本页使用了标题或全文手工转换

钓鱼式攻击

维基百科,自由的百科全书
跳转至: 导航搜索
一個假裝成來自某(虛構)銀行官方電子郵件的網釣電子郵件範例。發件人透過要求收件人在網釣站點“確認”其身分試圖騙取其保全信息。注意received與discrepancy兩字的拼寫錯誤。這種錯誤在大部分網絡網釣電子郵件十分常見。[來源請求]

釣魚式攻擊(Phishing,與釣魚的英語fishing發音一樣,又名「網釣法」或「網路網釣」,以下簡稱網釣)是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。這些通信都聲稱(自己)來自於風行的社交網站(YouTubeFacebookMySpace)、拍賣網站(eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎互聯網服務供應商、公司機關),以此來誘騙受害人的輕信。網釣通常是透過e-mail或者即時通訊進行[1]。它常常導引用戶到URL介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例[2]。它憑恃的是現行網路安全技術的低親和度。[3]種種對抗日漸增多網釣案例的嘗試涵蓋立法層面、用戶培訓層面、宣傳層面、與技術保全措施層面。

網釣技術最早於1987年問世,而首度使用“網釣”這個術語是在1996年。該辭是英文單詞釣魚(fishing)的變種之一[4],大概是受到“飛客”(phreaking)一詞影響[5][6],意味著放線釣魚以「釣」取受害人財務資料和密碼。

網釣的歷史與現狀[编辑]

網釣技術早在1987年,以論文與簡報的方式描述交付給Interex系統下的國際惠普用戶組[7]。第一次提到“網釣”這個術語是在1996年1月2日於alt.online-service.America-online Usenet新聞群組[8],雖然該術語可能在駭客雜誌2600書面版本上更早出現。[9]

早期在AOL的網釣[编辑]

美國在線(AOL)的網釣與交換盜版軟件warez社群密切相關。自從AOL於1995年底採取手段防止利用演算法產生的偽造信用卡號來開立帳號後,AOL破解者便訴諸網釣以取得合法帳號。[10]

網釣者可能喬裝成AOL的工作人員,並對可能的受害者發送即時通訊,詢問此人揭露其密碼。[11]為了引誘受害者讓出其個人敏感資料,通信內容不可避免的有類似「確認您的帳號」(verify your account)或者「核對您的帳單資訊」(confirm billing information)。一旦發現受害人的密碼,攻擊者可以獲取並利用受害人的帳戶進行詐欺之用或發送垃圾郵件。網釣和warez兩者在AOL一般需要自行開發應用程式,像AOHell即是一例。由於在AOL上網釣變得如此普遍,該公司在其所有即時通訊上加了一行聲明:「不會有任何AOL員工會詢問您的密碼或者帳單資訊。(No one working at AOL will ask for your password or billing information)」。

1997年年後,AOL注意到網釣與Warez並更加緊縮其政策施行,以強迫盜版軟件與AOL伺服器絕緣。AOL另一方面開發一種可立即停用與網釣掛勾帳號的系統,這常常在受害人可回應之前就達成了。在AOL的warez後台關閉導致大部分網釣者離開該服務,許多網釣者通常是年輕十幾歲的青少年,他们長大後就戒除了這種壞習慣[12]

從AOL到金融機構的轉型[编辑]

捕獲的AOL帳戶信息可能導致網釣攻擊者濫用信用卡信息,而且這些駭客認識到,攻擊在線支付系統是可行的。第一次已知直接嘗試對付支付系統的攻擊是在2001年6月,影響系統為E-gold,該事件發生後緊跟在九一一袭击事件之後不久的「後911身分檢查」。[13]當時的這兩個攻擊都被視為失敗之作,不過現在可將它們看作是對付油水更多主流銀行的早期實驗。到了2004年,網釣被認為是經濟犯罪完全工業化的一部分:專業化在全球市場出現,它提供了找錢的基本組件,而這組件被拼裝成最後完美的攻擊。[14][15]

近來網釣的攻擊[编辑]

從2004年10月到2005年6月網釣報告的圖表顯示網釣有增加的趨勢

網釣者目標是針對銀行和在線支付服務的客戶。理應來自於美國國稅局(Internal Revenue service)電子郵件,已被用來收集來自美國納稅人的敏感資料。[16]雖然第一次這樣的例子被不分青皂白的寄送,其目的是期望某些收到的客戶會洩漏其銀行或者服務資料,而最近的研究表明網釣攻擊可能會基本上確定潛在受害者會使用哪些銀行,並根據結果遞送假冒電子郵件。[17]有針對性的網釣版本已被稱為魚叉網釣(spear phishing)。[18]最近幾個網釣攻擊已經具體指向高層管理人員,以及其他企業大戶,而術語「鯨釣」(whaling)一辭被創造出來描述這類型的攻擊。[19]

社交網站是網釣攻擊的目標,因為在這些網站的個人資料明細可以用於身份盜竊;[20]2006年年底一個電腦蠕虫接管MySpace上的網頁,並修改連結以導引該網站的網民到設計好竊取登錄信息的網站。[21]實驗表明,針對社交網站的網釣成功率超過70%。[22]

幾乎有一半的網釣竊賊於2006年被確認是透過位於聖彼得堡俄羅斯商業網路集團所操控。[23]

網釣技術[编辑]

鏈接操控[编辑]

大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的鏈接(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子裡,http://www. 您的銀行.範例.com/,網址似乎將帶您到「您的銀行」網站的「範例」子網域;實際上這個網址指向了「範例」網站的「您的銀行」(即網釣)子網域。另一種常見的伎倆是使錨文本鏈接似乎是合法的,實際上連結導引到網釣攻擊站點。下面的連結範例:誠實,似乎將您導引到條目「誠實」,點進後實際上它將帶你到條目「謊言」。

另一種老方法是使用含有'@'符號的欺騙鏈接。原本這是用來作為一種包括用戶名和密碼(與標準對比)的自動登入方式。[24]例如,鏈接http://www.google.com@members.tripod.com/可能欺騙偶然造訪的網民,讓他認為這將打開www.google.com上的一個網頁,而它實際上導引瀏覽器指向members.tripod.com上的某頁,以用戶名www.google.com。該頁面會正常開啟,不管給定的用戶名為何。這種網址在Internet Explorer中被禁用,[25]Mozilla Firefox[26]Opera會顯示警告訊息,並讓用戶選擇繼續到該站瀏覽或取消。

還有一個已發現的問題在網頁瀏覽器如何處理國際化域名International Domain Names,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。儘管人盡皆知該稱之為的IDN欺騙[27]或者同形異義字攻擊[28]的漏洞,網釣者冒著類似的風險利用信譽良好網站上的網域名稱轉址服務來掩飾其惡意網址。[29][30][31]

過濾器規避[编辑]

網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣電子郵件中常用的文字。[32]

網站偽造[编辑]

一旦受害者訪問網釣網站,欺騙並沒有到此結束。一些網釣詐騙使用JavaScript命令以改變位址欄[33]這由放一個合法網址的地址欄圖片以蓋住位址欄,或者關閉原來的地址欄並重開一個新的合法的URL達成。[34]

攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。[35]這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這裡從網絡位址安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞於2006年曾被用來對付PayPal[36]

還有一種由RSA信息安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的界面讓網釣者以令人信服地重製網站,並捕捉用戶進入假網站的登錄細節。[37]

為了避免被反網釣技術掃描到網釣有關的文字,網釣者已經開始利用Flash構建網站。這些看起來很像真正的網站,但把文字隱藏在多媒體對象中。[38]

電話網釣[编辑]

並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。[39]一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織。[40]

WIFI免費熱點網釣[编辑]

網路駭客在公共場所設定一個假Wi-Fi熱點,引人來連線上網,一旦使用者用個人電腦或手機,登入了駭客設定的假Wi-Fi熱點,那麼個人資料和所有隱私,都會因此落入駭客手中。你在網路上的一舉一動,完全逃不出駭客的眼睛,更惡劣的駭客,還會在別人的電腦裡安裝間諜軟體,如影隨形。[41]

隱蔽重定向漏洞[编辑]

2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的"隱蔽重定向漏洞"(英语Covert Redirect)][42][43]

攻擊者創建壹個使用真實站點地址的彈出式登錄窗口——而不是使用壹個假的域名——以引誘上網者輸入他們的個人信息[44][45]

黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站鏈接引誘用戶登錄釣魚網站,壹旦用戶訪問釣魚網站並成功登陸授權,黑客即可讀取其在網站上存儲的私密信息[46][47]

網釣的例子[编辑]

PayPal網釣[编辑]

一個PayPal網釣郵件的抓圖

PayPal網釣範例裡(見右),電子郵件裡的拼寫錯誤以及非PayPal網域鏈接的存在(顯示在狀態列紅色框裡)都是線索,指出這是一個網釣的企圖。另一種網釣法是無個人問候的贈品,儘管顯示的個人資料並不保證其正當性。一個合法的PayPal通信總是以用戶的真實姓名問候,而非一個普通的問候如:“敬啟者”、“親愛的用戶”(Dear Accountholder)。其他的信息欺詐的跡象像是簡單不過的字拼寫錯誤、文法拙劣、以及威脅收信人若不遵照信息指示辦理的話會遭帳號停用的處分。

請注意,許多網絡網釣電子郵件會如同來自PayPal的一封真正的電子郵件般包括一則永不將您的密碼洩漏以防網釣攻擊的重大警告。這些警告用戶網釣攻擊的可能性,並提供鏈接到說明如何避免或辨識此種攻擊的網站的種種,是使得該網釣電子郵件如此虛偽以便欺騙。在這個例子裡,網釣電子郵件警告用戶,PayPal絕對不會要求您提供敏感信息。該信件言而有信不問您敏感信息,反而邀請用戶點擊一個鏈接,以“確認”其帳戶;這一步將導引這些受害人進一步造訪網釣網站,其設計看起來與PayPal網站很像。而在那裡會問這些受害人的個人機密資訊。

RapidShare網釣[编辑]

RapidShare的網頁主機,網釣是相當尋常以獲得高級帳號的手段,從而移除下載速度限制、上傳自動刪除、下載前等候、以及下載間的時間間隔。

網釣者使用在warez站張貼到檔案的連結以獲得RapidShare高級帳戶。然而,利用連結別名工具如TinyURL,他們可以偽裝成實際上真正網頁寄存在別的地方的網址,而這網頁與RapidShare的「免費用戶或高級用戶 (free user or premium user)」頁看來很像。如果受害人選擇免費用戶,網釣者只是將它們傳遞給真正的RapidShare網站。但是,如果他們選擇的高級帳戶,那麼網釣網站的將在他們進行下載之前登記其登入信息。到此階段,網釣者已從受害者偷走了高級帳戶信息。

釣來的RapidShare帳戶通常拿來轉賣,售價比RapidShare的高級帳戶便宜。

鑑別一個RapidShare網釣網頁的最簡單方式是使用Mozilla Firefox,右擊別名頁,並選擇“This Frame”>“Show only this frame”。這將揭露真正的網頁,您可以看到網址將不是rapidshare.com。

網釣造成的損失[编辑]

網釣所造成的損害範圍從拒絕訪問電子郵件到鉅大財務損失都有。這種形式的身份盜竊正在普及,因為給信任的人方便往往洩露個人信息給網釣者,這些信息包括信用卡號碼社會安全號碼(美國)、身分證號碼(台灣)、和母親婚前姓名。也有人擔心身份竊賊僅僅透過存取公開紀錄就可以添加此類信息到它們取得的知識庫中。[48]一旦這信息被取得了,網釣者可能會利用個人資料明細以受害者姓名創造假帳號。然後他們可以毀掉受害者的信用,或者甚至讓受害人無法存取自己的帳戶。[49]

據估計,從2004年5月和2005年5月,大約120萬電腦用戶在美國遭受網釣所造成的損失,總計約92900萬美元。隨著為美國企業的客戶成為受害者,該國企業估計每年損失20億美元。[50] 2007年網釣攻擊升級。截至2007年8月前在美國360萬成年人於12個月內失去32億美元。[51]在英國,網絡銀行詐騙的損失—大多來自網釣—幾乎增加了一倍從2004年1220萬英鎊到2005年2320英鎊,[52]而在2005年,每20個電腦用戶中就有一個聲稱因網釣造成的財務損失。[53]

英國銀行機構APACS採取的立場是:「客戶還必須採取合理的預防措施...,如此對罪犯而言他們才不會好欺負。」[54]同樣,2006年9月當第一次大量的網釣攻擊登陸愛爾蘭銀行業界時,愛爾蘭銀行起初拒絕補償客戶所遭受的損失(而且它仍然堅持認為,它的政策不應如此[55]),雖然會補償損失的金額上限定調為1萬1300英鎊還算不錯。[56]

反網釣[编辑]

打擊網釣攻擊有許多不同的技術,包括設立專門的技術和立法以防範網釣。

社會迴響[编辑]

打擊網釣的策略之一,是試著培養人們辨識網釣,並教導怎樣處理這些問題。教育可以是有效的,尤其是訓練提供直接的回饋。[57]一個被稱為叉網釣—利用網絡網釣電子郵件針對特定的公司—的較新網釣手法,已被用來迷惑在社會各個角落的人士,包括西點軍校。在2004年6月叉網釣的一次實驗中,收到假電子郵件的500名西點軍校學員中有80%被騙並洩露個人信息。[58]

人們可以採取措施以避免網釣的企圖,以稍稍修改其瀏覽習慣的方式。當接觸某要求您“核對身分”(或任何其他網釣所使用的信件要旨)的信件或帳號時,明智之舉是與該信件明顯來源公司聯絡以檢查該電子郵件是否合法。另外,個人所知道地址是該公司的真正的網站,可透過在瀏覽器網址欄輸入拜訪,而不是盲目相信任何涉嫌詐騙郵件裡的超連結[59]

幾乎所有從公司到其客戶的合法電子郵件都起碼包含一項資訊是網釣者手頭沒有的。有些公司,例如PayPal,總是在其電子郵件中以客戶使用者名稱稱呼其客戶,依此類推,如果一封電郵的收件人是以通用格式稱呼(如“親愛的PayPal客戶”)很可能是企圖在網釣。[60]從銀行和信用卡公司來的電子郵件往往包括賬戶號碼的部分。然而,最近的研究[61]顯示,大眾通常不區分帳號頭幾個數字和尾幾個數字,這是一個很嚴重的問題,因為頭幾個數字通常一個金融機構的所有客戶都相同。人們可以接受訓練來當如果郵件不包含任何具體的個人信息時提高他們的懷疑。不過,在2006年年初,網釣企圖利用個人化的信息,這使得列明個人信息保證郵件是合法的假設不安全。[62]此外,另一項最近的研究報告推斷列明個人信息並不顯著的影響網釣攻擊的成功率,[63]這表明大多數人並不注意這些細節。

一個行業和執法機構組成的反網釣工作組Anti-Phishing Working Group,簡稱APWG)建議,隨著人們越來越認識到網釣者所使用的社會工程學技倆,傳統的網釣欺詐技術可能在未來過時。[64]他們預測,網址嫁接和其他利用流氓軟件將變成竊取信息的常見工具。

技術對策[编辑]

反網釣措施已經實現將其功能內嵌於瀏覽器,作為瀏覽器的擴展或工具欄,以及網站的登錄程序的一部分。下面是一些解決問題的主要方法。

協助辨識合法網站[编辑]

大多數網釣盯上的網站都是保全站點,這意味著的SSL強加密用於伺服器身份驗證,並用來標示在該網站的網址。理論上,利用SSL認證來保證網站到用戶端是可能的,並且這個過去是SSL第二版設計要求之一以及能在認證後保證保密瀏覽。不過實際上,這點很容易欺騙。

表面上的缺陷是瀏覽器的保全使用者介面 (UI)不足以應付今日強大的威脅。透過TLS與證書進行保全認證有三部分:顯示連線在授權模式下、顯示使用者連到哪個站、以及顯示管理機構說它確實是這個站點。所有這三個都需齊備才能授權,並且需要被/送交用戶確認。

安全連線:從1990年代中期到2000年代中期安全瀏覽的標準顯示是個鎖頭,而這很容易被用戶忽略。Mozilla於2005年使用黃底的網址欄使得安全連線較容易辨認。不幸的是,這個發明後來被撤銷,導因於EV證書:它代以對某些高價的證書顯示綠色,而其他的證書顯示藍色 (譯按:Mozilla Firefox 3.x版非EV證書的安全瀏覽網站皆顯示藍色)。

哪個站:用戶應該確認在瀏覽器的網址欄的網域名稱是實際上他們要訪問的地方。網址可能是過度複雜而不容易從語法上分析。用戶通常不知道或者不會鑑別他們想要連結的正確網址,故鑑定真偽與否變得無意義。[3]有意義的伺服器認證條件是讓伺服器的識別碼對用戶有意義;而許多電子商務網站變更其網域名成為他們整體網站組合的其中之一 (譯按:極端例子像 化妝零售部A.百貨B.行銷公司C.電視台D.com這樣子網域的架構),這種手段讓困惑的機率增大。而一些反網釣工具條僅顯示訪問過網站[65]域名的做法是不夠的。

另一種替代方法是Firefox的寵物名(petname)附加元件,這讓用户鍵入他們自己的網站標籤,因此他們可以在以後再度造訪該站時認出。如果站點沒有被認出,则軟件會警告用戶或徹底阻攔該站點。這代表了以用戶為中心的服務器身份管理[66]。某些人建議用戶選定的圖像會比寵物名效果要好[67]

隨著EV證書的出現,瀏覽器一般以綠底白字顯示機構名稱,這讓用戶更加容易辨識并且與用戶期望一致。不幸的是,瀏覽器供應商選擇僅限定EV證書可獨享這突出的顯示,其他種證書就留待用戶自己自求多福了。

誰是管理機構:瀏覽器需要指出用戶要求連到對象的管理機構是誰。在保全等級最低的階段,不指名管理機構,因此就用戶而言瀏覽器就是管理機構。瀏覽器供應商透過控制可接受的授權證書(Certification Authorities,簡稱/下稱CA)根名單來承擔這個責任。這是目前的標準做法。

這裡的問題是不管瀏覽器供營商如何企圖控制質量,市面上CA品質良莠不齊亦不實施檢查。亦不是所有簽署CA的公司行號取得該證書仅是為了認證電子商務组织的同一個模型和概念而已。製造證書(Certificate Manufacturing)是頒給只用來遞送信用卡與電子郵件送達確認的低交易額證書;這兩者的用途都容易受到詐騙罪犯的扭曲。由此引申,一個高交易額的網站可能容易受到另一個可提供的CA認證蒙混。這種情況可能會在CA位於世界的另一端,並且對高交易額電子商務站不熟悉,或者用戶根本就不關心這件事。因為CA只負責保障它自己的客戶,並不會管其他CA的客戶,故這個漏洞在該模型是根深蒂固的。

對此漏洞的解決方案是瀏覽器應該显示,并且用戶應該熟悉管理機構之名。這把CA當作是種品牌呈現,並且讓用戶知悉在其所在國家和區段之內可聯絡到少數幾個CA。品牌的使用亦對CA供應商至關重要,藉此刺激它們改進證書的稽核:因為用戶將知悉品牌差異並要求高交易額站點具備周延的檢查。

本解決方案首度於早期IE7版本上實現。在當其顯示EV證書時,發佈的CA會被顯示在網址區域。[68]然而這只是個孤立的案例。CA烙上瀏覽器面板仍存在阻力,導致只有上面所提最低最簡單的保全等級可選:瀏覽器是用戶交易的管理機構。

安全瀏覽的保全模型基礎漏洞[编辑]

改进保全使用者介面的試驗為用戶帶來便利,但是它也暴露了安全模型裡的基本缺陷。過去在安全瀏覽中沿用之SSL認證失效的根本原因有許多種,它們之間縱橫交錯。

在威脅之前的保全:由于安全瀏覽發生在任何威脅出現之前,保全顯示在早期瀏覽器的「房地產戰爭」裡被犧牲掉了。網景瀏覽器的原始設計有個站點名稱暨其CA名稱的突出顯示。用戶現在常常習慣根本不檢查保全信息。

點擊通過綜合症:然而,瀏覽器對設定錯誤站點的警告繼續,它並未被降低等級。如果證書本身有錯(像域名匹配錯誤、過期等等),则瀏覽器一般都會彈出窗口警告用戶。就是因為設定錯誤太過尋常,用戶學會繞過警告。目前,用戶習慣同樣的忽略所有警告,導致點擊通過綜合症。例如,Firefox 3有個點擊4次以加入例外網站的程序,但是研究顯示老練的用戶會忽略有中間人攻擊Man-In-The-Middle,簡稱MITM)的真正情況。即使在今天,因为绝大多數的警告是錯誤設定而非真正的中間人攻擊,要避免點擊通過綜合症是相當困難。

缺乏興趣:另一個潛在因素是缺乏虛擬主機的支持。具體起因是缺乏對在傳輸層安全(Transport Layer Security,簡稱/下稱TLS)網絡服務器之伺服器名指示(Server Name Indication,簡稱/下稱SNI)的支持,以及獲取證書費用和不便。結果是證書使用是太過罕見以至于除了特殊情况外它什麼事都不能做。這導因對TLS認證普遍知識與資源缺乏,反過來意味着由瀏覽器供營商升級他們安全性使用者介面的過程將是又慢又死氣沉沉。

横向联系:瀏覽器的安全模型包括許多參與者如:用戶、瀏覽器供營商、開發商、證書管理機構、審計員、網絡服務器供營商、电子商务站点、立法者(即FDIC)和安全标准委员会。介於不同制定安全模型小組間缺乏往來溝通。也就是說,雖然對認證的理解在IETF委員會協議水平是很夠深的,這個信息並不表示傳達得到使用者介面小組。網路服務器供應商並不會優先修正伺服器名指示(TLS/SNI):它們不把這個問題當成保全修正,反而視其為新功能而推遲。實際上,所有的參與者碰到網釣出事時皆諉過給其他參與者,因此自我本身不會被排上優先修正行列。

這情況隨著一個包含瀏覽器供應商、審計員、以及證書管理機構的團體:CAB論壇推出有了一點改善。但是該團體並不是以開放的態度開始,因此導致其結果受到主要大戶商業利益的影響,而且缺乏對所有參與者平等對待。即使在今天,CAB論壇並不開放,而且它不為小型證書管理機構、終端用戶、電子商務站主等等弱勢族群喉舌。

標準高壓封鎖:供營商對標準負責,导致當談到安全時就是談論其外包的結果。雖然有許多安全性用戶介面的改進,當中有有許多好的實驗,因為他們不是標準,或者與標準間相牴觸而未被採用。威脅模型可能在一個月內自我更新;安全標準調整需要大约10年。

令人敬畏的CA模型:瀏覽器供營商使用的CA控制机制本質上並沒有更新;而威脅模型卻常常翻修。对CA品質控管過程不足以對保護用戶量身訂做、以及針對實際與當前的威脅做出因應。在更新途中審計過程是迫切需要的。最近EV指南較詳細地提供了當前模型,并且建立了一個好基準,但是並沒有推動任何本質上急需進行的改變。

瀏覽器提醒用戶欺詐網站[编辑]

還有一種打擊網釣的流行作法是保持一份已知的網釣網站名單,並隨時更新。微軟的IE7的瀏覽器Mozilla Firefox 2.0、和Opera都包含這種類型的反網釣措施。[69][70][71] Firefox 2中使用Google反網釣軟件。Opera 9.1使用來自PhishTankGeoTrust的黑名單,以及即時來自GeoTrust的白名單。這個辦法的某些軟體實現會發送訪問過的網址到中央服務器以供檢查,這種方式引起了個人隱私的關注。[72]據Mozilla基金會在2006年年底報告援引一項由某獨立軟件測試公司的研究指出,Firefox 2被認為比Internet Explorer 7發現詐欺性網站更為有效。[73]

在2006年年中一種方法被倡議實施。該方法涉及切換到一種特殊的DNS服務,篩選掉已知的網釣網域:這將與任何瀏覽器相容,[74]而且它使用類似利用Hosts文件來阻止網絡廣告的原理來達成目標。

為了減輕網釣網站透過內嵌受害人網站的圖像(如商標)藉以冒充的問題,一些網站站主改變了圖像傳送訊息給訪客,某個網站可能是騙人的。圖像可能移動成新的檔名並且原來的被永久取代,或者一台服務器能偵測到的某圖像在正常瀏覽情況下是不會被請求到,進而送出警告的圖像。[75][76]

增加密碼登錄[编辑]

美國銀行的網站[77][78]是眾多要求用戶選擇的個人圖像、並在任何要求輸入密碼的場合顯示該用戶選定圖片的網站之一。該銀行在線服務的用戶被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而,最近的一項研究表明僅有少數用戶在圖像不出現時不會鍵入他們的密碼。[79][80]此外,此功能(像其他形式的雙因素認證)對其他攻擊較脆弱,如2005年年底斯堪的納維亞諾爾迪亞銀行案,[81]與2006年的花旗銀行案。[82]

保全外殼[83][84]是一種相關的技術,涉及到使用用戶選定的圖片覆蓋上登錄表單作為一種視覺提示以表明該表單是否合法。然而,不像以網站為主的圖像體系,圖像本身是只在用戶和瀏覽器之間共享,而不是用戶和網站間共享。該體系還依賴於相互認證協議,這使得它更不容易受到來自侵襲只認證用戶體系的攻擊。

消除網釣郵件[编辑]

專門的垃圾郵件過濾器可以減少一些網釣電子郵件到達收件人的收件箱。這些方法依賴於機器學習自然語言處理辦法來分類網釣電子郵件。[85][86]

監測和移除[编辑]

有幾家公司提供銀行和其他可能受到網釣詐騙的組織全天候的服務、監測、分析和協助關閉網釣網站。[87]個人可以透過檢舉網釣到志願者和產業集團,[88]PhishTank以做出貢獻。[89]

法律對策[编辑]

在2004年1月26日,美國聯邦貿易委員會提交了涉嫌網釣者的第一次起訴。被告是個美國加州少年,據說他設計建造了一個網頁看起來像美國在線網站,並用它來竊取信用卡資料。[90]其他國家援引了這一判例追蹤並逮捕了網釣者。網釣大戶瓦爾迪爾·保羅·迪·阿爾梅達在巴西被捕。他領導一個最大的網釣犯罪幫派,在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。[91]英國當局在2005年6月收押兩名男子以其在一項網釣欺詐活動扮演的腳色,[92]而這宗案子與美国特勤处《防火牆行動》 (Operation Firewall,目標是當時最大最惡名昭彰的信用卡盜竊網站)有關。[93]2006年8人在日本被逮捕,日本警方懷疑他們透過假造雅虎日本網站網釣進行欺詐,保釋賠款1億日元(87萬美元)。[94]2006年美國聯邦調查局逮捕行動繼續,以代號《保卡人行動》 (CardKeeper)在美國與歐洲扣押了一個16人的幫派。[95]

在美國,參議員派崔克·萊希(Patrick Leahy)在2005年3月1日向美國國會提審2005反網釣法案。這項法案,如果它已成為法律,將向建立虛假網站、發送虛假電子郵件以詐欺消費者的罪犯求處罰款高達25萬美元並且可監禁長達5年。[96]英國在2006年以《2006年欺詐罪法令》(Fraud Act 2006)強化了其打擊仿冒欺詐的法律武器,[97]該法令採用一般欺詐罪,可求刑監禁多達10年,並禁止開發或意圖欺詐下擁有網釣軟體包。[98]

許多公司也加入全力打擊網釣的行列。2005年3月31日,微軟向美國華盛頓西部地方法院提交117起官司。這起訴訟指控“無名氏”的被告非法取得的密碼信息和機密信息。2005年3月微軟和澳大利亞政府間合作,向執法人員教學如何打擊各種網絡犯罪,包括網釣。[99]在2006年3月,微軟宣布計劃進一步在美國境外地區起訴100案件,[100]隨後該公司信守承諾,截至2006年11月之前,共起訴了129件混合刑事和民事行動的犯罪案件。[101]美國在線亦加強其打擊網釣的努力[102],在2006年早期根據維吉尼亞計算機犯罪法2005年修訂版[103][104]起訴三起[105]共求償1800萬美元,而Earthlink已加入幫助確定6名男子在康涅狄格州的案子,這6名人士稍後被控以網釣欺詐。[106]

2007年1月,傑弗瑞·布雷特·高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第一位依此法被定罪的被告。他被判犯下對美國在線的用戶發送成千上萬的電子郵件,並喬裝成AOL的會計部門以催促客戶提交個人和信用卡資料的罪行。面對反垃圾郵件法的101年關押以及其他數十個包括詐欺、未經授權使用信用卡、濫用AOL的商標,這部分他被判處70個月監禁。因為沒有出席較早的聽證會,高汀已被拘留,並立即開始入監服刑。[107][108][109][110]

參見[编辑]

參考資料[编辑]

  1. ^ Tan, Koon. Phishing and Spamming via IM (SPIM). Internet Storm Center. [2006-12-05]. 
  2. ^ Microsoft Corporation. What is social engineering?. [2007-08-22]. 
  3. ^ 3.0 3.1 Jøsang, Audun et al.. Security Usability Principles for Vulnerability Analysis and Risk Assessment.. Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07). [2007]. 
  4. ^ Spam Slayer: Do You Speak Spam?. PCWorld.com. [2006-08-16]. 
  5. ^ "phishing, n." OED Online, March 2006, Oxford University Press.. Oxford English Dictionary Online. [2006-08-09]. 
  6. ^ Phishing. Language Log, September 22, 2004. [2006-08-09]. 
  7. ^ Felix, Jerry and Hauck, Chris. System Security: A Hacker's Perspective. 1987 Interex Proceedings. 1987年9月, 1: 6. 
  8. ^ "phish, v." OED Online, March 2006, Oxford University Press.. Oxford English Dictionary Online. [2006-08-09]. 
  9. ^ Ollmann, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. [2006-07-10]. 
  10. ^ Phishing. Word Spy. [2006-09-28]. 
  11. ^ Stutz, Michael. AOL: A Cracker's Paradise?. Wired News. 1998年1月29日. 
  12. ^ History of AOL Warez. [2006-09-28]. 
  13. ^ GP4.3 - Growth and Fraud - Case #3 - Phishing. Financial Cryptography. 2005年12月30日. 
  14. ^ In 2005, Organized Crime Will Back Phishers. IT Management. 2004年12月23日. 
  15. ^ The economy of phishing: A survey of the operations of the phishing market. First Monday. 2005年9月. 
  16. ^ Suspicious e-Mails and Identity Theft. 美國國稅局. [2006-07-05]. 
  17. ^ Phishing for Clues. 印第安那大學布魯明頓校區. 2005年9月15日. 
  18. ^ What is spear phishing?. Microsoft Security At Home. [2006-07-10]. 
  19. ^ Goodin, Dan. Fake subpoenas harpoon 2,100 corporate fat cats. The Register. 2008年4月17日. 
  20. ^ Kirk, Jeremy. Phishing Scam Takes Aim at MySpace.com. IDG Network. 2006年6月2日. 
  21. ^ Malicious Website / Malicious Code: MySpace XSS QuickTime Worm. Websense Security Labs. [2006-12-05]. 
  22. ^ Tom Jagatic and Nathan Johnson and Markus Jakobsson and Filippo Menczer. Social Phishing (PDF). To appear in the CACM (October 2007). [2006-06-03]. 
  23. ^ Shadowy Russian Firm Seen as Conduit for Cybercrime, Brian Krebs, 華盛頓郵報,於2007年10月13日查閱
  24. ^ Berners-Lee, Tim. Uniform Resource Locators (URL). IETF Network Working Group. [2006-01-28]. 
  25. ^ Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. [2005-08-28]. 
  26. ^ Fisher, Darin. Warn when HTTP URL auth information isn't necessary or when it's provided. Bugzilla. [2005-08-28]. 
  27. ^ Johanson, Eric. The State of Homograph Attacks Rev1.1. The Shmoo Group. [2005-08-11]. 
  28. ^ Evgeniy Gabrilovich and Alex Gontmakher. The Homograph Attack. Communications of the ACM. 2002-02,. 45(2): 128. 
  29. ^ Leyden, John. Barclays scripting SNAFU exploited by phishers. The Register. 2006年8月15日. 
  30. ^ Levine, Jason. Goin' phishing with eBay. Q Daily News. [2006-12-14]. 
  31. ^ Leyden, John. Cybercrooks lurk in shadows of big-name websites. The Register. 2007年12月12日. 
  32. ^ Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. [2006-07-10]. 
  33. ^ Mutton, Paul. Phishing Web Site Methods. FraudWatch International. [2006-12-14]. 
  34. ^ Phishing con hijacks browser bar. BBC News. 2004年4月8日. 
  35. ^ Krebs, Brian. Flaws in Financial Sites Aid Scammers. Security Fix. [2006-06-28]. 
  36. ^ Mutton, Paul. PayPal Security Flaw allows Identity Theft. Netcraft. [2006-06-19]. 
  37. ^ Hoffman, Patrick. RSA Catches Financial Phishing Kit. eWeek. 2007年1月10日. 
  38. ^ Miller, Rich. Phishing Attacks Continue to Grow in Sophistication. Netcraft. [2007-12-19]. 
  39. ^ Gonsalves, Antone. Phishers Snare Victims With VoIP. Techweb. 2006年4月25日. 
  40. ^ Identity thieves take advantage of VoIP. Silicon.com. 2005年3月21日. 
  41. ^ Wi-Fi假熱點 駭客竊旅客個資翁如玫.[2010-12-16]
  42. ^ Covert Redirect. Tetraph. 1 May 2014 [10 November 2014]. 
  43. ^ Facebook, Google Users Threatened by New Security Flaw. Yahoo. 2 May 2014 [10 November 2014]. 
  44. ^ 兩款互聯網登錄系統曝出重大漏洞 短期內或無法修復. 鳳凰網. 5月 03 2014. 
  45. ^ OAuth與OpenID登錄工具曝出重大漏洞. 網易. 5月 03 2014. 
  46. ^ Facebook, Google users threatened by new security flaw. FOX NEWS. 5 May 2014 [10 November 2014]. 
  47. ^ Nasty Covert Redirect Vulnerability found in OAuth and OpenID. The Hacker News. 3 May 2014 [10 November 2014]. 
  48. ^ Virgil Griffith and Markus Jakobsson. Messin' with Texas, Deriving Mother's Maiden Names Using Public Records. ACNS '05. [2006-07-07]. 
  49. ^ Krebs, Brian. Phishing Schemes Scar Victims. 華盛頓郵報. 2004年12月18日. 
  50. ^ Kerstein, Paul. How Can We Stop Phishing and Pharming Scams?. CSO. 2005年7月19日. 
  51. ^ McCall, Tom. Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks. Gartner. 2007年12月17日. 
  52. ^ UK phishing fraud losses double. Finextra. 2006年3月7日. 
  53. ^ Richardson, Tim. Brits fall prey to phishing. The Register. 2005年5月3日. 
  54. ^ Miller, Rich. Bank, Customers Spar Over Phishing Losses. Netcraft. [2006-12-14]. 
  55. ^ Latest News
  56. ^ Bank of Ireland agrees to phishing refunds – vnunet.com
  57. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). 科技報告CMU-CyLab-06-017, CyLab,卡内基梅隆大学. 2006年11月 [2006-11-14]. 
  58. ^ Bank, David. 'Spear Phishing' Tests Educate People About Online Scams. The Wall Street Journal. 2005年8月17日. 
  59. ^ Anti-Phishing Tips You Should Not Follow. HexView. [2006-06-19]. 
  60. ^ Protect Yourself from Fraudulent Emails. PayPal. [2006-07-07]. 
  61. ^ Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing.. USEC '06. 
  62. ^ Zeltser, Lenny. Phishing Messages May Include Highly-Personalized Information. The SANS Institute. 2006年3月17日. 
  63. ^ Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments. WWW '06. 
  64. ^ Kawamoto, Dawn. Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.. ZDNet India. 2005年8月4日. 
  65. ^ Brandt, Andrew. Privacy Watch: Protect Yourself With an Antiphishing Toolbar. PC World – Privacy Watch. [2006-09-25]. 
  66. ^ Jøsangm Audun and Pope, Simon. User Centric Identity Management. Proceedings of AusCERT 2005. [2008]. 
  67. ^ "Phishing - What it is and How it Will Eventually be Dealt With" by Ian Grigg 2005
  68. ^ "Brand matters (IE7, Skype, Vonage, Mozilla)" Ian Grigg
  69. ^ Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. [2006-05-20]. 
  70. ^ Bon Echo Anti-Phishing. Mozilla. [2006-06-02]. 
  71. ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows. 3Sharp. 2006年9月27日 [2006-10-20]. 
  72. ^ Two Things That Bother Me About Google’s New Firefox Extension. Nitesh Dhanjani on O'Reilly ONLamp. [2007-06-01]. 
  73. ^ Firefox 2 Phishing Protection Effectiveness Testing. [2007-01-23]. 
  74. ^ Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook. Dark Reading. [2006-10-08]. 
  75. ^ Krebs, Brian. Using Images to Fight Phishing. Security Fix. 2006年8月31日. 
  76. ^ Seltzer, Larry. Spotting Phish and Phighting Back. eWeek. 2004年8月2日. 
  77. ^ Bank of America. How Bank of America SiteKey Works For Online Banking Security. [2007-01-23]. 
  78. ^ Brubaker, Bill. Bank of America Personalizes Cyber-Security. 華盛頓郵報. 2005年7月14日. 
  79. ^ Stone, Brad. Study Finds Web Antifraud Measure Ineffective. 紐約時報. 2007年2月5日 [2007-02-05]. 
  80. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF). IEEE Symposium on Security and Privacy, May 2007. 2007年5月 [2007-02-05]. 
  81. ^ Phishers target Nordea's one-time password system. Finextra. 2005年10月12日. 
  82. ^ Krebs, Brian. Citibank Phish Spoofs 2-Factor Authentication. Security Fix. 2006年7月10日. 
  83. ^ Schneier, Bruce. Security Skins. Schneier on Security. [2006-12-03]. 
  84. ^ Rachna Dhamija, J.D. Tygar. The Battle Against Phishing: Dynamic Security Skins (PDF). Symposium On Usable Privacy and Security (SOUPS) 2005. 2005年7 [2007-02-05]. 
  85. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties. NYS Cyber Security Symposium. 2006年3月. 
  86. ^ Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails. Carnegie Mellon University Technical Report CMU-ISRI-06-112. 2006年6月. 
  87. ^ Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. [2006-07-06]. 
  88. ^ McMillan, Robert. New sites let users find and report phishing. LinuxWorld. 2006年3月28日. 
  89. ^ Schneier, Bruce. PhishTank. Schneier on Security. 2006年10月5日 [2007-12-07]. 
  90. ^ Legon, Jeordan. 'Phishing' scams reel in your identity. CNN. 2004年1月26日. 
  91. ^ Leyden, John. Brazilian cops net 'phishing kingpin'. The Register. 2005年3月21日. 
  92. ^ Roberts, Paul. UK Phishers Caught, Packed Away. eWEEK. 2005年6月27日. 
  93. ^ Nineteen Individuals Indicted in Internet 'Carding' Conspiracy. [2005-11-20]. 
  94. ^ 8 held over suspected phishing fraud. 讀賣新聞. 2006年5月31日. 
  95. ^ Phishing gang arrested in USA and Eastern Europe after FBI investigation. [2006-12-14]. 
  96. ^ Phishers Would Face 5 Years Under New Bill. 資訊週刊. 2005年3月2日. 
  97. ^ Fraud Act 2006. [2006-12-14]. 
  98. ^ Prison terms for phishing fraudsters. The Register. 2006年12月14日. 
  99. ^ Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. [2005-08-24]. 
  100. ^ Espiner, Tom. Microsoft launches legal assault on phishers. ZDNet. 2006年3月20日. 
  101. ^ Leyden, John. MS reels in a few stray phish. The Register. 2006年11月23日. 
  102. ^ A History of Leadership - 2006. 
  103. ^ HB 2471 Computer Crimes Act; changes in provisions, penalty.. [2006-03-08]. 
  104. ^ Brulliard, Karin. Va. Lawmakers Aim to Hook Cyberscammers. 華盛頓郵報. 2005年4月10日. 
  105. ^ AOL Takes Fight Against Identity Theft To Court, Files Lawsuits Against Three Major Phishing Gangs. [2006-03-08]. 
  106. ^ Earthlink evidence helps slam the door on phisher site spam ring. [2006-12-14]. 
  107. ^ Prince, Brian. Man Found Guilty of Targeting AOL Customers in Phishing Scam. PCMag.com. 2007年1月18日. 
  108. ^ Leyden, John. AOL phishing fraudster found guilty. The Register. 2007年1月17日. 
  109. ^ Leyden, John. AOL phisher nets six years' imprisonment. The Register. 2007年6月13日. 
  110. ^ Gaudin, Sharon. California Man Gets 6-Year Sentence For Phishing. 資訊週刊. 2007年6月12日. 

外部連結[编辑]