針對電子銀行的網絡釣魚攻擊及其防範策略
來源:《信息網絡安全》
作者：1. 呂述望；2. 王昭順；3. 李劍；4. 陳孟英，上海多特蒙德中文實業有限公司

 “網絡釣魚”第一次有記載提到的是在1996年1月2日的alt.online - service.america - 的Usenet 新聞組。

據360安全中心《2010上半年安全報告》數據顯示，目前國內網上活躍的“釣魚網站”數超過了10萬個，並以平均每月11630家的速度飆漲。僅2010年上半年，網絡釣魚給網民和社會帶來的直接或間接的經濟損失就超過120億元。網絡釣魚已成爲僅次於木馬的網絡安全新威脅。

1 網絡釣魚方法介紹

早期釣魚者利用的方法是胡亂的通過郵件或短信發給網銀或各種網上支付的客戶，現在發展到有針對性的欺騙特定的客戶（對客戶的個人信息瞭解的基礎上）。針對性釣魚被稱爲魚叉式網絡釣魚（spear phishing）。

國外，社交網站因爲容易泄露個人信息，成爲網絡釣魚的主要目標。統計表明這類釣魚的成功率超過70%。

控制特定網站，在其上修改連接地址使其指向釣魚網站。

鏈接操控

大多數網絡釣魚使用的方法是在郵件、IM或其它載體中設計一個指向釣魚者網址的鏈接。拼寫錯誤的URL或網址子域是釣魚者常用的欺騙手段；另一個常用的伎倆是鏈接中顯示的tags之間文本，看起來很正常，用戶點擊後就鏈接到釣魚者設計的地址；一種舊的欺騙方法使用含有@符號的鏈接，@符號的本意是包含用戶名和密碼（和標準相違背）；另一個關於URLs的問題是瀏覽器處理國際化域名（IDN），看起來相同的WEB地址，可能導致不同的（很可能是欺騙網站）網址；儘管國際化域名欺騙或同型詞攻擊的漏洞已經公佈，網絡釣魚者還可以利用對可信機構網站的公開的URL重定向功能，用可信的域名僞裝的欺騙網址。這一技術還可以欺騙使用數字證書的客戶，因爲釣魚者可以購買證書，修改內容後欺騙真正的網址。

　　攻擊者製造了一個頁面，提示用戶一些錯誤信息，比如“會話已經超時，請重新登錄”之類的話，這確實常常發生在銀行網站上，所以黑客利用這點能夠更容易的進行攻擊。

邪惡的雙胞胎（Evil twins）是一種防不勝防的釣魚技術，該方法是釣魚者在賓館、機場等一些公共場所建立仿冒的無線網絡，當客戶登陸的這類網絡後釣魚者就會得到用戶的私密信息。

2 網絡釣魚的防範

技術上的應對措施

以下這些技術措施，已經作爲組件嵌入到大部分的瀏覽器中，並作爲網站登錄過程的一部分。

l   合法網站列表

    大部分防釣魚的網站是使用了SSL和PKI的安全網站，網址是其標識符。理論上講使用了SSL認證對用戶來講應該能確認網址，這也是SSL V2設計的基本要求。但事實上很容易欺騙。明顯的缺陷是瀏覽器的安全用戶接口無法應對當今強大的威脅。使用TLS和證書的安全認證包含三部分內容：表示鏈接的認證模式；指示那個網站是用戶正在鏈接的；指示那個部門說的是這個網站。這三部分都需要認證，並都需要由（向）用戶確認。

安全連接

從90年代中期到2000年代中期安全瀏覽的標準顯示是掛鎖。2005年，Mozilla用一個黃色的2005  URL工具條作爲安全鏈接的標識，這一創新，由於EV證書的出現得到了發展。

哪個網站

用戶希望能確認瀏覽器地址欄中的域名就是他們要訪問的站點。像一些反釣魚網站工具所做的那樣，簡單的顯示訪問網站的域名是不夠的。

一些較新的瀏覽器，例如IE8，整個網址只有域名顯示黑色，其它都是灰色，這樣可以幫助用戶識別欺詐網站。

另一方法是PETNAME擴展，FIREFOX瀏覽器允許用戶自己爲網址作標籤。

EV證書，瀏覽器用綠色顯示組織的名稱。

安全瀏覽的安全模式中的根本缺陷

提高安全用戶界面爲防範網絡釣魚已經帶來了益處，但是也暴露了安全模式的根本缺陷。

Ø  安全早於威脅

先有安全措施，後有安全威脅。或者說安全威脅都是在現有安全措施基礎上出現的。

Ø  點擊通過綜合症

對網站站點配置不當造成的告警，類似證書過期、域名不匹配，用戶通常是點擊通過，久而久之發展到現在的點擊通過綜合症。

Ø  缺乏興趣

TLS網絡服務器中缺乏對服務器名稱的指示、以及費用和獲取證書的不便使得很少使用安全認證，這又引起對TLS安全認證知識和資源的不關心、不瞭解。也使得安全瀏覽器廠商提升安全服務變得緩慢和低迷。

Ø  橫向溝通

安全瀏覽的安全模型包括許多參與者：用戶、瀏覽器廠商、開發商、CA組織、審計員、網絡服務器供應商、電子商務網站、監管機構和安全標準委員會等，所有參與者之間缺乏溝通和統一協調，甚至推卸責任。

Ø  標準僵局

由於形成一個標準的週期較長（10年左右），而威脅模式的更新只需一個月的時間，所以儘管有好多可以提高用戶安全界面的技術都無法形成標準，甚至和標準牴觸。

l   瀏覽器對欺詐網站提醒用戶

維持一個已知釣魚網站的列表，是現在大多瀏覽器的功能項。釣魚網站通常是模仿受害人的網站在其網站上嵌入圖片（例如logo），爲此有些網站改變了圖片，修改文件的名字永久替換原來的圖片，並將信息通過郵件發送給用戶。

l   增強的密碼登陸

“美國銀行”的網站要求用戶選擇一個自己的圖像，登陸網銀時只有看到自己的個人圖像才能輸入密碼。

另一技術是利用動態網格圖像，該網格圖像每次登陸時都不同，只有用戶將網格中的圖像還原成初始選擇的圖像時，才能出現密碼輸入框。

l   釣魚郵件清除

專業的垃圾郵件過濾系統能夠減少釣魚郵件的數量，這需要機器學習和自然語言處理的方法分類釣魚郵件。

l   檢測和移除

成了專門的組織或機構，動員全社會力量，24小時監控互聯網動態，發現釣魚網站立即消除和告警。

社會範疇對策

防範網絡釣魚要從立法和技術多渠道共同努力，大部分新出的瀏覽器都含有防釣魚程序。

一是培育人們的認識釣魚的企圖和應對方法。爲了防範釣魚，人們可以稍微修改一下自己的瀏覽習慣，當收到需要驗證賬號等釣魚者習慣使用的伎倆的郵件後，最好能通過電話等方式得到開戶行確認；另外還可以直接在地址欄中輸入網站地址而不是點擊郵件中的地址。

目前大部分的受害者是因爲缺乏安全防範意識，讓釣魚者有了可利用的空間。所以用戶自身要增強安全意識，認識到網絡環境是不安全的，互聯網環境是一個虛擬的小社會，互聯網上的活動各式各樣，懷着各種目地的人，爲了達到目的進行着各自的努力。這其中就有想蒐集別人的私有信息，進而達到欺詐和竊取他人財物、敏感信息的目的。

媒體要針對互聯網的安全現狀，加大宣傳力度。一是要宣傳網絡釣魚行爲是違法行爲，是要負刑事責任的。違法必究，不要抱逃避法律打擊的僥倖心理。而是要對網絡用戶加強網絡安全知識的普及教育，使人們上網時要保持警惕性，不要隨意登陸不認識的網站，也不要貪便宜，要記住天上不會掉餡餅。

司法部門要加大打擊力度，及時的發現和破獲網絡釣魚違法案件，讓犯罪分子沒有喘息的機會。這一方面要加大公安的技術投入，另一方面也要提高公安隊伍的執法能力，使司法部門能夠發現一起破獲一起懲處一起，讓犯罪分子沒有生存的土壤。

防範釣魚不是個別人個別部門的事情，是全社會的事情。只有全社會各個部門的通力合作，才能讓犯罪企圖無法得逞，讓犯罪行爲得以懲處。才能讓網銀用戶安心使用，讓網銀事業蓬勃發展。

 呂述望簡介

1965年畢業於中國科技大學無線電電子學系自動控制專業，現任中科院研究生院信息安全國家重點實驗室教授、博士生導師。

1980年以來主要從事密碼學、信息安全方面的研究。近期主要從事信息安全中關鍵芯片集成工作，承擔國家重點基礎研究發展規劃項目（973 ）中 “信息安全中關鍵芯片集成及其基礎研究” 課題和國家高科技發展計劃（863 ）中 “密碼算法標準研究及其芯片集成”項目。

理論研究承擔了國家自然科學基金課題“ 完全映射及其密碼學應用”。 曾獲得1986年度和1988年度中國科學院科技進步一等獎、1988年度國家科技進步二等獎、1992年度國家科技進步一等獎、1995年度省部級科技進步一等獎、1996年度國家科技進步二等獎、1997年度省部級科技進步二等獎，均爲各獎項的主要完成人。

1992年起享受國務院分發的政府特殊津貼。他主持開發的SMS4密碼算法是我國官方公佈的第一個商用密碼算法，應用於無線局域網。