打開閱讀。這是一封HTML網頁模板的信件,內容大意為銀行為了加強賬戶安全而升級了系統,請各位客戶盡快重新設置賬戶密碼,末尾還給出了設置密碼的URL鏈接。
幕後黑手果然在這裡!分析員馬上查看信件源代碼,很快就找出了其中的貓膩:正如常說的 “說的一套,做的一套”,這個郵件的作者采用了“看的一套,進的一套”這種簡單的欺騙手法,入侵者利用HTML語言裡URL標記的特性,把它寫成了這樣:“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉〈/A〉”,由於心理作用,受害者潛意識裡都會直接點擊那個寫著“”的URL鏈接,然而他們並不知道,這個點擊實際上是把他們引向“”這條釣竿!而這個所謂的更改密碼頁面,當然偽造得與真正的銀行頁面完全一致,但是它的“更改密碼”功能卻是把賬號和密碼發送到了幕後的“垂釣者”手上,然後“垂釣者”登錄上真正的網絡銀行改了受害者設置的密碼,並順手牽羊把銀行賬戶裡的存款轉移掉。這樣釣來的魚,即使是小魚也會讓“垂釣者”在夢裡發出笑聲來了,即使一條太小,積累起來的數目也會變得相當可觀了。在金錢的誘惑下,“垂釣者”一次又一次提竿,殊不知,他自己也是被金錢釣竿釣上的一條魚。
拙劣手段成功的關鍵
為什麼如此拙劣的技術卻能頻頻得手呢?在你的實際生活中有沒有遇到類似的情況呢?你會采取什麼樣的預防措施呢?
因為網絡釣魚充分利用了人們的心理漏洞,首先,人們收到銀行這類影響力很大的商務郵件時幾乎都會緊張,很多人都不曾懷疑信件的真實性,更會下意識地根據要求打開郵件裡面指定的URL進行操作;其次,頁面打開後,我們通常都只會留意頁面內容而不會注意浏覽器地址欄的顯示,正是這點讓“垂釣者”有了可乘之機。
其實“垂釣者”們是可以利用IE的URL欺騙漏洞把自己偽裝得更像一回事似的,只是現在IE普遍打了補丁,這種情況下還使用這個漏洞就會“不打自招”了,所以只有極少數“垂釣者”會采用這個方法,有的“垂釣者”根本連個看起來“比較正規”的域名都沒有,而是采用IP地址形式甚至直接光明正大把真實地址顯示在浏覽器的地址欄裡――因為他們知道,除非出現意外情況,否則大部分人根本是不會注意浏覽器的地址欄的。
這裡順便提一下那封email,為什麼張經理會上當呢?縱然,如果那封email的發件人地址不是銀行網站的,那麼白癡都看得出來這是偽造的郵件。但是問題就出在這裡,這封email的發件人地址清清楚楚寫著該銀行網站的技術支持信箱地址!“垂釣者”是怎麼做到的呢?很簡單,一些未經設置的email服務器並不會驗證用戶信息是否真實,於是騙子用這樣的郵件服務器發送一封偽造了發件人地址的信件簡直是易如反掌。
借竿釣魚:愛恨交加的搜索引擎
由於Internet的迅速發展,信息量大爆炸時代隨著網絡的普及聳立在世人面前,我們可以獲取信息的途徑越來越多,但是查找特定的信息數據也開始變得困難,為此人們急切需要一種能盡量把各種信息統一管理並提供簡便搜索功能的工具,搜索引擎因此而誕生。與此同時,搜索?娴拇?碜髑oogle由於技術的強大已經成為病毒和入侵者窺視的焦點。
這次,依舊是Google惹的禍。很早以前,Google就“提供”了一種“搜索入侵”:入侵者通過在Google上查詢某些特定的字符,可以發現甚至直接進入存在該漏洞的計算機,當年有許多存在Unicode漏洞的計算機就是被Google拎了出來――只要搜索諸如“/scripts/..%5c../winnt/system32/cmd.exe?/c dir”此類的關鍵字就能發現很多包含“Directory of”字符串的IP地址,點擊進去,你會發現你已經用Unicode漏洞入侵了該計算機……現在雖然這個方法已經基本失效,但是Google帶來的安全性問題卻更值得引起所有人的重視。面對強大的Google,“垂釣者”已經不滿足於僅靠Web頁面釣魚,他們還看上了Google的桌面搜索工具Desktop Search,這個工具存在一個信息洩漏的漏洞,入侵者能通過腳本程序欺騙Desktop Search提供用戶信息,最常見的就是洩漏磁盤數據。利用這個漏洞提供的信息,“垂釣者”可以偽造相關信件並建立欺騙性的電子商務網站,讓用戶誤以為是大公司發給自己的信函而受欺騙。一些“垂釣者”用假的口令驗證得以竊取用戶信息,另一些則欺騙用戶點擊一些商品信息而被種植木馬程序。
典型的Phishing攻擊示例
跨站釣魚:真實網站的噩夢
前面提到的偽造頁面欺騙是“垂釣者”利用虛假信函和人們尋求方便的心理,直接點擊信函給出的惡意鏈接而達到釣魚的目的,如今隨著媒體的揭露以及用戶警惕性的提高,這種手段成功率逐漸降低了。於是處心積慮的騙子們開始制造一種新的迷霧:他們同樣是用某種手段把用戶騙到商務網站,但是與以前不同的是,這次用戶訪問到的是真正的商務站點。難道“垂釣者”們改邪歸正了?答案是否定的,這個真正的商務站點依然會把用戶帶到“垂釣者”的惡意頁面――騙子利用一種稱為“跨站攻擊”的技術,在真實網站上插入惡意鏈接,用戶即使再細心也很難想到真實網站也會暗藏殺機。這種被稱為“雞尾酒釣魚術”的手段使商務網站的可信度大大降低。
什麼是“跨站攻擊”呢?業界對其定義如下:“跨站攻擊是指入侵者在遠程Web頁面的HTML代碼中插入具有惡意目的的數據,使得用戶認為該頁面是可信賴的,但是當浏覽器下載該頁面,嵌入其中的腳本將被解釋執行。”
跨站攻擊有多種方式,典型的方式有兩種:其一,由於HTML語言允許使用腳本進行簡單交互,入侵者便通過技術手段在某個頁面裡插入一個惡意HTML代碼――例如記錄論壇保存的用戶信息(Cookie),由於Cookie保存了完整的用戶名和密碼資料,用戶就會遭受安全損失。讓我們舉一個例子來說明這種情況:比如某個正規論壇是你經常去的,你當然不會懷疑這個論壇有問題,但是有些無聊的用戶可能在這個論壇發布帶有惡意腳本的帖子,當你浏覽這個帖子時,就有可能被攻擊。
“垂釣者”自然不會索要用戶的Cookie信息,如今有多少商務網站會允許用戶保存Cookie呢?所以他們只能讓用戶自己送上門來,這就出現了第二種同時也是目前更為流行的跨站攻擊方式:“垂釣者”利用一段特殊的跨站攻擊腳本代碼讓頁面彈出一個設計時根本不曾有的網頁對話框,它要求用戶輸入密碼或者把用戶帶到偽造的站點。因為這些對話框是用戶在正常網站看到的,他們自然不會懷疑它的合法性,然而正是這種心理欺騙法導致了又一場信任危機。
這種方法迫害的不僅僅是用戶,更是無辜的商務站點,因為跨站攻擊並不是入侵服務器,而是在客戶那邊進行篡改,商務站點根本不知道發生了什麼事情,直到用戶找上門來,他們才發現自己的信譽被這些騙子給毀了。
危險的HOSTS文件
對網絡了解較多的讀者一般都會知道Windows的系統目錄中有個HOSTS文件,它的作用是把IP地址和網址映射起來。大家都知道,訪問網站時必須通過DNS服務器把域名解析為IP地址,這樣浏覽器才能知道連接到哪裡才是我們要的網站。在Windows的處理邏輯裡,它總是先在HOSTS文件裡查找這個域名和IP的對應關系,如果對應關系存在,Windows就直接連接HOSTS表裡描述的IP地址,只有在找不到的時候才向DNS服務器發送解析域名的請求,這個邏