《网络欺诈的现状》由会员分享,可在线阅读,更多相关《网络欺诈的现状(34页珍藏版)》请在金锄头文库上搜索。
1、1,网络欺诈的现状、 技术特点和防范对策,陈建民 国家计算机病毒应急处理中心 计算机病毒防治产品检验中心 Http:/www.antivirus-C Cjmantivirus-C,2,网 络 欺 诈,欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上,这种行为一般以社交工程的方式进行。在上世纪九十年代,随着互联网所连接的主机系统和用户量的飞速增长,攻击者开始将这个过程自动化,从而攻击数量巨大的互联网用户群体。 网络钓鱼(Phishing) 域欺骗(Pharming),3,网络钓鱼与域欺骗的定义,网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体
2、,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。也有人将Phishing看成password harvesting fishing缩写。“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5的人都会对这些骗局做出响应。域欺骗:(Pharming)攻击是改变地址,引导浏览器访问另一个地址。例如:某人用一台被感染的计算机上网与一家银行联系,键入银行URL地址后,
3、实际上登录到的是另一个虚假地址,看起来与该银行的官方网站非常相似,但实际上是欺诈网站。由于没有点击任何的隐链接,网页看上去是绝对合法的。Pharming是将域名解析服务器(DNS)劫持,使之将域名翻译成黑客预置的IP地址,引导用户访问伪造的网站,来骗取用户的个人敏感信息。,4,网络欺诈的现状,发展迅速、形势严峻,5,犯罪活动具有组织性、专业化特点 疑犯都受雇于犯罪集团 目标针对性强、涉及地域广 根据反网络钓鱼组织 APWG最新统计指出,约有70.8的网络欺诈是针对金融机构而来,而最常被仿冒的前三家公司为:Citibank(花旗银行)、eBay和Paypal。 西班牙、新加坡、澳大利亚、加拿大、
4、中国、中国香港甚至瑞士的全球35家银行 我国形势不容乐观 多家商业银行遭受仿冒,6,国外反网络欺诈的组织情况,7,网络欺诈投诉中心,美国司法部与联邦调查局(FBI)与国家白领犯罪中心于今年5月8日成立“网络欺诈投诉中心”网站(the Internet Fraud Complaint Center; IFCC),网址为http:/www.ifccfbi.gov/index.asp,让消费者及公司企业对于网络欺诈事件多了一个强有力的投诉举报途径。,国 外 反 网 络 欺 诈 组 织,8,反网络钓鱼工作小组(APWG),网络钓鱼的危害引起了业界高度重视,反网络钓鱼工作小组(APWG)就是为此而于去年
5、11月专门成立的,网址为http:/www.antiphishing.org/。它拥有大约1300名成员,包括近800家公司和机构、美国十大银行中的八家、美国五个互联网服务提供商中的四家、众多的IT企业、国家法律执行机构和立法机构。,国 外 反 网 络 欺 诈 组 织,9,今年6月成立的可信电子通信论坛“Trusted Electronic Communications Forum(TECF)”,网址为http:/www.tecf.org/。其成立的宗旨也是为了对抗日益严重的各种网络欺诈行为,保护企业和消费者的利益。越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、
6、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。,可信电子通信论坛,国 外 反 网 络 欺 诈 组 织,10,网络欺诈的主要方法,11,利用垃圾邮件和社会工程手段,垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库,因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。垃圾邮件通常通过一些被攻陷的架设在境外主机上的邮件服务器,或是通过一个全球的傀儡主机网络 ( botnets ) 进行发送,因此邮件发送者被追踪的可能性很小。 “尊敬的客户,你的银联卡在某商城消费1280元,已确认成功,如有疑问,请拨银行联合管理局电话
7、*找某先生”如果收到这样的短信你会怎么办?(短信钓鱼),网 络 欺 诈 的 主 要 方 法,12,利用病毒、木马技术,最早引起广泛关注的“网络钓鱼”事件,正是借助了一款名为“Mimail.J”的病毒,该病毒伪装成由Paypal网站寄出的信息,表示收件者的账户将在5个工作日后失效,要求用户更新个人信息,才能重新启动账户。再比如,一恶意网站()伪装成联想主页(),前者将数字1取代英文字母L,利用多种IE漏洞植入木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站时造成感染。,网 络 欺 诈 的 主 要 方 法,13,利用黑客攻击手段,钓鱼者通过黑客技术去改变目标网
8、站的 DNS 解析或采取其他方式对网络流量进行重定向。 : 8000 : 443 : 110 : 554 : 389 : 7000 : 143 : 80,网 络 欺 诈 的 主 要 方 法,14,我国计算机用户病毒感染情况,15,感染病毒的类型,16,网络钓鱼的主要手段,17,以垃圾邮件的形式大量群发欺诈性邮件,这些邮件经常冒充成一个可信的组织机构或银行,多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等个人信息,继而盗窃用户资金。通过电子邮件是最基本的网络欺骗方式,对于一些真伪难辨的信息
9、,用户一不小心就会上当。,通过电子邮件,网 络 钓 鱼 的 主 要 手 段,18,通过建立欺骗性的网站,欺骗者建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,并且利用后台数据库把这些信息存储起来。于是欺骗者可以通过真正的网上银行、网上证券系统盗窃资金。欺骗者可能会把假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上,或者通过电子邮件群发的方式发送给用户。,网 络 钓 鱼 的 主 要 手 段,19,对假冒网站域名进行处理,将做好的假冒网页上传到域名空间,采取各种手段引诱用户访问这个网站,这就需要对网站的URL进行适当的处理。现在流行的方式
10、主要包括: 指向假冒网站的链接中使用 IP 地址代替域名。一些无戒备心的用户将不会检查这个 IP 地址是否来自假冒网站页面上所声称的目标机构。 IDN 欺骗技术( IDN spoofing ):对假冒网站的 URL 进行编码和混淆,很多用户不会注意或者理解 URL 链接被做过什么处理,这就给欺骗者可乘之机。 IDN 欺骗技术使用 Unicode 编码的 URL 在浏览器的地址栏里呈现的看起来像是真实的网站地址,但实际上却指向一个完全不同的地址。,网 络 钓 鱼 的 主 要 手 段,20,注册发音相近或形似的 DNS 域名(如 或 假冒 ),并在其上架设假冒网站,期望用户不会发现他们之间的
11、差异而上当。 企图攻击用户网页浏览器存在的漏洞,使之隐藏消息内容的实质。微软的 IE 和 Outlook 都被发现过存在可以被这种技术攻击的漏洞,比如说“地址栏假冒”。 在一个假冒钓鱼网站的电子邮件中嵌入一些指向真实的目标网站的链接,从而使得用户的网站浏览器的大多数连接是指向真实的目标网站,而仅有少数的关键连接(如提交敏感信息的页面)指向假冒的网站。如果用户的电子邮件客户端软件支持 HTML 内容的自动获取,那会在电子邮件被读取的时候自动地连接假冒网站,手动地浏览也不会在大量与真实网站的正常网络活动中注意到少量与恶意服务器的连接。,网 络 钓 鱼 的 主 要 手 段,21,鸡尾酒钓鱼术,这是一
12、种比较巧妙的欺骗方法,通过发送一个包含链接的垃圾邮件,用户点击邮件中的链接,就会被带到一个正常网站,同时恶意脚本会在用户电脑上弹出一个小窗口,这样看起来小窗口就像是网站的一部分,用户往往就会在这个小窗口中填入登录账号和密码等。这种新的钓鱼方式利用了跨站点脚本技术,采用了真网站和假窗口相混合的方式,达到了以假乱真的效果。,网 络 钓 鱼 的 主 要 手 段,22,利用系统升级和安装补丁程序进行攻击,由于出现新的病毒,系统存在的漏洞不断地被发现,操作系统和杀毒厂商不断地推出补丁和升级包。广大计算机用户已经认识到升级的重要性,按照要求及时进行系统升级。但是,这一点也成为攻击的途径。攻击者往往伪造一封
13、Microsoft或者杀毒厂商的邮件主动发送给用户,提醒用户进行升级,然而附件里却是个木马程序。用户如果疏于防范可能运行附件中的程序,受到攻击。,网 络 钓 鱼 的 主 要 手 段,23,网络钓鱼与病毒、木马等黑客技术相融合,令普通用户头疼的是,“网络钓鱼”为了达到广泛诈骗的目的,通常都伴随着病毒和木马,或者说病毒邮件、木马也经常包含“网络钓鱼”的内容。,24,这种方式已经不是传统意义上的网络钓鱼了,通常都是在病毒加载后使用各种手段诱使用户访问具有欺骗性的站点,来达到钓鱼的目的。比较流行的方式有: BHO(浏览器助手工具)通过恶意软件在受害者的计算机上安装一个恶意的浏览器助手工具( Brows
14、er Helper Object ),然后由其将受害者重定向到假冒的钓鱼网站。BHO是一些设计用于定制和控制 IE 浏览器的 DLL,如果成功,受害者将会被欺骗,相信他们正在访问合法的网站内容,然而实际上却在访问一个假冒的钓鱼网站。,25,修改hosts 文件用恶意软件去修改受害者计算机上用来维护本地 DNS 域名和 IP 地址映射的 hosts 文件,这将使用户的网页浏览器在连接假冒网站时,让其看起来像是在访问合法网站。网络钓鱼方式与黑客技术进行了结合虽然这种手段成功的几率不大,但一旦得逞,就会给用户带来极大的威胁。首先,攻击者会使用黑客技术攻陷银行、证券等重要机构的网站,获得管理员权限,之
15、后把和原主页及其相似的欺骗性页面上传到网站上,这样只要用户使用正常的方式进行线上交易,就会把自己的各种资料泄露给欺骗者,造成巨大的损失。蠕虫成为网络钓鱼的诱饵最新的Mytobs恶意邮件信息通常将自己伪装成IT部门或网络服务商,其中可能包括接收者的域名或邮件地址。恶意邮件告诉接收者他们的账户出现了问题,需要点击某个链接进行再一次确认。,26,使用键盘监控程序窃取信息钓鱼攻击者为了防止被监测,改变了攻击策略。在今年三月和四月中,利用用户键盘记录的攻击方式日益增多。当用户访问网站时,键盘监控程序发现是属于要截获的网站,启动键盘记录功能,盗取用户输入的口令、帐号和其它的个人数据。然后通过邮件或其他方式
16、将截获的信息发给攻击者。这种键盘监控程序主要利用以下途径将键盘监控程序投放到用户系统中: 1)网站含有成人内容等吸引用户访问,同时网页中内嵌恶意程序,当含有漏洞的微软的IE浏览器访问网页时,恶意程序不经用户确认会自动安装到用户系统中。 2)利用即时通讯工具或者蠕虫发布信息诱骗用户访问含有攻击程序的网站。 3)在即时通讯信息中提供程序下载,诱使用户下载运行攻击程序。 4)通过邮件附件携带攻击程序,利用邮件内容诱使用户运行附件。 5)邮件内容中提供含有攻击程序的网址,诱骗用户访问这些网页主动下载运行攻击程序。 6)邮件内容中提供含有攻击程序的网址,同时网页中恶意程序利用IE浏览器的漏洞主动下载运行。,
