攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户用和口令、社保编号等内容(通常主要是那些和财务,账号有关的信息,以获取不正当利益),受骗者往往会泄露自己的财务数据。
诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,因此来说,网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。
一、网络钓鱼工作原理图
现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段:
图1 网络钓鱼的工作原理
1. 钓鱼者入侵初级服务器,窃取用户的名字和邮件地址
早
期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点,这些站点由他们自己设计,看上去和合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的
所谓“紧急邮件”,他们自称是某个购物网站的客户代表,威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息,这位用户在购物网站的账号
就有可能被封掉,当然很多用户都能识破这种骗局。现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器,获取客户名称的数据库。然后通过钓鱼邮件投送给明
确的目标。
2. 钓鱼者发送有针对性质的邮件
现在钓鱼者发送的钓鱼邮件不是随机的垃圾邮件。他们在邮件中会写出用户名称,而不是以往的“尊敬的客户”之类。这样就更加有欺骗性,容易获取客户的信任。这种针对性很强的攻击更加有效地利用了社会工程学原理。
很
多用户已经能够识破普通的以垃圾邮件形式出现的钓鱼邮件,但是他们仍然可能上这种邮件的当,因为他们往往没有料到这种邮件会专门针对自己公司或者组织。根
据来自IBM全球安全指南(Global Security
Index)的报告,被截获的钓鱼事件从2005年一月份的56起爆炸性地增长到了六月份的60万起。
3. 受害用户访问假冒网址
受害用户被钓鱼邮件引导访问假冒网址。主要手段是
(1)
IP地址欺骗。主要是利用一串十进制格式,通过不知所云的数字麻痹用户,例如IP地址202.106.185.75,将这个IP地址换算成十进制后就是
3395991883,Ping这个数字后,我们会发现,居然可以Ping通,这就是十进制IP地址的解析,它们是等价的。
(2)链接文字欺骗。我们知道,链接文字本身并不要求与实际网址相同,那么你可不能只看链接的文字,而应该多注意一下浏览器状态栏的实际网址了。如果该网页屏蔽了在状态栏提示的实际网址,你还可以在链接上按右键,查看链接的“属性”。
(3)Unicode编码欺骗。Unicode编码有安全性的漏洞,这种编码本身也给识别网址带来了不便,面对“%21%32”这样的天书,很少有人能看出它真正的内容。
4. 受害用户提供秘密和用户信息被钓鱼者取得
一
旦受害用户被钓鱼邮件引导访问假冒网址,钓鱼者可以通过技术手段让不知情的用户输入了自己的“User
Name”和“Password”,然后,通过表单机制,让用户输入姓名、城市等一般信息。填写完毕。他现在要用户填写的是信用卡信息和密码。一旦获得用
户的帐户信息,攻击者就会找个理由来欺骗用户说“您的信息更新成功!”,让用户感觉很“心满意足”。
这是比较常见的一种欺骗方式,有
些攻击者甚至编造公司信息和认证标志,其隐蔽性更强。一般来说,默认情况下我们所使用的HTTP协议是没有任何加密措施的。不过,现在所有的消息全部都是
以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。
5. 钓鱼者使用受害用户的身份进入其他网络服务器
下面钓鱼者就会使用受害用户的身份进入其他网络服务器(比如购物网站)进行消费或者在网络上发送反动、黄色信息。
二、Linux用户对网络钓鱼的防范
Linux用户访问互联网的两个主要工具是浏览器和电子邮件。下面就从这两个方面作起。
1.电子邮件防范网络钓鱼的设置
Linux下电子邮件软件很多,其中Mozilla基金会的雷鸟(Thunderbird)是比较常用和安全的。
(1)升级电子邮件软件雷鸟到1.1以上。
首
先建议您将电子邮件软件雷鸟(Thunderbird)到1.1以上,在雷鸟 1.1
版本中实现的新功能包括实现了防止网钓(phishing)攻击警告系统。在新的Thunderbird
功能里,当使用者点选电子邮件里疑似网钓的URL (网址)时,侦测器会在网页打开之前以对话框提醒使用者,Gemal
写道。当网址内有数字型的IP位址而不是用域名名(domain name),或者URL
和文字链结里所显示的网络地址不一样时,侦测器就会启动。见面见图2。
另
外也可以通过一个SPF插件防范网络钓鱼,下载链接:
sve.tgz
。安装SPF插件后当用户点击网络钓鱼邮件中的链接时,雷鸟的SPF插件将检测这一地址或者链接文字与实际地址不相符时都将发出警告,并弹出警告对话框提
醒用户。工作界面见图3。
(2)关闭雷鸟的预览面板
许
多网络钓鱼邮件只需要在电子邮件收发程序的预览面板中显示就能侵入你的计算机。因此我们建议用户关闭收件箱的预览面板。在Mozilla
雷鸟中,打开“Layout ” ->,清除““Messages pane”复选框(或者使用“F8”快捷键关闭预览面板),见图4。
许多网络钓鱼邮件都是通过HTML代码来达到其不可告人的目的,因此如果你以纯文本方式阅读这些邮件就会让它们无计可施。在Mozilla 雷鸟中,选择“view” ->“Message body As” -> “Plain text”复选框。见图5。
(4)不要把字符Unicode编码
Unicode编码有安全性的漏洞,这种编码本身也给识别网址带来了不便,所以不要把雷鸟的字符集设置为Unicode编码。
2.浏览器防范网络钓鱼的设置
(1)增强火狐(Firefox)的安全性。
火狐是Linux下最佳浏览器,当然火狐也存在一些安全隐患。丹麦安全产品开发商Secunia于7月30日公开了Web浏览器“Mozilla”与“Mozilla Firefox”的安全漏洞。
如果恶意使用安全漏洞,可以伪装地址栏、工具栏、SSL对话框等用户界面。可伪装的不仅是地址栏,还有工具栏、表示进行SSL通信的加密标记等,甚至可以伪装点击加密标记后所显示的数字证书。
Secunia 提出的对策是“不要点击不可靠的网站链接”,“不要随便输入个人信息”,一定要记住:眼见不一定为实。升级到最新版本可以消除这些安全隐患。另外,将 java script设为无效也可防止伪装。另外网络钓鱼者在用户输入数据后,还可以通过巧妙的java script脚本来迷惑用户。
仿 冒的站点提供了很多银行的连接,这样就给人以可信的感觉,实际上也是一种社会工程学的暗示。用户输入账号信息后,钓鱼者可能就在后面窃喜了,因为,网站早 已通过巧妙的脚本设计,使用户相信自己的数据确实得到了更新。要想对网站禁用java script,必须下载并安装插件NoScript,它由Giorgio Maone开发。
用Firefox浏览网页时,如果页面中使用了java script,NoScript将会在Web页面下方显示一个警告栏。单击这个警告栏可以对这个网站上的脚本进行控制,既可以是暂时的也可以是永久的,另外还能对脚本进行禁用或者其他操作。
这 个程序还可以禁用Flash动画或者其他Firefox插件。NoScript是免费软件,官方网站是:http: //。下载链接:http: //releases.mozilla.org/pub/mozilla.org/extensions/noscript/noscript-1.1.3.4-fx+fl+mz.xpi , NoScript配置界面见图6。
2004 年互联网服务厂商Netcraft已经发布了它自己的火狐安全工具插件。这款插件能够帮助Firefox 用户免受钓鱼式欺诈攻击。Netcraft Toolbar能够封杀由其他用户报告的钓鱼式欺诈网站。Netcraft去年12月份发布了的Netcraft Toolbar 目前,被发现和封杀的钓鱼式欺诈攻击网站达到了7000多个。
除了封杀钓鱼式攻击网站外,Netcraft Toolbar还包括能够帮助用户在上网时更注重安全的其它功能。例如,它能够对网站的危险性“打分”,显示有关网站的访问量和网站所在国家的信息。 Netcraft Toolbar还能够根据使用的字符“诱捕”可疑的网站,强制显示浏览器的导航按钮,打击企图隐藏这些按钮的弹出式窗口。
Netcraft Toolbar能够在火狐支持的所有操作系统(Linux、BSD、Windows、MaC)上运行,用户可以免费从Netcraft的网站上下载这款工 具条。 官方网址是:http://,下载链接:http: //freebsd.ntu.edu.tw/mozilla/extensions/netcrafttoolbar/netcrafttoolbar-1.1.1.1-fx.xpi ,Netcraft Toolbar安装文件是:netcrafttoolbar-1.1.1.1.xpi。在浏览器的菜单中选择文件-打开文件-然后选择你要安装的XPI扩 展插件文件。
稍后就可以看到浏览器会询问你是否要安装这个插件,点击“是”即可, 这样做是为了安全,因为默认情况下,你无法从任何网站安装插件。另外注意新安装的插件必须在重启浏览器后才能生效(关闭所有的浏览器窗口,包括扩展,主题 等窗口)。Netcraft Toolbar工作界面见图7。
图7 Netcraft Toolbar工作界面
三、其他方面
1.个人的责任
针对网络钓鱼的性质,往往是为了获取和电子商务有关的账号密码,进而获取一些经济利益,因此我们应该从3个方面养成一个良好的习惯。
(1)妥善选择和保管密码
密码应避免与个人资料有关系,不要选用诸如身份证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式,以提高密码破解难度。尽量避免在不同的操作系统使用同一密码,否则密码一旦遗失,后果将不堪设想。黑客们经常用一些常用字来破解密码。
曾 经有一位美国黑客表示,只要用“password”这个字,就可以打开全美多数的计算机。其它常用的单词还有:account、ald、alpha、 beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、 ok、okay、please、sex、secret、superuser、system、test、work、yes等