《网络钓鱼攻击行为分析及防范对策研究》由会员分享,可在线阅读,更多相关《网络钓鱼攻击行为分析及防范对策研究(10页珍藏版)》请在金锄头文库上搜索。
1、 网络钓鱼攻击行为分析及防范对策研究 田雨霖,杨松儒一(内蒙古自治区公安厅网络安全保卫总队,内蒙古呼和浩特010051)摘要:网络钓鱼主要是指利用互联网进行的一来自wWW种欺诈行为。随着互联网应用的广泛普及,针对在线身份窃取的网络钓鱼活动日益加剧。本文对网络钓鱼的特点、手段等问题进行了分析,并对其相应的防范对策作了一些探讨关键词:网络钓鱼;仿冒;钓鱼邮件;反钓鱼TP309 :A随着互联网技术及应用的飞速发展和普及,我国的网民数量急剧增长。据统计,目前国内约有5800万的网银活跃用户,截至2009年第一季度,中国网上银行市场总交易额达到了86.78万亿元。然而,网上交易在给人们带来方便的同时,也
2、成为不法分子的攻击目标。从2004年以来,一种新的针对金融领域的网络攻击手段开始在网上肆虐,那就是Phishing,即网络钓鱼攻击。它是指利用欺骗性电子邮件和伪造WEB站点而进行的诈骗活动,目标多为著名金融机构、银行和在线交易网站。1网络钓鱼攻击行为概述网络钓鱼所使用的策略大都是通过大量散发诱骗邮件,冒充成一个被受害者所信任的组织机构,去引诱尽可能多的终端用户。钓鱼者会发出一个让用户采取紧急行动的请求,而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害。这封欺骗性的电子邮件将会包含一个容易混淆的链接,指向一个假冒目标机构公开网站的远程网页。钓鱼者希望受害者能够被欺骗,从而向这
3、个假的、但看起来是目标机构的“官方网站”的网页接口输入他们的机密信息。被钓鱼者青睐的目标机构包括很多著名的银行、信用卡公司和知名互联网商务网站。2网络钓鱼的典型特点1)欺骗性,当攻击者需要提供关于某个Web站点的错误页面时,他只需要在自己的服务器上建立一个该站点的拷贝,等待受害者自投罗网。2)针对性,锁定产业为金融服务、电子商务等行业,并有向大型信贷组织发展的趋势。3)手段的多样性,钓鱼式攻击者制作鱼饵的手段很多。比较典型的有伪造网站、假冒服务器、发送垃圾邮件、放置木马等。4)隐蔽性和潜在性,虽然HTML源文件和浏览器的URL属性可以帮助用户分辨当前网页的真伪,但是绝大多数用户对于HTML语言
4、不了解,也不注意浏览器的属性。3网络钓鱼的主要技术手段I)电子邮件,攻击者利用伪造的lP地址和电子邮件地址发送邮件或者佯称自己是系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或者其他木马程序。2)即时通讯,利用即时通讯( QQ、MSN、淘宝旺旺)发送消息将用户导向陷阱,或冒充即时通讯供应商开展某种活动骗取用户的敏感信息。3) Web欺骗,黑客伪造站点或者篡改网页,当用户利用IE等浏览器进行Web站点访问时,即与黑客的Web服务器产生通讯。4)放置木马,在用户浏览伪造站点或者打开垃圾邮件时,自动下载一些恶意代码,可以对计算机进行监控,从而获得一些黑客所需的信息如银行账户等
5、。5)利用漏洞,可以针对一些IE浏览器漏洞、邮件漏洞、操作系统漏洞或者应用软件漏洞,甚至系统管理员的配置漏洞展开攻击。6) IP欺骗,黑客攻破一台主机后,可以利用IP欺骗与主机信任的关系,通过钓鱼方法攻破其他主机。4网络钓鱼的社会工程学分析作为一种欺骗式攻击,钓鱼式攻击的攻击者要营造很多条件,其中最重要的是在受攻击者和其他Web服务器之间设立由攻击者控制着的错误Web站点,这样受攻击者浏览器和Weh之间所有的网络信息完全被攻击者所截获。具体实施步骤如下。第一步:伪造链接地址、伪造表单、伪造“安全连接”。首先,攻击者改写Weh页中所有URL地址,使它们指向攻击者的Web服务器而不是真正的Weh服
6、务器。其次,表单提交后,所提交的数据进入攻击者的服务器,攻击者既可以观察和修改受攻击者提交的数据,也可以在得到真正的服务器返回信息后,对返回信息加以修改后再返回给受攻击者。在此,受攻击者可以和Web欺骗中所提供的错误网页建立一个看似正常的“安全连接”,网页文档可以正常的传输且作为安全连接标志的图形依然工作正常。第二步:伪造入口。为了开始攻击,攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Weh,如把错误的Web链接放入一个热门的Web站点上、使用基于Web的电子邮件等等。第三步:伪造状态和位置状态行。利用Javascript,对连接状态和浏览器位置命令行中的URL进行写操作,使之显示
7、攻击者所要显示的内容。第四步:观察与攻击。由于观察者可以观察或修改受攻击者和Web服务器之间任何一个方向上的信息,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。5网络钓鱼的防御方法分类5.1基于邮件服务器由于大量的钓鱼攻击是通过欺诈性的电子邮件实现的,因此比较直接的防御技术就是对钓鱼邮件进行过滤。5.1.1针对SMTP协议漏洞SMTP是现在通用的邮件传输协议,邮件服务器处理邮件的步骤是由SMTP协议来规定的。SMTP首先要求进行TCP对话,这时接收方的邮件服务器收到发信方的lP地址,然后通知发件人的邮件地址和收件人的邮件地址,最后再发送包括邮件头在内的邮件数据。接收的邮件包括三项发件人信
8、息:发信方的IP地址、发信方通知的发件人邮件地址和邮件头部内记述的发件人地址。但这三项信息巾,只有发信方lP地址是确凿可靠的,另外两项信息由于发件人邮箱或服务器的设置问题,总是可以伪造的。针对协议的这一漏洞,可以人为的增加对发件人身份的认证机制,进而将钓鱼邮件用类似于过滤垃圾邮件的方法屏蔽掉。5.1.2针对伪URL地址根据伪URL的特点大体可以分为以下几类:1)可见链接与实际链接不同;2)使用点分十进制lP地址而非域名;3)对超链接用特殊字符进行恶意编码;4)使用与日标极相似的假冒域名。可建立检测系统,将此系统应用于服务器端则可对钓鱼邮件有一定的防范作用,但是,此方法也可能存在漏判和误判的情况
9、。5.1.3基于模式识别的由于假冒网站在风格上模仿真实站点,因此在视觉上有很大的相似性,这也是大量普通网民被骗的原因。针对这一特点,可以先将需要保护的合法网站注册在反钓鱼数据库服务器巾。事先对合法网站进行特征提取,将其存人反钓鱼数据库。其次,设置反钓鱼代理。代理中对邮件的链接地址进行相似度计算和分类,如果相似度超过一定的域值则进行钓鱼网站的报告。在实验阶段,对于报告的钓鱼网站进行人工复查,以对分类规则进行改进。将该系统应用于邮件服务器上,可以对钓鱼邮件进行监控。5.2基于浏览器1)基于脚本语言。获取密码的过程大多是通过网页脚本语言(Javascript,VBscript等)的强大功能实现的。然
10、而这是最不来自Www.lw5U.com现实的,因为大部分正常的网站也应用了大量的脚本语言来完成相应的功能。2)基于黑名单。利用数据库中存储的黑名单对站点进行检查,如果用户访问的站点在此黑名单之列,就向用户发出警告。此类应用包括IE、Earthlink的Scam-Block、Phish Guard、Netcraft以及Coogle Safe Browsing on Firefox等等。其中的黑名单通过用户举报、蜜网监测等方式不断更新。这与传统防病毒软件利用特征码反病毒类似。但是,据APWC(反钓鱼攻击工作组)最新报告显示,钓鱼网站的平均存活时间为3.8天,而最长的也只有30天,因此黑名单也具有一
11、定的局限性,并且它无法预防新的钓鱼攻击。5.3基于协议的改进SSL协议位于应用层之下传输层之上,在SSL安全机制中,客户端首先与服务器建立连接,服务器把它的数字证书和公钥一并发给客户端,客户端随机生成会话密钥,使用从服务器得到的公钥对会话密钥进行加密,并将会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私钥才能解密。传统SSL协议只保证会话的机密性,由于证书机构( CA)可能发错证书,因此不保证基于SSL协议的会话一定是与合法网站进行的。只有当进一步检查证书内容时才能得出结论,而这一点是一般用户不可能做到的。目前国外又提出一种基于ID的SSL协议。该协议利用基于双线性映射对的公钥机制实
12、现客户端与服务器端之间的通信。每一个合法站点在私钥生成机构认证一次,由私钥生成机构为其分配私钥、用户第一次进入该站点时,对服务器提供相应的公共参数进行存储。之后每次与该服务器建立加密会话时都使用该系列公共参数。由于服务器站点在私钥生成机构注册了唯一的身份,因此在使用相应的公共参数只能与对应的站点进行加密会话,并且由于私钥生成机构只对站点做一次认证,钓鱼站点无法对合法站点进行身份伪装。该方法虽然很好的解决了服务器的认证问题,但是没有解决直接钓鱼站点而非仿冒的攻击。5.4常规防御措施以上介绍了反钓鱼方法的系统架构,并没有具体实施细节。从网上交易站点及普通互联网上网用户的角度来讲,可以从以下几个方面
13、来防御网络钓鱼。1)教育和警示商业站点和公共机构应当建立起一套良好的内部制度和运行规范,对于发送给用户的电子邮件要有严格的规范和内容限制,使这些由公司和公共机构发出的电子邮件不易与钓鱼邮件相混淆。同时,应当将这些规范及时告知用户,并根据用户的需求和商业站点实际运行的需要调整和完善这些规范。同时也应向用户提供普及教育、安全顾问和技术咨询,帮助用户提高安全意识和识别能力,避免陷入网络钓鱼的陷阱。2)安装反钓鱼攻击软件反钓鱼攻击软件可以分为两类:(1)黑白名单方式:利用数据库中存储的钓鱼网站黑名单对站点进行检查,如果用户访问的站点在此黑名单上,就向用户发出警告。(2)基于规则的方式:在软件中加入一些
14、判断规则,通过对这些规则的检验来判断Web站点的安全性。一些浏览器的工具栏也加入了反钓鱼功能,方便用户使用。3)验证和授权提高Web站点采用一些新技术来确保用户个人信息的安全。比如通过智能卡来进行鉴权,从而进行用户和站点间的双向认证。4)安装防病毒和恶意软件工具安装可信赖的安全软件,防止病毒、木马、恶意软件的侵袭,能有效防范网络钓鱼攻击,值得注意的是,随着恶意软件的爆发,所安装的安全软件应能检测和阻止恶意软件的安装。同时也应及时升级补丁和病毒库,并建立合适的垃圾邮件过滤机制。5)养成良好的网上交易习惯一是做好交易记录,定期查看交易记录明细,确认每笔交易正确无误。二是避免在网吧等公共场所或他人电
15、脑进行网上交易。三是网上交易时,尽量使用软键盘来输入个人敏感信息或者有意不按顺序输入敏感信息。四是设置强健的密码,并定期更换。6结束语由于存在巨大经济利益的诱惑,网络钓鱼的组织性和目的性正在不断增强,数量不断增长,攻击技术也在不断发展。尽管用户防范网络钓鱼的意识越来越强,但攻击者利用Web浏览器漏洞和恶意软件来建立欺诈钓鱼页面,使得用户很难把这些页面与合法站点区分出来,从而蒙受损失。对于商务站点和个人用户而言,关键是要从思想上认识到网络钓鱼的欺诈性和危害性,警惕网络钓鱼攻击的新趋势,增强防范意识,做好网络安全防范措施,避免成为网络钓鱼的受害者。(责编程斌)参考文献:【1】2009年中国互联网网络安全报告【EB/OL】. http:/www.c:.【2】孔维广Phishing攻击的技术分析与防范措施【J】武汉科技学院学报,2006(3)【5】Phishing Attack Ttrends Report【EB/OL】.Anti-Phishing Working Group.http:/www.antiphishingorg【6】Chen Juan,Guo Chuanxiong.onlineDetection and Prevention of Phishing【C】.Proceedings of the first International Confon
