浅谈钓鱼攻击的技术及对策

开篇：润墨网以专业的文秘视角，为您筛选了一篇浅谈钓鱼攻击的技术及对策范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：随着互联网技术的高速发展，电子商务平台的大规模推广和应用，黑客攻击事件逐年上升，黑客攻击的重要手段钓鱼攻击事件频繁发生。据中国APAC（反钓鱼联盟）统计，仅2011年4月，APAC处理的钓鱼网络达2635个，截止至2011年4月份，APAC累计认定并处理钓鱼网络共46477个，包括钓鱼攻击、恶意代码等安全威胁，给国内网购用户带来了超过150亿元的损失，针对支付交易类、金融证卷类的钓鱼攻击，已占据所有钓鱼攻击事件的90%以上。如何及时、有效地识别与网络钓鱼相关的互联网风险，控制钓鱼攻击带来的影响，已经成为当前亟需解决的问题。

关键词：钓鱼攻击；网络钓鱼；风险防控；监控体系

前言：互联网技术的飞速发展，电子商务平台的大规模推广和应用，黑客攻击驱动力的变化，这些都促使安全威胁有了一些新的变化。作为一种主要基于互联网传播和实施的攻击――“钓鱼攻击”（Phishing Attack）正呈逐年上升之势，这不仅让广大用户遭受到经济损失，也让金融证券机构、电子商务公司的声誉和形象受到了影响。

如何及时、准确地发现钓鱼网站，并给予有效的控制和阻断，不仅是互联网用户关注的问题，同时也是金融机构、电子商务公司亟待解决的问题。本文针对钓鱼攻击的技术手段作了简要的分析并就对抗钓鱼攻击提出一些思路和建议，希望能给一些“反钓鱼”监控体系的机构带来一些启示。

1 钓鱼攻击已成为互联网最严重的威胁之一

国际反钓鱼网站工作组APWG（Anti-Phishing Working Group）对钓鱼攻击是这样定义的：一种利用社会工程和技术诡计，针对客户个人身份数据和金融账号进行盗窃的犯罪机制。钓鱼攻击是一种利用社会工程技术愚弄用户的实例。钓鱼攻击始于1987年，首度使用“网络钓鱼”这个术语则是在1996年，是由“Fishing”和“Phone”综合而成的（最早的钓鱼攻击是通过电话诈骗作案的），意味着放线钓鱼以“钓”取受害人的财务数据和密码。

钓鱼攻击越来越频繁地出现在我们的身边，所带来的经济损失也超过了传统恶意代码的攻击，甚至已经成为经济犯罪工业化的一部分。

为了避免更多的用户成为钓鱼攻击的受害者，保障他们的合法权利和财产安全，在美国和英国已成立了专门反假冒网址等网络诈骗的组织，如2003年11月成立的APWG（Anti-Phishing Working Group）国际反钓鱼网站工作组，以及2004年6月成立的TECF（Trusted Electronic Communications Forum）。

在国内，2008年7月18日，由银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者组成的“中国反钓鱼网站联盟”（APAC）在北京正式宣布成立。联盟已初步建立了一种快速解决机制，借助停止钓鱼网站CN域名解析等手段，及时终止其危害。

1.1 钓鱼攻击的本质分析

所谓“姜太公钓鱼，愿者上钩”，钓鱼网站一般把自己伪装成信誉卓越的机构以骗取用户的信任。通过大量散发的诱骗邮件、垃圾短信，将用户引诱到精心设计，与目标组织网站非常相似的钓鱼网站之后，攻击者再通过恶意代码窃取包括账号、密码等在内的个人敏感信息，最终得以假冒受害者，进行欺诈性金融交易。

1.省略”可用来假冒“paypal.省略”可用来假冒“barclays.省略”假冒“ebay.省略”假冒“paypal.省略%6C%6C...%6C@211.112.22

8.2”。网页浏览器的最近更新已关闭了这个漏洞，其方法是在地址栏显示前将URL中的用户名和密码去掉，或者只是简单地完全禁用含用户名/密码的URL语法，Internet Explorer就使用了后一种办法。

③IP地址

隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示，如210.93.131.250。这种技术的有效性令人难以置信，由于许多合法URL也包含一些不透明且不易理解的数字，因此，只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

④欺骗性的超链接

一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异，在链接标题中显示一个URL，而在背后使用了一个完全不同的URL。即便是一个有着丰富知识的用户，他在看到消息中显而易见的URL后也可能不会想到去检查其真实的URL。检查超链接目的地址的标准方法是将鼠标放在超链接上，其URL就会在状态栏中显示出来，但这也可能被攻击者利用JavaScript或URL隐藏技术所更改。

⑤隐藏提示

还有一种更复杂的攻击，它不是在URL上做文章，而是通过完全替换址栏或状态栏达到使其提供欺骗性提示信息的目的。有些攻击就使用了用JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口，它显示的是一个完全无关的URL。

⑥弹出窗口

最近对Citibank客户的一次攻击使网页复制技术前进了一步，它在浏览器中显示的是真实的Citibank网页，但在页面上弹出了一个简单的窗口，要求用户输入个人信息。

(2) 常见的钓鱼攻击技术手段总结

以上例举了几种常见的钓鱼攻击技术手段，归纳起来主要分为两大类：

第一类主要通过漏洞触发，包括目标网站服务器（如XSS、SQL注入），第三方引用内容的问题（如IFRAME挂马），网站IT支撑环境相关的DNS、HTTP、HTTPS、SMTP服务缺陷（如DNS劫持），以及客户端终端环境存在的隐患，攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。

第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗，如发送大量的诱骗邮件、短信、搜索引擎虚假信息，各类仿冒网站等。

1.3 钓鱼攻击的特点

钓鱼攻击最大的特征即是具有极大的欺骗性，攻击者制作一个仿冒网站，类似于真实网站的克隆，再结合含有近似域名的网址来加强仿真度，进一步骗取用户的信任。

(1) 针对性、目的性强

通常与钓鱼攻击紧密相关的都是一些银行、商业机构的网站。

(2) 攻击手段的综合化

网上银行业务及相关的IT支撑系统都会存在很多的安全隐患，钓鱼者会综合利用这些弱点，并结合社会工程技巧发起攻击。

(3) 传播途径的多样化

为了扩大钓鱼网站的影响，攻击者会通过搜索引擎、垃圾邮件、垃圾短信、虚拟社区论坛等各种渠道虚假诱骗信息。

(4) 存活时间较短

为了保护自己不被发现和追查，钓鱼网站一般在窃取到一定价值的信息后，会主动关停或傍靠（暂停钓鱼页面）。据APWG统计表明，2010年其监测到的钓鱼网站平均存活时间为14.5小时。

(5) 难以追溯和审查

为了逃避追查，钓鱼网站往往会采用境外注册和托管方式，并经常变更托管空间，更有甚者会先入侵一台服务器，然后在服务器上面虚假信息，混杂着真实信息一起的钓鱼攻击更难追溯和审查。

(6) 可识别性

钓鱼网站并不是完全没有破绽，钓鱼者会尽可能少地利用资源去构造钓鱼网站，无法利用真实网站的一些独有资源（如域名、USBKEY、数字验证等），所以，通常当我们查看HTML源码或是一些独有资源时，就可以较容易地识别出虚假的网站。

1.4 钓鱼攻击的产业链

钓鱼攻击带来的暴利正在催生新的地下黑色产业链，从钓鱼网站的代码开发，自动化钓鱼工具的生产，到钓鱼网站的销售和推广，再到用户敏感数据的收集，欺诈攻击的实施等各个环节正逐步形成一个完整的链条，并在全球范围内迅速传播。

黑色产业链的分工和合作，使得钓鱼攻击的实现变得越来越简单和廉价。钓鱼者甚至开始在互联网大肆推销钓鱼攻击外包服务，企图扩大这条黑色产业链的规模和影响。

2 对抗钓鱼攻击的思路和建议

钓鱼网站的频繁出现，已经影响到金融业务的拓展，损害了企业的品牌和声誉，同时还危害了社会公众的利益，干扰了公众使用电子金融产品的信心。如何及时发现钓鱼网站，有效控制钓鱼攻击带来的影响，已成为各金融机构密切关注，且急需解决的问题。

2.1 传统反钓鱼攻击技术对策

为了抵御钓鱼攻击，一些企业及金融机构采用了不同的防护手段。常见的有：

(1) 使用SSL证书加强网站合法性验证。

(2) 加固Web服务器防止被渗透。

(3) 购买专业安全厂商提供的金融反欺诈服务。

2.2 传统反钓鱼攻击解决方案的局限性

企业及金融机构反钓鱼攻击防护的一些对策，在一定程序上的确能缓解钓鱼攻击带来的影响，但因为缺乏总体规划和设计，片面且单一的反钓鱼措施存在一些局限性，需加以改进。

(1) 解决方案的完整性不足

传统的反钓鱼方案更多的是基于单一安全事件的防护需求而设计的，缺乏体系化的建设思路，也缺少对关键业务流程的风险分析，一些可能被钓鱼攻击利用的业务逻辑缺陷将引入极大的风险。

在面对一些新兴的业务模式时，传统方案显得力不从心，缺乏前瞻性的风险防范建设和扩展防护能力。

(2) 被动防范效果不好

由于钓鱼攻击具有较强的欺骗性，在无法有效发现钓鱼网站的前提下，主要还是依赖于客户自身的警惕性和风险意识进行防范，更多的是依赖最终客户的投诉和举报来获得更多的钓鱼网站信息。

(3) 控制力度和范围有限

因为缺乏明确的责权定义和跨平台的合作机制，在钓鱼攻击发生之后，企业无法有效地协调相关部门进行处理。这将极大地影响用户对于企业的信任。

(4) 预警方式形式单一

由于只能被动形式地接受客户的投诉与举报来获得钓鱼网站的信息，对于事件的可知、可控、可管理的三个环节都无法得到完全保障。对于频繁发生的钓鱼攻击，企业基本没有应对风险的预警能力，只能在事件造成一定不良影响的形势下，通过追加公告的方式，提醒更多客户提高安全意识来避免类似的钓鱼事件发生。

2.3 建立完善的反钓鱼监控体系

对抗钓鱼攻击的有效方法是建立一个积极、主动的“反钓鱼”监控体系，一方面依托互联网监管环境的治理，另一方面坚持贯彻“预防为主、防治结合”的方针，深入挖掘金融机构可能被钓鱼攻击利用的各种潜在威胁，主动找寻、实时监测互联网上网络钓鱼相关的安全风险，多方面积极控制钓鱼攻击可能带来的影响，为网上银行风险防控工作提供先进的技术支撑，为金融机构业务拓展提供强有力的安全保障。

总的来说，一个较为完善的反钓鱼监控体系应兼顾立法监管、技术监控、教育和培训、举报和反馈等多个层面的工作，并从预警、控制和响应三个阶段出发，提供相应的安全技术手段。

用户举报和反馈一直是反钓鱼措施中最有效的部份，根据APAC统计数据显示，2011年4月，APAC处理的钓鱼网站总量的90.28%来自联盟内部成员的举报，由此可见，用户反馈和举报在未来的一段时间内仍将发挥重要的作用。

金融机构可在第三方的协助下，建立一个用户举报和反馈平台，主要考虑解决以下方面问题：

①如何确保平台的开放性，能接受社会各界的反馈和举报。

②如何确保流程简化、易于操作。

③如何完成从信息收集到数据分析，最后再到信息确认的完整过程。

④如何验证用户反馈信息的可靠性。

3 结束语

时至今日，对抗钓鱼攻击不再是单一用户，或某个行业单独面临的问题，而是成为了一个公众共同关注的热点。只有建立一个多方协作的合作平台，集结金融机构、域名注册管理机构、专业安全公司、互联网公司等多方面的优势资源，才能最大限度地发挥反钓鱼监控体系的作用。