本页使用了标题或全文手工转换

钓鱼式攻击

维基百科,自由的百科全书
跳到导航 跳到搜索
一个假装成来自某(虚构)银行官方电子邮件的网钓电子邮件示例。发件人透过要求收件人在网钓站点“确认”其身份试图骗取其保全信息。注意received与discrepancy两字的拼写错误。

钓鱼式攻击(英语:Phishing,与英语fishing发音一样;又名网钓法网络网钓,简称网钓)是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自于风行的社交网站(YouTubeFacebookMySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎互联网服务提供商、公司机关),以此来诱骗受害人的轻信。网钓通常是透过e-mail或者即时通信进行[1]。它常常导引用户到URL接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例[2]。它凭恃的是现行网络安全技术的低亲和度。[3]种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。

网钓技术最早于1987年问世,而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼(fishing)的变种之一[4],大概是受到“飞客英语Phreaking”(phreaking)一词影响[5][6],意味着放线钓鱼以“钓”取受害人财务资料和密码。

网钓的历史与现状[编辑]

网钓技术早在1987年,以论文与演示稿的方式描述交付给Interex系统下的国际惠普用户组[7]。第一次提到“网钓”这个术语是在1996年1月2日于alt.online-service.America-online Usenet新闻组[8],虽然该术语可能在黑客杂志2600书面版本上更早出现。[9]

早期在AOL的网钓[编辑]

美国在线(AOL)的网钓与交换盗版软件warez社区密切相关。自从AOL于1995年底采取手段防止利用算法产生的伪造信用卡号来开立账号后,AOL破解者便诉诸网钓以获取合法账号。[10]

网钓者可能乔装成AOL的工作人员,并对可能的受害者发送即时通信,询问此人揭露其密码。[11]为了引诱受害者让出其个人敏感资料,通信内容不可避免的有类似“确认您的账号”(verify your account)或者“核对您的账单信息”(confirm billing information)。一旦发现受害人的密码,攻击者可以获取并利用受害人的账户进行诈欺之用或发送垃圾邮件。网钓和warez两者在AOL一般需要自行开发应用程序,像AOHell即是一例。由于在AOL上网钓变得如此普遍,该公司在其所有即时通信上加了一行声明:“不会有任何AOL员工会询问您的密码或者账单信息。(No one working at AOL will ask for your password or billing information)”。

1997年年后,AOL注意到网钓与Warez并更加紧缩其政策施行,以强迫盗版软件与AOL服务器绝缘。AOL另一方面开发一种可立即停用与网钓挂勾账号的系统,这常常在受害人可回应之前就达成了。在AOL的warez后台关闭导致大部分网钓者离开该服务,许多网钓者通常是年轻十几岁的青少年,他们长大后就戒除了这种坏习惯[12]

从AOL到金融机构的转型[编辑]

捕获的AOL账户信息可能导致网钓攻击者滥用信用卡信息,而且这些黑客认识到,攻击在线支付系统是可行的。第一次已知直接尝试对付支付系统的攻击是在2001年6月,影响系统为E-gold,该事件发生后紧跟在九一一袭击事件之后不久的“后911身份检查”。[13]当时的这两个攻击都被视为失败之作,不过现在可将它们看作是对付油水更多主流银行的早期实验。到了2004年,网钓被认为是经济犯罪完全工业化的一部分:专业化在全球市场出现,它提供了找钱的基本组件,而这组件被拼装成最后完美的攻击。[14][15]

近来网钓的攻击[编辑]

从2004年10月到2005年6月网钓报告的图表显示网钓有增加的趋势

网钓者目标是针对银行和在线支付服务的客户。理应来自于美国国税局(Internal Revenue service)电子邮件,已被用来收集来自美国纳税人的敏感资料。[16]虽然第一次这样的例子被不分青皂白的寄送,其目的是期望某些收到的客户会泄漏其银行或者服务资料,而最近的研究表明网钓攻击可能会基本上确定潜在受害者会使用哪些银行,并根据结果递送假冒电子邮件。[17]有针对性的网钓版本已被称为鱼叉网钓(spear phishing)。[18]最近几个网钓攻击已经具体指向高层管理人员,以及其他企业大户,而术语“鲸钓”(whaling)一辞被创造出来描述这类型的攻击。[19]

社交网站是网钓攻击的目标,因为在这些网站的个人资料明细可以用于身份盗窃;[20] 2006年年底一个电脑蠕虫接管MySpace上的网页,并修改链接以导引该网站的网民到设计好窃取登录信息的网站。[21]实验表明,针对社交网站的网钓成功率超过70%。[22]

几乎有一半的网钓窃贼于2006年被确认是透过位于圣彼得堡俄罗斯商业网络集团所操控。[23]

随着2008年比特币及其他加密货币的兴起,许多区块链与加密货币亦成为了钓鱼集团的目标,有黑客于Steemit平台表示他使用非常简单的钓鱼网站毫无难度地于于一天盗取了价值8000美元的比特币。[24]

2018年,开发EOS.IO区块链的公司block.one遭受钓鱼集团攻击,黑客入侵block.one使用的Zendesk电邮系统,并使用该系统冒认公司客服而向所有客户发出钓鱼电邮。当用户打开电邮内的超链接,便会访问一个截取用户加密货币钱包密钥的页面,黑客会透过密钥打开加密货币钱包及盗取用户的数字资产[25][26]

同年,EOS.IO区块链上的空投代币亦多次遭受钓鱼攻击,比如EOS Black曾遭受攻击,黑客集团模仿EOS Black网站原型制作相似度相当高的钓鱼网站,网站要求用户输入密钥以领取空投代币,黑客透过密钥可以导取用户的数字资产[27]


网钓技术[编辑]

链接操控[编辑]

大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于一封电子邮件中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或使用子网域是网钓所使用的常见伎俩。在下面的网址例子里,http://www. 您的銀行.範例.com/,网址似乎将带您到“您的银行”网站的“示例”子网域;实际上这个网址指向了“示例”网站的“您的银行”(即网钓)子网域。另一种常见的伎俩是使锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。下面的链接示例:诚实,似乎将您导引到条目“诚实”,点进后实际上它将带你到条目“谎言”。

另一种老方法是使用含有'@'符号的欺骗链接。原本这是用来作为一种包括用户名和密码(与标准对比)的自动登录方式。[28]例如,链接http://www.google.com@members.tripod.com/可能欺骗偶然访问的网民,让他认为这将打开www.google.com上的一个网页,而它实际上导引浏览器指向members.tripod.com上的某页,以用户名www.google.com。该页面会正常开启,不管给定的用户名为何。这种网址在Internet Explorer中被禁用,[29]Mozilla Firefox[30]Opera会显示警告消息,并让用户选择继续到该站浏览或取消。

还有一个已发现的问题在网页浏览器如何处理国际化域名International Domain Names,下称IDN),这可能使外观相同的网址,连到不同的、可能是恶意的网站上。尽管人尽皆知该称之为的IDN欺骗[31]或者同形异义字攻击[32]的漏洞,网钓者冒着类似的风险利用信誉良好网站上的域名转址服务来掩饰其恶意网址。[33][34][35]

过滤器规避[编辑]

网钓者使用图像代替文字,使反网钓过滤器更难侦测网钓电子邮件中常用的文字。[36]

网站伪造[编辑]

一旦受害者访问网钓网站,欺骗并没有到此结束。一些网钓诈骗使用JavaScript命令以改变地址栏[37]这由放一个合法网址的地址栏图片以盖住地址栏,或者关闭原来的地址栏并重开一个新的合法的URL达成。[38]

攻击者甚至可以利用在信誉卓著网站自己的脚本漏洞对付受害者。[39]这一类型攻击(也称为跨网站脚本)的问题尤其特别严重,因为它们导引用户直接在他们自己的银行或服务的网页登录,在这里从网络地址安全证书的一切似乎是正确的。而实际上,链接到该网站是经过摆弄来进行攻击,但它没有专业知识要发现是非常困难的。这样的漏洞于2006年曾被用来对付PayPal[40]

还有一种由RSA信息安全公司发现的万用中间人网钓包,它提供了一个简单易用的界面让网钓者以令人信服地重制网站,并捕捉用户进入假网站的登录细节。[41]

为了避免被反网钓技术扫描到网钓有关的文字,网钓者已经开始利用Flash构建网站。这些看起来很像真正的网站,但把文字隐藏在多媒体对象中。[42]

电话网钓[编辑]

并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。[43]一旦电话号码(网钓者拥有这支电话,并由IP电话服务提供)被拨通,该系统便提示用户键入他们的账号和密码。话钓 (Vishing,得名自英文Voice Phishing,亦即语音网钓)有时使用假冒来电ID显示,使外观类似于来自一个值得信赖的组织。[44]

WIFI免费热点网钓[编辑]

网络黑客在公共场所设置一个假Wi-Fi热点,引人来连在线网,一旦用户用个人电脑或手机,登录了黑客设置的假Wi-Fi热点,那么个人资料和所有隐私,都会因此落入黑客手中。你在网络上的一举一动,完全逃不出黑客的眼睛,更恶劣的黑客,还会在别人的电脑里安装间谍软件,如影随形。[45]

隐蔽重定向漏洞[编辑]

2014年5月,新加坡南洋理工大学壹位名叫王晶(Wang Jing)的物理和数学科学学院博士生,发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"(英语:Covert Redirect)][46][47]

攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息[48][49]

黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,壹旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息[50][51]

网钓的例子[编辑]

PayPal网钓[编辑]

一个PayPal网钓邮件的抓图

PayPal网钓示例里(见右),电子邮件里的拼写错误以及非PayPal网域链接的存在(显示在状态栏红色框里)都是线索,指出这是一个网钓的企图。另一种网钓法是无个人问候的赠品,尽管显示的个人资料并不保证其正当性。一个合法的PayPal通信总是以用户的真实姓名问候,而非一个普通的问候如:“敬启者”、“亲爱的用户”(Dear Accountholder)。其他的信息欺诈的迹象像是简单不过的字拼写错误、文法拙劣、以及威胁收信人若不遵照信息指示办理的话会遭账号停用的处分。

请注意,许多网络网钓电子邮件会如同来自PayPal的一封真正的电子邮件般包括一则永不将您的密码泄漏以防网钓攻击的重大警告。这些警告用户网钓攻击的可能性,并提供链接到帮助如何避免或识别此种攻击的网站的种种,是使得该网钓电子邮件如此虚伪以便欺骗。在这个例子里,网钓电子邮件警告用户,PayPal绝对不会要求您提供敏感信息。该信件言而有信不问您敏感信息,反而邀请用户点击一个链接,以“确认”其账户;这一步将导引这些受害人进一步访问网钓网站,其设计看起来与PayPal网站很像。而在那里会问这些受害人的个人机密信息。

RapidShare网钓[编辑]

RapidShare的网页主机,网钓是相当寻常以获得高级账号的手段,从而移除下载速度限制、上传自动删除、下载前等候、以及下载间的时间间隔。

网钓者使用在warez站张贴到文件的链接以获得RapidShare高级账户。然而,利用链接别名工具如TinyURL,他们可以伪装成实际上真正网页托管在别的地方的网址,而这网页与RapidShare的“免费用户或高级用户 (free user or premium user)”页看来很像。如果受害人选择免费用户,网钓者只是将它们传递给真正的RapidShare网站。但是,如果他们选择的高级账户,那么网钓网站的将在他们进行下载之前登记其登录信息。到此阶段,网钓者已从受害者偷走了高级账户信息。

钓来的RapidShare账户通常拿来转卖,售价比RapidShare的高级账户便宜。

鉴别一个RapidShare网钓网页的最简单方式是使用Mozilla Firefox,右击别名页,并选择“This Frame”>“Show only this frame”。这将揭露真正的网页,您可以看到网址将不是rapidshare.com。

FACEBOOK网钓[编辑]

曾在2012年间常出现伪装成facebook登录画面的网站骗取用户账号密码

转址网钓[编辑]

  • 中奖:在网页上刊登用户为第100万次浏览用户领取免费礼物
  • 宣称设备中毒/可优化:动画方式呈现安装不明程序可以优化设备

网钓造成的损失[编辑]

网钓所造成的损害范围从拒绝访问电子邮件到钜大财务损失都有。这种形式的身份盗窃正在普及,因为给信任的人方便往往泄露个人信息给网钓者,这些信息包括信用卡号码社会安全号码(美国)、身份证号码(台湾)、和母亲婚前姓名。也有人担心身份窃贼仅仅透过访问公开纪录就可以添加此类信息到它们获取的知识库中。[52]一旦这信息被获取了,网钓者可能会利用个人资料明细以受害者姓名创造假账号。然后他们可以毁掉受害者的信用,或者甚至让受害人无法访问自己的账户。[53]

据估计,从2004年5月和2005年5月,大约120万电脑用户在美国遭受网钓所造成的损失,总计约92900万美元。随着为美国企业的客户成为受害者,该国企业估计每年损失20亿美元。[54] 2007年网钓攻击升级。截至2007年8月前在美国360万成年人于12个月内失去32亿美元。[55]在英国,网络银行诈骗的损失—大多来自网钓—几乎增加了一倍从2004年1220万英镑到2005年2320英镑,[56]而在2005年,每20个电脑用户中就有一个声称因网钓造成的财务损失。[57]

英国银行机构APACS采取的立场是:“客户还必须采取合理的预防措施...,如此对罪犯而言他们才不会好欺负。”[58]同样,2006年9月当第一次大量的网钓攻击登陆爱尔兰银行业界时,爱尔兰银行起初拒绝补偿客户所遭受的损失(而且它仍然坚持认为,它的政策不应如此[59]),虽然会补偿损失的金额上限定调为1万1300英镑还算不错。[60]

反网钓[编辑]

打击网钓攻击有许多不同的技术,包括设立专门的技术和立法以防范网钓。

社会回响[编辑]

打击网钓的策略之一,是试着培养人们识别网钓,并教导怎样处理这些问题。教育可以是有效的,尤其是训练提供直接的反馈。[61]一个被称为叉网钓—利用网络网钓电子邮件针对特定的公司—的较新网钓手法,已被用来迷惑在社会各个角落的人士,包括西点军校。在2004年6月鱼叉网钓的一次实验中,收到假电子邮件的500名西点军校学员中有80%被骗并泄露个人信息。[62]

人们可以采取措施以避免网钓的企图,以稍稍修改其浏览习惯的方式。当接触某要求您“核对身份”(或任何其他网钓所使用的信件要旨)的信件或账号时,明智之举是与该信件明显来源公司联系以检查该电子邮件是否合法。另外,个人所知道地址是该公司的真正的网站,可透过在浏览器网址栏输入拜访,而不是盲目相信任何涉嫌诈骗邮件里的超链接[63]

几乎所有从公司到其客户的合法电子邮件都起码包含一项信息是网钓者手头没有的。有些公司,例如PayPal,总是在其电子邮件中以客户用户名称呼其客户,依此类推,如果一封电邮的收件人是以通用格式称呼(如“亲爱的PayPal客户”)很可能是企图在网钓。[64]从银行和信用卡公司来的电子邮件往往包括账户号码的部分。然而,最近的研究[65]显示,大众通常不区分账号头几个数字和尾几个数字,这是一个很严重的问题,因为头几个数字通常一个金融机构的所有客户都相同。人们可以接受训练来当如果邮件不包含任何具体的个人信息时提高他们的怀疑。不过,在2006年年初,网钓企图利用个性化的信息,这使得列明个人信息保证邮件是合法的假设不安全。[66]此外,另一项最近的研究报告推断列明个人信息并不显著的影响网钓攻击的成功率,[67]这表明大多数人并不注意这些细节。

一个行业和执法机构组成的反网钓工作组Anti-Phishing Working Group,简称APWG)建议,随着人们越来越认识到网钓者所使用的社会工程学技俩,传统的网钓欺诈技术可能在未来过时。[68]他们预测,网址嫁接和其他利用流氓软件将变成窃取信息的常见工具。

技术对策[编辑]

反网钓措施已经实现将其功能内嵌于浏览器,作为浏览器的扩展或工具栏,以及网站的登录程序的一部分。下面是一些解决问题的主要方法。

协助识别合法网站[编辑]

大多数网钓盯上的网站都是保全站点,这意味着的SSL强加密用于服务器身份验证,并用来标示在该网站的网址。理论上,利用SSL认证来保证网站到客户端是可能的,并且这个过去是SSL第二版设计要求之一以及能在认证后保证保密浏览。不过实际上,这点很容易欺骗。

表面上的缺陷是浏览器的保全用户界面 (UI)不足以应付今日强大的威胁。透过TLS与证书进行保全认证有三部分:显示连线在授权模式下、显示用户连到哪个站、以及显示管理机构说它确实是这个站点。所有这三个都需齐备才能授权,并且需要被/送交用户确认。

安全连线:从1990年代中期到2000年代中期安全浏览的标准显示是个锁头,而这很容易被用户忽略。Mozilla于2005年使用黄底的网址栏使得安全连线较容易辨认。不幸的是,这个发明后来被撤销,导因于EV证书:它代以对某些高价的证书显示绿色,而其他的证书显示蓝色 (译按:Mozilla Firefox 3.x版非EV证书的安全浏览网站皆显示蓝色)。

哪个站:用户应该确认在浏览器的网址栏的域名是实际上他们要访问的地方。网址可能是过度复杂而不容易从语法上分析。用户通常不知道或者不会鉴别他们想要链接的正确网址,故鉴定真伪与否变得无意义。[3]有意义的服务器认证条件是让服务器的标识符对用户有意义;而许多电子商务网站变更其网域名成为他们整体网站组合的其中之一 (译按:极端例子像 化妆零售部A.百货B.营销公司C.电视台D.com这样子网域的架构),这种手段让困惑的几率增大。而一些反网钓工具条仅显示访问过网站[69]域名的做法是不够的。

另一种替代方法是Firefox的宠物名(petname)附加组件,这让用户键入他们自己的网站标签,因此他们可以在以后再度访问该站时认出。如果站点没有被认出,则软件会警告用户或彻底阻拦该站点。这代表了以用户为中心的服务器身份管理[70]。某些人建议用户选定的图像会比宠物名效果要好[71]

随着EV证书的出现,浏览器一般以绿底白字显示机构名称,这让用户更加容易识别并且与用户期望一致。不幸的是,浏览器供应商选择仅限定EV证书可独享这突出的显示,其他种证书就留待用户自己自求多福了。

谁是管理机构:浏览器需要指出用户要求连到对象的管理机构是谁。在保全等级最低的阶段,不指名管理机构,因此就用户而言浏览器就是管理机构。浏览器供应商透过控制可接受的授权证书(Certification Authorities,简称/下称CA)根名单来承担这个责任。这是目前的标准做法。

这里的问题是不管浏览器供营商如何企图控制质量,市面上CA质量良莠不齐亦不实施检查。亦不是所有签署CA的公司行号获取该证书仅是为了认证电子商务组织的同一个模型和概念而已。制造证书(Certificate Manufacturing)是颁给只用来递送信用卡与电子邮件送达确认的低交易额证书;这两者的用途都容易受到诈骗罪犯的扭曲。由此引申,一个高交易额的网站可能容易受到另一个可提供的CA认证蒙混。这种情况可能会在CA位于世界的另一端,并且对高交易额电子商务站不熟悉,或者用户根本就不关心这件事。因为CA只负责保障它自己的客户,并不会管其他CA的客户,故这个漏洞在该模型是根深蒂固的。

对此漏洞的解决方案是浏览器应该显示,并且用户应该熟悉管理机构之名。这把CA当作是种品牌呈现,并且让用户知悉在其所在国家和区段之内可联系到少数几个CA。品牌的使用亦对CA供应商至关重要,借此刺激它们改进证书的审核:因为用户将知悉品牌差异并要求高交易额站点具备周延的检查。

本解决方案首度于早期IE7版本上实现。在当其显示EV证书时,发布的CA会被显示在网址区域。[72]然而这只是个孤立的案例。CA烙上浏览器面板仍存在阻力,导致只有上面所提最低最简单的保全等级可选:浏览器是用户交易的管理机构。

安全浏览的保全模型基础漏洞[编辑]

改进保全用户界面的试验为用户带来便利,但是它也暴露了安全模型里的基本缺陷。过去在安全浏览中沿用之SSL认证失效的根本原因有许多种,它们之间纵横交错。

在威胁之前的保全:由于安全浏览发生在任何威胁出现之前,保全显示在早期浏览器的“房地产战争”里被牺牲掉了。网景浏览器的原始设计有个站点名称暨其CA名称的突出显示。用户现在常常习惯根本不检查保全信息。

点击通过综合症:然而,浏览器对设置错误站点的警告继续,它并未被降低等级。如果证书本身有错(像域名匹配错误、过期等等),则浏览器一般都会弹出窗口警告用户。就是因为设置错误太过寻常,用户学会绕过警告。目前,用户习惯同样的忽略所有警告,导致点击通过综合症。例如,Firefox 3有个点击4次以加入例外网站的程序,但是研究显示老练的用户会忽略有中间人攻击Man-In-The-Middle,简称MITM)的真正情况。即使在今天,因为绝大多数的警告是错误设置而非真正的中间人攻击,要避免点击通过综合症是相当困难。

缺乏兴趣:另一个潜在因素是缺乏虚拟主机的支持。具体起因是缺乏对在传输层安全(Transport Layer Security,简称/下称TLS)网络服务器之服务器名指示(Server Name Indication,简称/下称SNI)的支持,以及获取证书费用和不便。结果是证书使用是太过罕见以至于除了特殊情况外它什么事都不能做。这导因对TLS认证普遍知识与资源缺乏,反过来意味着由浏览器供营商升级他们安全性用户界面的过程将是又慢又死气沉沉。

横向联系:浏览器的安全模型包括许多参与者如:用户、浏览器供营商、开发商、证书管理机构、审计员、网络服务器供营商、电子商务站点、立法者(即FDIC)和安全标准委员会。介于不同制定安全模型小组间缺乏往来沟通。也就是说,虽然对认证的理解在IETF委员会协议水平是很够深的,这个信息并不表示传达得到用户界面小组。网络服务器供应商并不会优先修正服务器名指示(TLS/SNI):它们不把这个问题当成保全修正,反而视其为新功能而推迟。实际上,所有的参与者碰到网钓出事时皆诿过给其他参与者,因此自我本身不会被排上优先修正行列。

这情况随着一个包含浏览器供应商、审计员、以及证书管理机构的团体:CAB论坛推出有了一点改善。但是该团体并不是以开放的态度开始,因此导致其结果受到主要大户商业利益的影响,而且缺乏对所有参与者平等对待。即使在今天,CAB论坛并不开放,而且它不为小型证书管理机构、终端用户、电子商务站主等等弱势族群喉舌。

标准高压屏蔽:供营商对标准负责,导致当谈到安全时就是谈论其外包的结果。虽然有许多安全性用户界面的改进,当中有有许多好的实验,因为他们不是标准,或者与标准间相抵触而未被采用。威胁模型可能在一个月内自我更新;安全标准调整需要大约10年。

令人敬畏的CA模型:浏览器供营商使用的CA控制机制本质上并没有更新;而威胁模型却常常翻修。对CA质量控管过程不足以对保护用户量身订做、以及针对实际与当前的威胁做出因应。在更新途中审计过程是迫切需要的。最近EV指南较详细地提供了当前模型,并且创建了一个好基准,但是并没有推动任何本质上急需进行的改变。

浏览器提醒用户欺诈网站[编辑]

还有一种打击网钓的流行作法是保持一份已知的网钓网站名单,并随时更新。微软的IE7的浏览器Mozilla Firefox 2.0、和Opera都包含这种类型的反网钓措施。[73][74][75] Firefox 2中使用Google反网钓软件。Opera 9.1使用来自PhishTankGeoTrust的黑名单,以及即时来自GeoTrust的白名单。这个办法的某些软件实现会发送访问过的网址到中央服务器以供检查,这种方式引起了个人隐私的关注。[76]据Mozilla基金会在2006年年底报告援引一项由某独立软件测试公司的研究指出,Firefox 2被认为比Internet Explorer 7发现诈欺性网站更为有效。[77]

在2006年年中一种方法被倡议实施。该方法涉及切换到一种特殊的DNS服务,筛选掉已知的网钓网域:这将与任何浏览器兼容,[78]而且它使用类似利用Hosts文件来阻止网络广告的原理来达成目标。

为了减轻网钓网站透过内嵌受害人网站的图像(如商标)藉以冒充的问题,一些网站站主改变了图像发送消息给访客,某个网站可能是骗人的。图像可能移动成新的文件名并且原来的被永久取代,或者一台服务器能侦测到的某图像在正常浏览情况下是不会被请求到,进而提交警告的图像。[79][80]

增加密码登录[编辑]

美国银行的网站[81][82]是众多要求用户选择的个人图像、并在任何要求输入密码的场合显示该用户选定图片的网站之一。该银行在线服务的用户被指示在只有当他们看到他们选择的图像才输入密码。然而,最近的一项研究表明仅有少数用户在图像不出现时不会键入他们的密码。[83][84]此外,此功能(像其他形式的双因素认证)对其他攻击较脆弱,如2005年年底斯堪的纳维亚诺尔迪亚银行案,[85]与2006年的花旗银行案。[86]

保全外壳[87][88]是一种相关的技术,涉及到使用用户选定的图片覆盖上登录窗体作为一种视觉提示以表明该窗体是否合法。然而,不像以网站为主的图像体系,图像本身是只在用户和浏览器之间共享,而不是用户和网站间共享。该体系还依赖于相互认证协议,这使得它更不容易受到来自侵袭只认证用户体系的攻击。

消除网钓邮件[编辑]

专门的垃圾邮件过滤器可以减少一些网钓电子邮件到达收件人的收件箱。这些方法依赖于机器学习自然语言处理办法来分类网钓电子邮件。[89][90]

监测和移除[编辑]

有几家公司提供银行和其他可能受到网钓诈骗的组织全天候的服务、监测、分析和协助关闭网钓网站。[91]个人可以透过检举网钓到志愿者和产业集团,[92]PhishTank以做出贡献。[93]

法律对策[编辑]

在2004年1月26日,美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉。被告是个美国加州少年,据说他设计建造了一个网页看起来像美国在线网站,并用它来窃取信用卡资料。[94]其他国家援引了这一判例追踪并逮捕了网钓者。网钓大户瓦尔迪尔·保罗·迪·阿尔梅达在巴西被捕。他领导一个最大的网钓犯罪帮派,在两年之间做案估计偷走约1800万美元到3700万美元之间。[95]英国当局在2005年6月收押两名男子以其在一项网钓欺诈活动扮演的脚色,[96]而这宗案子与美国特勤处《防火墙行动》 (Operation Firewall,目标是当时最大最恶名昭彰的信用卡盗窃网站)有关。[97] 2006年8人在日本被逮捕,日本警方怀疑他们透过假造雅虎日本网站网钓进行欺诈,保释赔款1亿日元(87万美元)。[98] 2006年美国联邦调查局逮捕行动继续,以代号《保卡人行动》 (CardKeeper)在美国与欧洲扣押了一个16人的帮派。[99]

在美国,参议员派崔克·莱希(Patrick Leahy)在2005年3月1日向美国国会提审2005反网钓法案。这项法案,如果它已成为法律,将向创建虚假网站、发送虚假电子邮件以诈欺消费者的罪犯求处罚款高达25万美元并且可监禁长达5年。[100]英国在2006年以《2006年欺诈罪法令》(Fraud Act 2006)强化了其打击仿冒欺诈的法律武器,[101]该法令采用一般欺诈罪,可求刑监禁多达10年,并禁止开发或意图欺诈下拥有网钓软件包。[102]

许多公司也加入全力打击网钓的行列。2005年3月31日,微软向美国华盛顿西部地方法院提交117起官司。这起诉讼指控“无名氏”的被告非法获取的密码信息和机密信息。2005年3月微软和澳大利亚政府间合作,向执法人员教学如何打击各种网络犯罪,包括网钓。[103]在2006年3月,微软宣布计划进一步在美国境外地区起诉100案件,[104]随后该公司信守承诺,截至2006年11月之前,共起诉了129件混合刑事和民事行动的犯罪案件。[105] 美国在线亦加强其打击网钓的努力[106],在2006年早期根据维吉尼亚计算机犯罪法2005年修订版[107][108]起诉三起[109]共求偿1800万美元,而Earthlink已加入帮助确定6名男子在康涅狄格州的案子,这6名人士稍后被控以网钓欺诈。[110]

2007年1月,杰弗瑞·布雷特·高汀被陪审团援引的2003年反垃圾邮件法(CAN-SPAM Act of 2003)将其定罪为加州第一位依此法被定罪的被告。他被判犯下对美国在线的用户发送成千上万的电子邮件,并乔装成AOL的会计部门以催促客户提交个人和信用卡资料的罪行。面对反垃圾邮件法的101年关押以及其他数十个包括诈欺、未经授权使用信用卡、滥用AOL的商标,这部分他被判处70个月监禁。因为没有出席较早的听证会,高汀已被拘留,并立即开始入监服刑。[111][112][113][114]

参见[编辑]

参考资料[编辑]

  1. ^ Tan, Koon. Phishing and Spamming via IM (SPIM). Internet Storm Center. [2006-12-05]. 
  2. ^ Microsoft Corporation. What is social engineering?. [2007-08-22]. 
  3. ^ 3.0 3.1 Jøsang, Audun; 等. Security Usability Principles for Vulnerability Analysis and Risk Assessment. (PDF). Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07). [2007]. [失效链接]
  4. ^ Spam Slayer: Do You Speak Spam?. PCWorld.com. [2006-08-16]. (原始内容存档于2007-09-30). 
  5. ^ "phishing, n." OED Online, March 2006, Oxford University Press.. Oxford English Dictionary Online. [2006-08-09]. (原始内容存档于2020-03-28). 
  6. ^ Phishing. Language Log, September 22, 2004. [2006-08-09]. 
  7. ^ Felix, Jerry and Hauck, Chris. System Security: A Hacker's Perspective. 1987 Interex Proceedings. 1987年9月, 1: 6. 
  8. ^ "phish, v." OED Online, March 2006, Oxford University Press.. Oxford English Dictionary Online. [2006-08-09]. (原始内容存档于2008-11-20). 
  9. ^ Ollmann, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. [2006-07-10]. 
  10. ^ Phishing. Word Spy. [2006-09-28]. 
  11. ^ Stutz, Michael. AOL: A Cracker's Paradise?. Wired News. 1998年1月29日. (原始内容存档于2005年12月14日). 
  12. ^ History of AOL Warez. [2006-09-28]. (原始内容存档于2011-01-31). 
  13. ^ GP4.3 - Growth and Fraud - Case #3 - Phishing. Financial Cryptography. 2005年12月30日. 
  14. ^ In 2005, Organized Crime Will Back Phishers. IT Management. 2004年12月23日. (原始内容存档于2011年1月31日). 
  15. ^ The economy of phishing: A survey of the operations of the phishing market. First Monday. 2005年9月. 
  16. ^ Suspicious e-Mails and Identity Theft. 美国国税局. [2006-07-05]. 
  17. ^ Phishing for Clues. 印第安那大学布鲁明顿校区. 2005年9月15日 [2008年11月3日]. (原始内容存档于2009年7月31日). 
  18. ^ What is spear phishing?. Microsoft Security At Home. [2006-07-10]. 
  19. ^ Goodin, Dan. Fake subpoenas harpoon 2,100 corporate fat cats. The Register. 2008年4月17日. 
  20. ^ Kirk, Jeremy. Phishing Scam Takes Aim at MySpace.com. IDG Network. 2006年6月2日. (原始内容存档于2006年6月16日). 
  21. ^ Malicious Website / Malicious Code: MySpace XSS QuickTime Worm. Websense Security Labs. [2006-12-05]. (原始内容存档于2006-12-05). 
  22. ^ Tom Jagatic and Nathan Johnson and Markus Jakobsson and Filippo Menczer. Social Phishing (PDF). To appear in the CACM (October 2007). [2006-06-03]. (原始内容 (PDF)存档于2006-06-05). 
  23. ^ Shadowy Russian Firm Seen as Conduit for Cybercrime, Brian Krebs, 华盛顿邮报,于2007年10月13日查阅
  24. ^ 新浪财经综合. 腾讯安全报告:区块链地下黑客仅半年便获利20亿美元. finance.sina.com.cn. 2018-09-04 [2019-02-01]. 
  25. ^ Hackers Are Stealing From This $4 Billion Cryptocurrency ICO Using This Sneaky Scam. Fortune. [2019-02-01] (英语). 
  26. ^ Phishing Email Statement. Block.one. [2019-02-01] (美国英语). 
  27. ^ EOS Black Community Hit by Phishing Attack. UNHASHED. 2018-10-11 [2019-02-11] (美国英语). 
  28. ^ Berners-Lee, Tim. Uniform Resource Locators (URL). IETF Network Working Group. [2006-01-28]. 
  29. ^ Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. [2005-08-28]. 
  30. ^ Fisher, Darin. Warn when HTTP URL auth information isn't necessary or when it's provided. Bugzilla. [2005-08-28]. 
  31. ^ Johanson, Eric. The State of Homograph Attacks Rev1.1. The Shmoo Group. [2005-08-11]. (原始内容存档于2005-08-23). 
  32. ^ Evgeniy Gabrilovich and Alex Gontmakher. The Homograph Attack (PDF). Communications of the ACM. February 2002, 45(2): 128 [2008-11-03]. (原始内容 (PDF)存档于2006-01-30). 
  33. ^ Leyden, John. Barclays scripting SNAFU exploited by phishers. The Register. 2006年8月15日. 
  34. ^ Levine, Jason. Goin' phishing with eBay. Q Daily News. [2006-12-14]. 
  35. ^ Leyden, John. Cybercrooks lurk in shadows of big-name websites. The Register. 2007年12月12日. 
  36. ^ Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. [2006-07-10]. 
  37. ^ Mutton, Paul. Phishing Web Site Methods. FraudWatch International. [2006-12-14]. (原始内容存档于2011-01-31). 
  38. ^ Phishing con hijacks browser bar. BBC News. 2004年4月8日. 
  39. ^ Krebs, Brian. Flaws in Financial Sites Aid Scammers. Security Fix. [2006-06-28]. (原始内容存档于2011-01-31). 
  40. ^ Mutton, Paul. PayPal Security Flaw allows Identity Theft. Netcraft. [2006-06-19]. 
  41. ^ Hoffman, Patrick. RSA Catches Financial Phishing Kit. eWeek. 2007年1月10日. 
  42. ^ Miller, Rich. Phishing Attacks Continue to Grow in Sophistication. Netcraft. [2007-12-19]. (原始内容存档于2011-09-27). 
  43. ^ Gonsalves, Antone. Phishers Snare Victims With VoIP. Techweb. 2006年4月25日. (原始内容存档于2007年3月28日). 
  44. ^ Identity thieves take advantage of VoIP. Silicon.com. 2005年3月21日. (原始内容存档于2005年3月24日). 
  45. ^ Wi-Fi假热点 黑客窃旅客个资翁如玫.[2010-12-16]
  46. ^ Covert Redirect. Tetraph. 2014-05-01 [2014-11-10]. 
  47. ^ Facebook, Google Users Threatened by New Security Flaw. Yahoo. 2014-05-02 [2014-11-10]. 
  48. ^ 兩款互聯網登錄系統曝出重大漏洞 短期內或無法修復. 凤凰网. 5月 03 2014. 
  49. ^ OAuth與OpenID登錄工具曝出重大漏洞. 网易. 5月 03 2014. [2014-11-11]. (原始内容存档于2014-11-08). 
  50. ^ Facebook, Google users threatened by new security flaw. FOX NEWS. 2014-05-05 [2014-11-10]. 
  51. ^ Nasty Covert Redirect Vulnerability found in OAuth and OpenID. The Hacker News. 2014-05-03 [2014-11-10]. 
  52. ^ Virgil Griffith and Markus Jakobsson. Messin' with Texas, Deriving Mother's Maiden Names Using Public Records (PDF). ACNS '05. [2006-07-07]. (原始内容 (PDF)存档于2006-07-05). 
  53. ^ Krebs, Brian. Phishing Schemes Scar Victims. 华盛顿邮报. 2004年12月18日 [2008年11月3日]. (原始内容存档于2020年3月28日). 
  54. ^ Kerstein, Paul. How Can We Stop Phishing and Pharming Scams?. CSO. 2005年7月19日. (原始内容存档于2008年3月24日). 
  55. ^ McCall, Tom. Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks. Gartner. 2007年12月17日. 
  56. ^ UK phishing fraud losses double. Finextra. 2006年3月7日. (原始内容存档于2006年6月12日). 
  57. ^ Richardson, Tim. Brits fall prey to phishing. The Register. 2005年5月3日. 
  58. ^ Miller, Rich. Bank, Customers Spar Over Phishing Losses. Netcraft. [2006-12-14]. 
  59. ^ Latest News 互联网档案馆存档,存档日期2008-10-07.
  60. ^ Bank of Ireland agrees to phishing refunds – vnunet.com
  61. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). 科技报告CMU-CyLab-06-017, CyLab,卡内基梅隆大学. 2006年11月 [2006-11-14]. (原始内容 (PDF)存档于2007-01-30). 
  62. ^ Bank, David. 'Spear Phishing' Tests Educate People About Online Scams. The Wall Street Journal. 2005年8月17日. 
  63. ^ Anti-Phishing Tips You Should Not Follow. HexView. [2006-06-19]. (原始内容存档于2008-03-20). 
  64. ^ Protect Yourself from Fraudulent Emails. PayPal. [2006-07-07]. (原始内容存档于2011-04-06). 
  65. ^ Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing. (PDF). USEC '06. (原始内容 (PDF)存档于2007-03-06). 
  66. ^ Zeltser, Lenny. Phishing Messages May Include Highly-Personalized Information. The SANS Institute. 2006年3月17日. 
  67. ^ Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments. WWW '06. [2008-11-03]. (原始内容存档于2008-03-17). 
  68. ^ Kawamoto, Dawn. Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.. ZDNet India. 2005年8月4日. (原始内容存档于2005年11月30日). 
  69. ^ Brandt, Andrew. Privacy Watch: Protect Yourself With an Antiphishing Toolbar. PC World – Privacy Watch. [2006-09-25]. 
  70. ^ Jøsangm Audun and Pope, Simon. User Centric Identity Management (PDF). Proceedings of AusCERT 2005. [2008]. [失效链接]
  71. ^ "Phishing - What it is and How it Will Eventually be Dealt With" 互联网档案馆存档,存档日期2008-10-28. by Ian Grigg 2005
  72. ^ "Brand matters (IE7, Skype, Vonage, Mozilla)" Ian Grigg
  73. ^ Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. [2006-05-20]. 
  74. ^ Bon Echo Anti-Phishing. Mozilla. [2006-06-02]. 
  75. ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows. 3Sharp. 2006年9月27日 [2006-10-20]. (原始内容存档于2008年1月14日). 
  76. ^ Two Things That Bother Me About Google’s New Firefox Extension. Nitesh Dhanjani on O'Reilly ONLamp. [2007-06-01]. (原始内容存档于2007-10-15). 
  77. ^ Firefox 2 Phishing Protection Effectiveness Testing. [2007-01-23]. 
  78. ^ Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook. Dark Reading. [2006-10-08]. (原始内容存档于2011-08-18). 
  79. ^ Krebs, Brian. Using Images to Fight Phishing. Security Fix. 2006年8月31日. (原始内容存档于2006年11月16日). 
  80. ^ Seltzer, Larry. Spotting Phish and Phighting Back. eWeek. 2004年8月2日. 
  81. ^ Bank of America. How Bank of America SiteKey Works For Online Banking Security. [2007-01-23]. 
  82. ^ Brubaker, Bill. Bank of America Personalizes Cyber-Security. 华盛顿邮报. 2005年7月14日. 
  83. ^ Stone, Brad. Study Finds Web Antifraud Measure Ineffective. 纽约时报. 2007年2月5日 [2007-02-05]. 
  84. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF). IEEE Symposium on Security and Privacy, May 2007. 2007年5月 [2007-02-05]. (原始内容 (PDF)存档于2008-07-20). 
  85. ^ Phishers target Nordea's one-time password system. Finextra. 2005年10月12日. (原始内容存档于2005年12月18日). 
  86. ^ Krebs, Brian. Citibank Phish Spoofs 2-Factor Authentication. Security Fix. 2006年7月10日. (原始内容存档于2006年11月10日). 
  87. ^ Schneier, Bruce. Security Skins. Schneier on Security. [2006-12-03]. 
  88. ^ Rachna Dhamija, J.D. Tygar. The Battle Against Phishing: Dynamic Security Skins (PDF). Symposium On Usable Privacy and Security (SOUPS) 2005. 2005年7月 [2007-02-05]. (原始内容 (PDF)存档于2007-06-29). 
  89. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties (PDF). NYS Cyber Security Symposium. 2006年3月. (原始内容 (PDF)存档于2008-02-16). 
  90. ^ Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112. 2006年6月. 
  91. ^ Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. [2006-07-06]. (原始内容存档于2011-01-31). 
  92. ^ McMillan, Robert. New sites let users find and report phishing. LinuxWorld. 2006年3月28日. (原始内容存档于2009年1月19日). 
  93. ^ Schneier, Bruce. PhishTank. Schneier on Security. 2006年10月5日 [2007-12-07]. 
  94. ^ Legon, Jeordan. 'Phishing' scams reel in your identity. CNN. 2004年1月26日. 
  95. ^ Leyden, John. Brazilian cops net 'phishing kingpin'. The Register. 2005年3月21日. 
  96. ^ Roberts, Paul. UK Phishers Caught, Packed Away. eWEEK. 2005年6月27日. 
  97. ^ Nineteen Individuals Indicted in Internet 'Carding' Conspiracy. [2005-11-20]. (原始内容存档于2005-11-03). 
  98. ^ 8 held over suspected phishing fraud. 读卖新闻. 2006年5月31日. 
  99. ^ Phishing gang arrested in USA and Eastern Europe after FBI investigation. [2006-12-14]. (原始内容存档于2011-01-31). 
  100. ^ Phishers Would Face 5 Years Under New Bill. 信息周刊. 2005年3月2日. (原始内容存档于2005年12月21日). 
  101. ^ Fraud Act 2006. [2006-12-14]. 
  102. ^ Prison terms for phishing fraudsters. The Register. 2006年12月14日. 
  103. ^ Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. [2005-08-24]. (原始内容存档于2005-11-03). 
  104. ^ Espiner, Tom. Microsoft launches legal assault on phishers. ZDNet. 2006年3月20日. 
  105. ^ Leyden, John. MS reels in a few stray phish. The Register. 2006年11月23日. 
  106. ^ A History of Leadership - 2006. (原始内容存档于2007-05-22). 
  107. ^ HB 2471 Computer Crimes Act; changes in provisions, penalty.. [2006-03-08]. 
  108. ^ Brulliard, Karin. Va. Lawmakers Aim to Hook Cyberscammers. 华盛顿邮报. 2005年4月10日. 
  109. ^ AOL Takes Fight Against Identity Theft To Court, Files Lawsuits Against Three Major Phishing Gangs. [2006-03-08]. (原始内容存档于2007-01-31). 
  110. ^ Earthlink evidence helps slam the door on phisher site spam ring. [2006-12-14]. (原始内容存档于2007-07-05). 
  111. ^ Prince, Brian. Man Found Guilty of Targeting AOL Customers in Phishing Scam. PCMag.com. 2007年1月18日. 
  112. ^ Leyden, John. AOL phishing fraudster found guilty. The Register. 2007年1月17日. 
  113. ^ Leyden, John. AOL phisher nets six years' imprisonment. The Register. 2007年6月13日. 
  114. ^ Gaudin, Sharon. California Man Gets 6-Year Sentence For Phishing. 信息周刊. 2007年6月12日. (原始内容存档于2007年9月5日). 

外部链接[编辑]