徐梦萍
摘要:当前互联网诈骗有多种形式,其中网络钓鱼就是互联网诈骗中常见的一种手段。它严重影响贸易双方的网络账户的安全,影响电子商务和社会的正常稳定发展。针对日益恶化的发展趋势,结合以前和最近发生的典型网络钓鱼手段的分析,让用户认清网络钓鱼的手段,增加网络钓鱼的防范手段。
关键词:网络钓鱼;概念;原理;案例;产生与防范
一、“网络钓鱼”的概念
1.1“网络钓鱼”的概念
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡等详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与官方网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,从而钓鱼者可以假冒受害者进行欺诈性金融交易,从而获得非法的经济利益。
二、“网络钓鱼”攻击的原理
2.1“网络钓鱼”的攻击原理
网络钓鱼简单的描叙就是通过伪造信息获得受害者的信任并且响应,从而达到其诈骗的目的。网络钓鱼从攻击角度上分为两种形式,一种是通过伪造具有一定可信度的信息来欺骗受害者,就是说有一定的概率使人信任并且响应。而另外一种则是通过了解身份信息来进行攻击,攻击者必须掌握一定的信息,利用人与人之间的信任关系,通过伪造身份,使用这类信任关系伪造信息,最终使受害者信任并且响应。
现在随着网上各种交易的普及,现在网络钓鱼的技术手段也越来越多,比如隐藏在网页中的恶意代码、记录键盘输入的程序,甚至还有与官方网站外观完全一样的虚假站点,这些虚假网站有时域名几乎也与官方网站差不多,让人很难分辨。
这里介绍一下网络钓鱼的工作流程。通常有五个阶段,见图(1):
1、钓鱼者入侵防守比较弱的服务器,窃取用户的资料
现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器,获取客户名称的数据库。这些数据库利包含着用户一些重要的资料,例如姓名,电子邮件,家庭地址,电话号码等。这些数据库的内容就成为钓鱼者的首要攻击的目标。
2、钓鱼者对获取的一手资料,发送有针对性的电子邮件
钓鱼者获取了用户的姓名、电子邮件等,然后通过钓鱼邮件投送给明确的目标。他们将用户引向伪造的网站,这些站点由他们自己精心设计,看上去和合法的官方网站极其相似。例如,他们自称是某个购物网站的客户服务,威胁说如果用户不登录他们所提供的某个网站并提供自己的个人信息,这位用户在这个购物网站的账号就可能被封掉,对于这种骗局,大部分人都存在防备的心理,旦还是有一定比例的人会上当受骗。
3、一部分心理防备比较弱的用户,开始访问伪造的站点
用户一旦打开了此站点,钓鱼者可以通过网页木马程序进行植入,记录用户的键盘输入。钓鱼者也可以伪造与官方网站一样的程序界面,让客户输入用户名与密码,正面获取用户的一手资料。
4、用户的个人信息通过网络传输到钓鱼者的手中
一但受害用户被钓鱼邮件引导访问假冒网址,钓鱼者可以通过技术手段让不知情的用户输入了自己的用户名和密码,然后,通过表单机制,让用户输入姓名、城市等一般信息。填写完毕。他现在要用户填写的是信用卡信息和密码。一旦获得用户的帐户信息,網站会提醒你“您的信息更新成功!”,让用户感觉跟真的一样。
5.钓鱼者使用非法获取的用户信息登陆到其他网站进行非法活动
钓鱼者使用受害用户的身份进入其他网站,例如进入购物网站进行消费,进入银行网站进行转账,进入论坛发布反动言论或者色情信息等。
三、“网络钓鱼”典型案例与分析
钓鱼者使用木马病毒链接虚假官方网站:
不久前,钓鱼者使用“联想集团和腾讯公司联合赠送qq币”的虚假消息,把人们引向一个恶意网站。该网站更离谱的是含有木马病毒主页的网址是http://www.lenovo.com而联想官方网站的地址是http://www.ienovo.corn,两者的区别仅仅只有一个字符:阿拉伯数字“1”和英文字母“i”。这两个字符在电脑屏幕上很难分辨,人们误认为这是联想公司的主页,便毫不犹豫地按下了鼠标左键,在恶意网站被打开时,2秒钟便完成木马病毒种植,然后自动重新链接到真正的联想主页,简直是天衣无缝,用户毫无察觉。被植入木马病毒的机器,用户使用的各种账号通过木马程序全部发送到钓鱼者的手中。使得很多用户遭受莫大的损失。
四、“网络钓鱼”防范的措施
1、针对网络电子邮件进行欺诈。要求用户不打开陌生的电子邮件,这种邮件一般的都是模仿某单位的口吻,例如让你去参加某某论坛,首先让你预订席位,然后让你进行汇款。或者该电子邮件可能携带某种木马,一旦打开在几秒钟之内就植入你的电脑,让你电脑所有的数据都暴露在钓鱼者的眼前。
2、假冒网上银行、支付宝、财富通等网络交易平台网站。现在进行网上转账和网上购物已经是人们日常生活的一部分了,人们在网上交易之前要注意以下几点:一是核对网址,看是否与官方网址一致;二是妥善保管好密码,选用密码时建议用字母、数字混合密码,避免在不同系统使用同一密码;三是做好交易记录,对网上银行等平台办理的转账和支付等业务做好记录,定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与有关单位联系;四是管理好数字证书,避免在公用的计算机上进行网上交易;五是对异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行卡等进行挂失;六是通过正确的程序登录支付网关,通过正式公布的网站进入,不要通过搜索引擎找到的网址或其他不明网站的链接进入。
3、使用网络安全防范措施。一般的杀毒软件都有查杀木马的功能。例如卡巴斯基、金山毒霸、瑞星等。首先在计算机上安装好杀毒软件,例如卡巴斯基2009,此款软件就嵌套了反钓鱼的程序。然后把Internet浏览器安全级别调高。除了打开Windows xp系统自带的防火墙功能还可以在计算机上安装防火墙程序。确保你的计算机处在以个安全健康的状态。
4、不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email等软件传播,这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、QQ等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
五、结论
本文只是针对当前比较典型的“网络钓鱼”的攻击方式进行了分析,而随着信息技术和网络的不断发展,“网络钓鱼”的手段也将更加复杂,其破坏性也将更加剧大,我论文的后续工作还应继续研究更多、更全的钓鱼式攻击,不断提出最新的而且有针对性的防范措施。