目前“网络钓鱼”已经成为各大安全软件厂商网站以及各大门户网站IT版面常出现的词语。据国外知名安全厂商的专家介绍,“网络钓鱼”已经成为2004年最主要的互联网威胁之一。预计在2005年“网络钓鱼”数量还会增加,其给用户造成的直接经济损失将不逊于任何一种网络病毒。那究竟什么是“网络钓鱼”?它为什么有如此大的危害?
“网络钓鱼”追本溯源
“网络钓鱼”,英文为“Phishing”(实施诈骗的人称为“Phisher”)。该词来源于“Fishing”(钓鱼),原指通过电子邮件在互联网用户的“海洋”中“钓取”用户的金融密码。
早在上世纪70年代,有位名叫John Draper的黑客曾制造一种被称作“蓝盒子”的设备控制电话交换机以免费拨打长途或盗用他人的电话号码。这种黑客行为被称作“phreaking”(“飞客”,亦称“电话耗子”)。于是后来的黑客用“Ph”来取代“F”,创造了“Phishing”一词,“Phishing”与“Fishing”发音相同。
最早的“钓鱼”事件发生在1996年,一群黑客通过诈骗手段成功窃取了美国在线(AOL)用户的帐号信息,并在“alt.2600”新闻组上首次公开将其称作“网络钓鱼”。
现在的“网络钓鱼”是指攻击者利用发送欺骗性电子邮件和伪造Web站点等手段来进行诈骗活动。受害者往往会被诱骗,泄露自己的个人信息和财务数据,包括个人的真实信息、联系方式、电子邮件等,甚至还可能包括银行卡号、帐户和密码等。
据美国Anti-Phishing Working Group(反“钓鱼”工作组)调查显示,仅11、12两月就出现了十多起规模较大的网络钓鱼事件,涉及到花旗银行、eBay、Bank One、Washington Mutual、SunTrust、EarthLink、美国在线、VISA以及美国银行等众多知名企业、金融机构。从该组织官方网站公布的统计图表看,目前网络钓鱼的数量正呈现上升趋势。
小心!“网络钓鱼”就在你身边
看了上面的文字,如果你认为“网络钓鱼”只是发生在国外的新鲜事物,那你就错了。2004年,我国也开始出现“网络钓鱼”形式的网络诈骗活动,并且愈演愈烈,下面就举几个比较典型的事例。
天上“掉下”QQ币
你的QQ是否收到过好友发来的类似“登陆XXXX网站,免费获赠QQ币”的消息?你可曾真的登陆了这些网站或者转发过这些消息?
如图中的http://www.c****s.com/qqb/就属于这一类网站,通常这些网站会模仿腾讯QQ官方网站的风格建立,让人误以为是腾讯公司进行的市场促销活动。同时,这些网站还会有一些提示信息暗示用户转发消息等,比如:“请把那个网址发给你QQ里的朋友,发送的人数由您申请的Q币个数来决定。我们的统计系统将记录由您发送的网址访问的人数,当由你发送的网址带来的访问量达到系统给您提出的人数时,系统将立即给您的QQ号上拨上您申请的Q币个数。”
然而,即使你严格按照网页提示的步骤进行操作也不会真的得到QQ币。如果删除掉网址中的“qqb”可以发现它本身是一个盗版电影下载网站,而“送QQ币”是这个网站单独建立的一个页面。该页面提供的信息完全是虚假的,发送这些消息的也是QQ的受骗用户。这类网站这样做的目的是为了宣传自己、加大网站的访问量、提高网站在全球的排名从而获取商业利益。它的做法即属于“网络钓鱼”,而这类带有欺诈性质的网站被称作“钓鱼网站”。
通过对该网站进行分析,发现它只是欺骗用户对其进行宣传,并没有偷窃用户的QQ号。但并不是所有的“钓鱼网站”都如此善良。目前,已经发现有不少钓鱼网站上含有病毒或木马,用户登陆这些网站就有可能被病毒感染。感染病毒后,使用QQ、MSN、网易POPO、新浪UC等即时通信工具时便会自动发送类似“你快去http://******.yeah.net看看吧!很好玩!”的消息。你的好友收到此消息后会误以为是你发送的,当他们登陆消息中的网站后也会感染此病毒,随后病毒也会自动地给他们的好友发送同样的消息。更有一些网站附带的木马程序,不仅仅会发送广告消息,还会偷取用户的网络游戏帐号和密码。
看好你的网游帐号
2004年4月,知名网络游戏A3的主页上发表声明,内容如下:
“近日接到许多玩家举报,bba3.126.com这个网站假冒A3充值系统,骗取玩家帐号及所在服务器等信息,有少数玩家因为没有经验,轻信人言,导致帐号丢失或角色内装备物品丢失等严重损失。
东方互通特此通知广大玩家,警惕这些假冒充值或者注册帐号之类借官方名字或免费等恶意骗取玩家资料的网站,所有充值、注册、修改资料等等都请到A3官方网站,而且A3现在还处于公测阶段,不存在任何所谓充值的问题。
请各位A3玩家相互转告”……
笔者发现,时至今日该假冒网站仍然能够访问。这个网站的仿真程度极高,单从页面看很难辨出真伪。游戏玩家一旦在该网站输入了游戏的登陆帐号、密码和所在区域信息,这些资料就会被窃取。据了解,目前这类假冒网络游戏充值系统的“钓鱼网站”还很多。
三大网上银行遭遇“李鬼”
去年12月初,如果你登录中国银行的官方网站,会在页面左上角发现一条声明:“敬告广大客户,中国银行目前唯一使用的国际互联网门户网站地址为:www.bank-of-china.com”。
据中国银行有关人士介绍,在网上发现有假冒的中国银行网站。该网站页面设计风格与官方网站极其相似,唯一不同的是中行的网址为“www.bank-of-china.com”,而仿冒网页为“www.bank-off-china.com”,只有一个字母之差。而且,在仿冒网站的网页上有输入账号和密码的地方,中行的官方网站则没有这些内容,当用户在仿冒网页上输入账号和密码后,页面显示的是系统维护,实际此时用户的帐号和密码已被假冒的中行网站窃取。目前,中国银行已报告公安机关,该假冒网站随即被查封。
继中国银行网站被仿冒后,农业银行、工商银行也均遭遇“李鬼”。工商银行的真假网站地址也只有一字之差,真的网址为www.icbc.com.cn,假的网址为www.1cbc.com.cn,不法分子将字母i换成了极易混淆的数字1来蒙骗市民。而假冒中国农业银行域名是www.965555.com,与中国农业银行官方网站的域名www.95599.com也较为相近。
笔者了解到,这些网络骗子均是通过手机短信或电子邮件等群发具有诱惑性的信息欺骗用户登录假冒网站,“网络钓鱼”的手段朝着混合化、立体化的方向发展。在未来的一段时间里,针对股民、网络银行、电子商务用户的诈骗将越来越多。
“网络钓鱼”的发展趋势
从美国Anti-Phishing Working Group(反“钓鱼”工作组)的一些统计数据来看,未来“网络钓鱼”呈现如下几个趋势。
一、中国“网络钓鱼”网站数量趋于世界前列
尽管美国是世界上存在“网络钓鱼”网站最多的国家,但在上个月,中国的“网络钓鱼”网站数量大幅度增加,大有赶超美国之势。“网络钓鱼”网站的数量前十名为:美国 27%、中国(包括台湾地区) 21%、韩国10%、日本 5.5%、加拿大 2.6%、巴西 2.1%、德国 2.1%、印度 1.84%、英国 1.76%、法国 1.54%。
二、“网络钓鱼”将主要针对金融机构
目前的“网络钓鱼”绝大部分是针对金融机构进行的,从2004年8月到11月的统计数据看,在整个“网络钓鱼”事件中与金融机构行业相关的网络诈骗占到约75%,同时我们也应看到针对互联网接入服务商(ISP)的“网络钓鱼”事件比例也在不断上升。可以看出,这些网络骗子(Phisher)们把直接获取真实财产作为首要目的,而对受害者来说,“网络钓鱼”造成的直接损失有时会比计算机病毒带来的还要大。
三、利用恶意程序进行的“网络钓鱼”数目不断上升
越来越多的攻击者开始使用病毒、木马以及恶意代码来窃取用户的网络银行帐户、密码以及其他相关的信息。攻击者大多利用微软Internet Explorer浏览器的漏洞来释放恶意程序,如果用户的浏览器存在这些漏洞,则当他们访问这些含有恶意代码的网站时就会感染病毒、木马等。
同时,这些攻击者还会发送大量含有病毒、木马以及恶意代码的电子邮件。与一般的进行广告宣传的垃圾邮件不同,社会工程学被更多的利用到了“网络钓鱼”的邮件当中。这些邮件通常带有诱惑性的词汇驱使收信人打开附件。
近日,英国网络安全监控公司MessageLab表示,网络骗子(Phisher)已经开发出一种有效的新型计算机软件,能够通过诱惑用户打开一封恶意电子邮件,窃取用户的网络银行资料。一旦用户打开携带该软件的电子邮件,一个很小的脚本程序就会开始运行。它能够潜入用户的计算机,修改浏览器中“收藏文件夹”中的网站地址,或自动地将用户由正常的网络银行网站引导到与合法网站非常相似的非法网站,套取用户的网络银行资料。这意味着用户只要打开邮件就会受到“网络钓鱼”的攻击,而不必运行其中的附件。
四、以电子邮件为主,多种“钓鱼”手段并存
仅2004年11月,美国Anti-Phishing Working Group(反“钓鱼”工作组)就收到8459起新的通过电子邮件方式的“网络钓鱼”报告。这个数字是同年8月份(2158起)的四倍。从7月到11月平均每月增长速度约为34%,是一个相当惊人的数字。
在中国,通过电子邮件形式进行的“网络钓鱼”活动也屡见不鲜,上面的提到的盗取A3网络游戏帐号以及网上银行帐号的事件均是通过发送电子邮件诱使用户登陆假冒网站而进行诈骗的。同时,通过手机短信以及QQ、MSN等即时通讯工具进行的“网络钓鱼”活动数量也在不断上升。
五、“网络钓鱼”盯上安全漏洞
2004年可以说是微软漏洞年,利用漏洞进行感染和传播的病毒常使用户叫苦不迭。虽然这一年爆发的震荡波病毒让很多人认识了漏洞的严重性,但是那些没有被病毒利用或不能被病毒利用的漏洞却往往被忽视。
在这些不被重视的漏洞中有很多是可以被网络骗子(Phisher)所利用的,比如去年底到今年初出现的几个重大IE漏洞。不良人士可以利用这些漏洞对装有Windows操作系统的电脑实施“网络钓鱼”攻击,即使号称最安全的Windows操作系统WindowsXP SP2也不能幸免。黑客可以任意控制地址框中所显示的URL链接,因此当用户访问带有“网络钓鱼”性质的假冒网站时,地址栏显示的却是一个正常的网址。这使用户完全不会察觉有任何异常,而上当受骗。不要以为只有微软的浏览器不够安全,近日,安全专家在开源浏览器Firefox中也同样发现了一个可被用于“网络钓鱼”的安全漏洞。
然而,受影响的不仅仅是操作系统和应用软件。去年10月,Google自曝其存在两个可被用于“网络钓鱼”的漏洞,目前该漏洞已经被修补。发现此漏洞的英国网络安全公司Netcraft的计算机工程师Jim Ley表示,Google在信息安全的防护上并不差,这类问题在多数大型网站上都很常见。
对“网络钓鱼”说“不”
目前,“网络钓鱼”已经引起信息安全业界的高度重视。NETCRAFT公司不久前发布了一款针对仿冒网站进行“网络钓鱼”的IE插件——NETCRAFT Toolbar。用户安装该软件后,IE就会出现一个工具条,该工具条会显示你当前浏览网页的关键信息。该工具的下载地址:http://toolbar.netcraft.com/install。
针对通过仿冒电子邮件进行的“网络钓鱼”活动,eBay公司为会员推出私人电子邮件服务。这样会员既可避免遭到假冒eBay之名发送的垃圾邮件所扰,也可避开网络骗子(Phisher)以仿冒的eBay网页骗取信用卡号或其它个人数据。
据悉,其他一些信息安全厂商也开始在它们的新产品中加入了“反钓鱼”功能。
但是,由于“网络钓鱼”更多是利用了社会心理学进行的,因此短期内不可能从技术上完全杜绝,对于用户来说只有提高安全防范意识才是最终解决之道。为此,国内外的信息安全厂商也作了大量的工作,瑞星公司还在其网站上制作了有关“网络钓鱼”的专题页面(地址:http://it.rising.com.cn/newSite/Channels/info/security/TopicExplorerPagePackage/phishing.htm)。
尽管“网络钓鱼”手段不断翻新,“网络骗子”越发狡猾,我们仍然可以采取一些防范措施将损失降到最低。安全专家也给出了他们的建议:
1、安装个人防病毒软件、个人防火墙软件并更新到最新版本。
2、经常对计算机进行检查,警惕任何异常情况。
3、对陌生人发来的索取帐号类的电子邮件、短信不予理睬。
4、对好友通过QQ、MSN、电子邮件等发来的登陆某网站的信息要进行核实。
5、尽量采用非主流的浏览器及电子邮件客户端软件。
6、提高个人安全防范意识,经常登陆信息安全厂商的官方网站,了解最新的安全资讯。