“网络钓鱼”是当今威胁互联网用户最为常见的一种手段,尤其是在淘宝、天猫、京东等电商购物方式盛行的今天,它会给用户带来巨大的经济损失,而且,其手段也从传统的网站欺骗过渡到电信欺骗等方式,让用户防不胜防。虽然电商都在通过反钓鱼、网站监测等方式来避免被钓鱼,用户还是需要具备一些必要的防御手段来避免“中招”,以减少不必要的经济损失。本文将针对该威胁进行分析,探讨其常见手段并介绍一些较为实用的防御方法。
网络钓鱼的真相
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了“Phishing”。然而,当今的“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
“网络钓鱼”就其本身来说,称不上是一种独立的攻击手段,更多的只是诈骗方法,就和现实中的一些诈骗差不多。黑客利用欺骗性的电子邮件和假冒的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户号和口令、社保编号等内容(通常主要是那些和财务、账号有关的信息)。黑客通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌单位,因此,受害者往往也是那些和电子商务有关的服务商和使用者。随着2005年美国4千万信用卡信息被窃案的发生,Phishing事件受到国内外的密切关注。在刚刚过去的2011年,除了传统的假淘宝网站、假QQ网站、假网上银行网站、六合彩钓鱼网站等,黑客又发展到假sina网站、假机票网站、假火车票网站、假药品网站等等,可以说,随着互联网应用的增多尤其是电子商务的进一步发展,“网络钓鱼”正在高速壮大,对网民的威胁越来越大。
警惕网络钓鱼的主要手段
网上黑客采用的“网络钓鱼”方法比较多,归纳起来大致有以下几种方法:
(1)发送垃圾邮件 引诱用户上钩
该类方法以虚假信息引诱用户中圈套,黑客大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填人金融账号和密码,或是以各种紧迫的理由(如在某超市或商场刷卡消费,要求用户核对),要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
(2)建立假冒网上银行、网上证券网站
骗取用户账号密码实施盗窃黑客建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,诱使用户登录并输人账号密码等信息,进而通过真正的网上银行、网上证券系统盗窃资金;还可利用合法网站服务器程序上的漏洞,在该站点的某些网页中插人恶意Html代码,屏蔽那些可用来辨别网站真假的重要信息,利用cookies窃取用户信息。
(3)URL隐藏
根据超文本标记语言(HTML)的规则可以对文字制作超链接这样就使网络钓鱼者有机可乘。查看信件源代码就能很快就找出了其中的奥秘,网络钓鱼者把它写成了这样http://www.Bbank.com.cn 这样屏幕上就显示了Bbank 的网址而实际上却链接到了Abank的陷阱网站。
(4)利用虚假的电子商务进行作骗
黑客建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,黑客在收到受害人的购物汇款后就销声匿迹。除少数黑客自己建立电子商务网站外,大部分黑客采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。黑客一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。
(5)利用木马和黑客技术窃取用户信息后实施盗窃
黑客通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序可获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
(6)利用用户弱口令等漏洞破解、猜测用户账号和密码
黑客利用部分用户密码设置过于简单的账号,对账号密码进行破解。目前已有很多的弱口令破解黑客工具在网上可以免费下载,它们可以在很短的时间内破解出各类比较简单的用户名及密码。
(7)其他手段
实际上,黑客在实施“网络钓鱼”犯罪活动过程中,经常采取以上几种手法交织、配合进行。值得特别提醒的是:“网络钓鱼”非法活动并不排除有新的手段的出现,并且已经不仅限于通过网络方式,还包括电信诈骗等方式,比如现今泛滥成灾的“垃圾手机短信”和”陷阱电话”,其中有部分是诈骗短信,以急迫的口吻要求用户对并不存在的已消费的“商品”进行买单,或者以熟悉的朋友或者是亲人的身份来要求受害人呢提供帐户和密码,严格地说,它也应当属于“网络钓鱼”的范畴。所以,推而广之,任何通过网络手段(包括通信)进行诈骗和误导用户使之遭受经济损之的行为都应当称之为“网络钓鱼”。
实用的防范策略
个人用户要避免成为Phishing的受害者,一定要加强安全防范意识,提高安全防范技术水平,针对性的措施可以归纳如下几点:
(1)防范垃圾邮件:这是防范网络钓鱼最为重要和关键的一步。当今绝大部分的垃圾邮件都携带有网络钓鱼的链接,用户们经常受到莫名其妙的邮件,因为好奇而点击其中的链接,随着而来的便是或被其中的“廉价”或者“伪冒”信息所蛊惑,或者是被安装上了木马。因此,利用垃圾邮件防护工具或者主动地对不明邮件提高警惕是防范网络钓鱼的第一要义。
(2)安装防病毒系统和网络防火墙系统:这是一个非常必须的步骤,多数反病毒软件都具有对包括间谍软件、木马程序的查杀功能;防火墙系统监视着系统的网络连接,能够杜绝部分攻击意图并及时报警提醒用户注意。由于病毒和黑客攻击手段翻新不断,防病毒和防火墙系统应及时升级,定期杀毒。
(3)及时给操作系统和应用系统打补丁,堵住软件漏洞:象Windows操作系统和IE浏览器软件都存在很多已知未知的漏洞,一般厂家在发现漏洞之后会迅速推出相应的补丁程序,用户应当经跟踪操作系统和应用程序的官方网站,充分利用厂商的资源,在发现各种漏洞时第一时间为自己的系统打上安全补丁,避免黑客利用漏洞人侵电脑,减少潜在威胁。
(4)从主观意识上提高警惕性,提高自身的安全技术:首先要注意核对网址的真实性,在访问重要的网站时最好能记住其网络域名或者IP地址,确保登陆到正确的网站,避免点击搜索引擎搜索出的链接等简便方法。第二要养成良好的使用习惯,不要轻易登录访问陌生网站、黄色网站和有黑客嫌疑的网站,拒绝下载安装不明来历的软件,拒绝可疑的邮件,及时退出交易程序,做好交易记录及时核对等等。
(5)妥善保管个人信息资料:很多银行为了保障用户的安全,设定了登录密码(查询密码)和支付密码(取款密码)两套密码,用户若保证登录密码与支付密码不相同,这样即使登录密码被窃取,网络钓鱼者依然无法操作用户的资金。尽量选择安全的密码,建议选用字母、数字混合的方式,以提高密码猜测和破解难度。密码等个人资料应妥善保管并定期更新,避免将密码泄露给他人。
(6)采用新的安全技术:数字证书是一种很安全的方式,通过数字证书可以进行安全通信和电子数字签名,电子签名具有法律效力。网上交易在数字证书签名和加密的保护下进行网上数据的传送,杜绝了网络钓鱼者使用跨站cookie攻击以及嗅探侦测的可能。数字证书具有可复制性,如同家门钥匙一样,用户应妥善保管。对于一些被假冒的机构和政府相关管理部门而言,也应采取相应的措施与Phishing这种犯罪活动做斗争。例如银行也可积极采取技术措施和宣传活动让用户能够识别真假避免上当。相关政府职能部门也应沟通合作,及时定位、关闭这些仿冒网站并从其所有者手中追回被盗的用户信息,减少直接和潜在损失。