老谋深算的邮件骗局,成为互联网世界潜伏的灾难。
“‘网络钓鱼( Phishing)’作为一种网络诈骗手段,算不上新鲜事物,而且没有太多技术含量,主要是利用人们的心理来实现诈骗”,一位国内的安全技术人员评论说。
尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟,但它在过去一年中非常猖獗—Gartner公司最近一项调查表明,约万名美国消费者收到过此类仿冒的电子邮件,有高达5%的人都会对这些骗局作出响应。由于”网络钓鱼”技术不断升级,Gartner公司预测,这种诈骗会快速蔓延到通过电子邮件与客户通信的所有商业领域,任何拥有在线业务的公司都将成为潜在的受害者。
7月20日的一则消息“一恶意网站伪装成联想主页,散布‘和腾讯公司联合赠送QQ币’的虚假消息,诱使众多用户访问该网站时造成感染”,让国人警醒:小心被“钓”,“鱼钩”就在我们眼前晃动。
认识篇
手段:威逼利诱
“网络钓鱼”利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和编号等内容。
“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对其中的程序代码动手脚,如果使用者信以为真地按其链接和要求填入个人重要资料,资料将被传送到诈骗者手中。
“PhishTrap(反网络钓鱼陷阱)”成员 Richard_Cheng 解释说:“当这些网络诈骗者将饵 (电子邮件) 撒到互联网之后,就静待受骗者上钩。”根据Gartner的统计,由于诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,所以在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局作出响应。
诈骗者通常采用“威逼利诱”手段制造出各种名目的“主题”。比如最早引起广泛关注的“网络钓鱼”事件,是去年11月出现的Mimail.J病毒,伪装成由Paypal网站寄出的信息,表示收件者的账户将在5个工作日后失效,要求用户更新个人信息,才能重新启动账户。再比如7月20日,一恶意网站(www.1enovo.)伪装成联想主页(www.lenovo.com),前者将数字1取代英文字母L,利用多种IE漏洞种植木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站时造成感染。
现状:上钩者众
最近一年以来,“网络钓鱼”在美、英等国家变得非常猖獗,数量急剧攀升。据Gartner公司最近的一项调查表明,有5700万美国消费者收到过此类仿冒的电子邮件,由此引起的ID欺诈盗窃给美国银行与信用卡公司的用户造成的直接损失在去年达到了12亿美元。
过滤公司Brightmail的数据表明,过去9个月中,全球Phishing邮件总量增长迅猛,于今年4月达到31亿封。据英国安全机构MI2G报告,去年,有250多起针对主要银行、信用卡公司、电子商务站点以及政府机构的“网络钓鱼”攻击。
根据反网络钓鱼组织 APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来,而最常被仿冒的前三家公司为:Citibank(花旗银行)、eBay和Paypal。
后果:诚信危机
Gartner公司高级副总裁和研究董事Litan说:“金融机构、互联网服务提供商和其他服务商必须严肃地解决‘网络钓鱼’问题,如果不能极大地减少这种诱饵攻击,那么消费者对在线交易的信任感将会逐渐被侵蚀,最终所有网络交易的参加者都会受到伤害。”
APWG主席David Jevans表示:“这些攻击正在破坏整个电子商务系统—我们经营方式的信用。”的确,eBay和其他几十家已遭“网络钓鱼”多次攻击的公司担心:它不仅损害了业务,而且对客户、对电子商务的信心提出了极大挑战。
“网络钓鱼”已经开始显现出其巨大的破坏力。根据Pew Internet Life的调查,消费者对电子邮件的信心已经降到了有史以来的最低点。Cyota最近针对在线银行账户持有者的一项调查表明,74%的被调查者表示,由于此项威胁,自己不太可能对来自银行的电子邮件做出回复,而且进行在线购物的可能性降低了。这意味着,一些合法商业机构如果无法阻止其品牌被欺骗活动继续利用,其在线渠道将可能部分或者彻底失去。
当然受损的还有商业机构的品牌。MI2G执行总裁DK Matai指出:“虽然在很多情况下,品牌所有者并没有错,但这些在线品牌应当具备足够的能力,并用更多的心思来防止消费者犯错误。” APWG旗下一个企业成员因“网络钓鱼”遭到客户起诉,理由是没有履行相应责任。
除了信任,“网络钓鱼”也会给企业和个人带来一些更直接的损失。如果诈骗者钓到用户的信用卡账户信息,无论对于持卡者还是销售商都面临着风险。另外,为每个用户发行新的信用卡、账号和密码大约需要50多美元,如果是大量客户被钓,成本也是非常惊人的。
警惕:真伪难辨
这些欺骗性的电子邮件和Web站点,正看起来越来越“完美”,也越来越“可信”。
信息加密公司PostX首席技术官Cayce Ullman说:“我们遇到一个利用eBay品牌进行诈骗的‘网络钓鱼’者,我用了整整25分钟才确定他是真正的骗子。连我们也很难分清,那我们的消费者又如何来区分呢?”其中最令安全专家忧心的是,“网络钓鱼”者使用 Javascript 将浏览器网址所显示的地址换掉,让呈现出来的网址与假冒公司的官方网址完全相同。
绿盟科技专业服务部总监王红阳说:“浏览器自身的脆弱性也在一定程度上增加了迷惑性。”他建议,用户可以使用其他的浏览器来降低风险。
趋势科技中国区技术顾问齐军的建议:如果是这种情况就一定要用反网络钓鱼(anti-phishing)工具来防范,因为眼睛看到的是正确网址,但工具看到的才是真正机器码。他提供一个“一劳永逸的方法”,就是永远不要从电子邮件的链接直接连出去。
令普通用户头疼的是,“网络钓鱼”要达到广泛诈骗的目的,通常都伴随着病毒和木马,或者说病毒邮件、木马也经常包含“网络钓鱼”的内容。
中国:一步之遥
值得庆幸的是,中国遭遇的“网络钓鱼”攻击比较少,安全专家将主要原因归结为:“网络钓鱼”主要攻击的是网上银行和电子商务,而国内的网上银行与电子商务应用还不普及。
江民研发部总经理何公道还谈到另外一方面原因:国内金融机构的防范工作比较到位,加上国家对金融犯罪的惩罚严厉,所以“网络钓鱼”目前威胁还不是很大。对比之下,他认为当前“网络钓鱼”对于虚拟财富的威胁程度是比较高的,比如QQ号码、网游账号及装备等。
但是一些“网络钓鱼”案例已开始见诸报端:今年5月26日哈尔滨市某妇幼保健院麻醉医生付志受审,其利用类似“网银大盗”木马病毒在网上传播、盗取了各类密码达7000多个,并已经成功盗取12000元; 6月,中国台湾破获一起网络银行入侵案,总计20万名客户资料外泄;中国香港金融管理局公布一“李鬼”银行网站,其与港基国际银行有限公司的正式网站非常相似; 7月20日,江民快速反病毒中心接到举报,发现一个恶意网站伪装成联想官方网站隐藏病毒,伺机窃取用户传奇游戏账号。
所以我们在庆幸之余,不能侥幸:互联网无国界,“网络钓鱼”的危机其实一直潜伏在我们身边。
