随着人们越来越多地依靠互联网进行商业、个人财政和投资等活动,互联网诈骗已经成为一个越来越大的威胁。互联网诈骗有多种形式,从eBay网站上销售的假冒商品到操纵股票价格的恶语流言,再到承诺如果你通过自己的银行帐户帮助进行一笔国外金融交易就能得到大笔财富的骗局,不一而足。
网络钓鱼就是互联网诈骗中很有趣且发展最快的一种。网络钓鱼(Phishing)的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动,如身分窃取、盗窃或欺诈。用户在被欺骗的情况下,或者通过网页形式透露信息,或者通过下载和安装恶意软件而透露信息。
当用户上当受骗,对在线交流形成一种错误的观念,并进而采取违背用户真实意图的行动时,钓鱼攻击就获得成功。由于推断一个用户的意图是很困难的,因此,要创建一种自动系统保护用户免遭钓鱼攻击是一个很具有挑战性的问题。
近来,钓鱼攻击发生的频率越来越高,其中许多足以以假乱真,欺骗用户。据反钓鱼攻击工作组(APWG)透露,仅2004年4月,对钓鱼攻击的报告就增加了180%,而在之前的六个月内则增加了4000%。从事反垃圾邮件的邮件边界公司最近一项研究发现,钓鱼邮件欺骗用户的成功率为28%。2002年,钓鱼攻击所造成的损失估计近3700万美元。
一、一个钓鱼攻击案例的剖析
反钓鱼攻击工作组对钓鱼攻击的案例进行收集和存档,这是一项很有价值的工作,因为攻击所用网址只存在很短的时间。其中一件案例就是对eBay消费者的攻击,它首次在2004年3月9日被报道。
攻击从潜在的受害者收到一封声称来自eBay的电子邮件开始(图1),信中称用户的帐户信息已经过期,必须进行更改。信件还包含了一个看起来很像是指向eBay网站页面的嵌入式超链接,该网页要求用户输入信用卡号、联系方式、社会安全号码以及eBay的用户名和密码(图2)。
图1 一封钓鱼邮件的屏幕截图
图2 一个钓鱼邮件指向的钓鱼网页的屏幕截图
然而,隐藏在表面下的事实却是,信件的内容和网页都不是它看起来的那样,图3给出了欺骗过程的示意图。钓鱼邮件看起来像一封来自eBay的合法邮件,在“发信人”栏列出的是“S-Harbor@eBay.com”,它指向eBay公司的合法域名,信件中嵌入的链接也指向“eBay.com”,甚至还使用了加密通道(“https:”)。在这些暗示和信件内容的基础上,用户对该信件就会建立一种思想模型,即eBay要求更新用户信息,然后用户就采取行动,点击嵌入的超链接,并认为它指向eBay。但用户的行动被转变为一种完全不同的系统操作,即从“210.93.131.250”的IP地址获取网页,该IP地址代表在韩国汉城注册的一家通信公司的服务器,这家公司同eBay公司没有任何关系。
图3 一次钓鱼攻击的剖析
钓鱼网站的欺骗模式也与此类似,其网页看起来很像是合法的eBay网页,它包含了一个eBay标识,其内容和版面同真实eBay网站网页的格式也相同。在这种情况下,用户就会建立一种思想模型,即浏览器所打开的是eBay的网页,用户必须提供所要求的信息,以保持用户eBay帐户的有效性。然后用户就采取行动,输入个人和财政数据,并点击“提交”按钮,希望将这些信息发送给eBay,但用户的行动被网页浏览器转变为这样一种系统操作:将用户输入的数据加密转变成一个HTTP请求并发送给“210.93.131.250”,而该IP并不是一个合法的eBay服务器。
| 共2页: 1 [2] 下一页 | ||
|
