呂方興

（菏澤學院計算機與信息工程系 山東 菏澤 274015）

網(wǎng)絡釣魚的特點與形式

呂方興

（菏澤學院計算機與信息工程系 山東 菏澤 274015）

本文闡述了網(wǎng)絡釣魚的特點，并分析了網(wǎng)絡釣魚的主要表現(xiàn)形式。

網(wǎng)絡釣魚；Phishing；網(wǎng)上銀行；釣魚郵件；釣魚網(wǎng)站

網(wǎng)絡釣魚 （Phishing）攻擊是社會工程學攻擊的一種形式。網(wǎng)絡釣魚攻擊者使用電子郵件或惡意網(wǎng)頁來請求獲得個人信息。攻擊者會假借有信譽的公司或者機構的名義發(fā)出電子郵件，這些電子郵件常常稱有問題發(fā)生并請求獲得用戶的賬號信息。當用戶按要求回復了相關的資料，攻擊者就能夠利用這些資料進入用戶的賬號。

1 網(wǎng)絡釣魚的特點

“網(wǎng)絡釣魚”作為一種網(wǎng)絡詐騙手段，主要是利用人的心理來實現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù)，如信用卡號、賬戶和口令、社保編號等內(nèi)容。近幾年，國內(nèi)接連發(fā)生利用偽裝成銀行網(wǎng)站主頁的惡意網(wǎng)站進行詐騙錢財?shù)氖录?/p>

網(wǎng)絡釣魚是基于人性貪婪以及容易取信于人的心理因素來進行攻擊的，有如下特點：

1.1 欺騙性。釣魚者利用自建站點模仿被釣網(wǎng)站，并結合含有近似域名的網(wǎng)址來加強真實程度。更有甚者會先侵入一臺服務器，在服務器上不斷重復地做相同的事情，讓自己可以更好地脫身，逃避追蹤以及調(diào)查。

1.2 針對性。通常與釣魚者緊密相關的都是一些銀行、商業(yè)機構等的網(wǎng)站，隨著互聯(lián)網(wǎng)的飛速發(fā)展，電子商務、網(wǎng)上購物已經(jīng)成為與網(wǎng)民息息相關的服務。龐大的網(wǎng)絡資金流動，帶來了很多的新興行業(yè)，也帶來了潛在的安全隱患。

1.3 多樣性。網(wǎng)絡釣魚是一種針對人性弱點的攻擊手法，釣魚者不會千篇一律地去進行攻擊，不管是網(wǎng)絡還是現(xiàn)實中到處都存在釣魚式攻擊的影子。釣魚者不會局限于常用的偽造網(wǎng)站、虛假郵件等手法，而是會結合更多的便民服務，以容易接受的形式去誘騙被釣者，從而在更短的時間內(nèi)獲得更好的效果。

1.4 可識別性。網(wǎng)絡釣魚并不是無懈可擊，更不是沒有一點破綻。從釣魚者的角度出發(fā)，釣魚者本身會利用最少的資源去構造自己的釣魚網(wǎng)站，因為無法去利用真實網(wǎng)站獨有的一些資源（如域名、U盾、數(shù)字驗證等）。因此，在偽造網(wǎng)站方面，會利用近似或者類似的方法來進行欺騙，通常我們可以查看偽造網(wǎng)站，根據(jù)經(jīng)驗去識別其真實性。

2 釣魚郵件

曾經(jīng)通過發(fā)送惡意電子郵件而發(fā)動大范圍攻擊的網(wǎng)絡罪犯，開始意識到針對那些聚集在網(wǎng)絡社區(qū)中的小部分人發(fā)動攻擊會更有效。向那些地址發(fā)送電子郵件，同時使電子郵件好像是目標用戶的好友發(fā)出的，那么他們的攻擊意圖就很有可能得逞。釣魚郵件的基本攻擊流程如下：

2.1 釣魚者入侵服務器，竊取用戶的名字和郵件地址。早期的網(wǎng)絡釣魚者利用垃圾郵件將受害者引向偽造的互聯(lián)網(wǎng)站點，這些站點由他們自己設計，看上去與合法的商業(yè)網(wǎng)站極其相似。很多人都曾收到過來自網(wǎng)絡釣魚者的所謂“緊急郵件”，他們自稱是某個購物網(wǎng)站的客戶代表，威脅說如果用戶不登錄他們所提供的某個偽造的網(wǎng)站并提供自己的個人信息，這位用戶在購物網(wǎng)站的賬號就有可能被封掉，當然很多用戶都能識別這種騙局?，F(xiàn)在網(wǎng)絡釣魚者往往通過遠程攻擊一些防護薄弱的服務器，獲取客戶名稱的數(shù)據(jù)庫，然后通過釣魚郵件投送給明確的目標。

2.2 釣魚者發(fā)送有針對性的郵件。現(xiàn)在，釣魚者發(fā)送的釣魚郵件不是隨機的垃圾郵件。他們在郵件中會寫出用戶名稱，而不是以往的“尊敬的客戶”之類。這樣就更加有欺騙性，更容易獲取客戶的信任。這種針對性很強的攻擊更加有效地利用了社會工程學原理。

2.3 受害用戶訪問假冒網(wǎng)址。受害用戶被釣魚郵件引導訪問假冒網(wǎng)址，這種攻擊的主要手段是IP地址欺騙、鏈接文字欺騙、Unicode編碼欺騙等。

2.4 受害用戶提供的密碼和用戶信息被釣魚者獲得。一旦受害用戶被釣魚郵件引導訪問假冒網(wǎng)址，釣魚者可以通過技術手段讓不知情的用戶輸入自己的“User Name”和“Password”，然后，通過表單機制，讓用戶輸入姓名、城市等一般信息，以及信用卡信息和密碼。這是比較常見的一種欺騙方式，有些攻擊者甚至編造公司信息和認證標志，其隱蔽性更強。此后，假冒網(wǎng)址將獲得的受害用戶信息發(fā)送給攻擊者。

2.5 釣魚者使用受害用戶的身份進入其他網(wǎng)絡服務器。釣魚者會使用受害用戶的身份進入其他網(wǎng)絡服務器（如購物網(wǎng)站等），進行消費或者在網(wǎng)絡上發(fā)送反動的、黃色的信息。

3 釣魚網(wǎng)站

在Web欺騙中，攻擊者能以受攻擊者的名義將錯誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務器，以及以任何Web服務器的名義給被攻擊者發(fā)送數(shù)據(jù)。在欺騙攻擊中，攻擊者創(chuàng)造一個虛假的Web環(huán)境，以誘使受攻擊者進入并且做出缺乏安全考慮的決策。

人們利用計算機系統(tǒng)完成具有安全要求的決策時往往也是基于其所見的。例如，在訪問網(wǎng)上銀行時，員工可能根據(jù)員工所見的銀行Web頁面，從該行的賬戶中提取或存入一定數(shù)量的存款。因為員工相信自己所訪問的Web頁面就是所需要的銀行的Web頁面，無論是頁面的外觀、URL地址，還是其他一些相關內(nèi)容，都讓員工感到非常熟悉，沒有理由不相信。

員工在工作中使用自己的賬號訪問社交網(wǎng)站，不僅影響工作效率，而且有些用戶還會在誘騙下訪問假冒的社交網(wǎng)站。這個假冒的社交網(wǎng)站捕獲敲擊鍵盤的動作，竊取包括用來訪問企業(yè)網(wǎng)絡和敏感數(shù)據(jù)庫的登錄名和口令。如果在工作中或者在能夠訪問企業(yè)網(wǎng)絡的家庭計算機上隨意訪問這種社交網(wǎng)站，都會造成破壞，從而導致身份被盜，有意或無意地向虛擬圈子中的人泄露公司的秘密信息。

此外，有些網(wǎng)絡犯罪分子現(xiàn)在還利用社交網(wǎng)站作為一個通道，在這個網(wǎng)站上貼出虛假的網(wǎng)站鏈接，實施網(wǎng)絡釣魚，攻擊者借此掌握受害者的用戶名和口令，登錄受害者的賬戶、查看其電子郵件和網(wǎng)絡日記等。對于企業(yè)來說，最嚴重的危險來自于同樣的登錄信息使用的頻繁程度。大多數(shù)用戶常見的做法是無論登陸什么賬戶都是用相同的口令，如銀行賬戶、電子郵件和即時消息賬戶等。

大量假冒著名網(wǎng)站的客戶信息被攻擊者惡意地發(fā)布在各大BBS中，借此將著名網(wǎng)站的用戶和虛假的客戶服務信息聯(lián)系起來。相對于傳統(tǒng)的電話詐騙攻擊而言，這種新型的手法運用了搜索引擎優(yōu)化技術的攻擊而顯得更為復雜。一旦用戶使用慣用的搜索引擎，如Google或者百度搜索客戶服務的相關信息時，從排名非常靠前的網(wǎng)頁中獲取的電話號碼就是攻擊者所發(fā)布的虛假信息。

攻擊者通過結合垃圾郵件和虛假客服電話來發(fā)動此類攻擊。首先，他們大量發(fā)送宣稱郵件接收者中獎的垃圾郵件，這些郵件往往要求人們在回復郵件時提供詳細的個人信息。當人們利用搜索引擎來確認類似的中獎信息是否屬實時，那些虛假的客服相關信息就會出現(xiàn)在人們眼前。與傳統(tǒng)的電話詐騙不同的是，傳統(tǒng)的電話詐騙借助自動語音系統(tǒng)來收集人們的信息，而此類攻擊則充分利用了社會工程學原理，引誘人們?nèi)艽騻慰头娫挻_認中獎信息。大量的門戶網(wǎng)站和購物網(wǎng)站等均被利用而成為攻擊的受害者。攻擊者通過大量地把很多虛假的電話號碼發(fā)布在著名的BBS或社區(qū)中來提高在搜索引擎中的排名，這使得安全人士很難將電話號碼和一個特定的攻擊聯(lián)系起來。

［1］馬春光,郭方方.防火墻、入侵檢測與VPN[M].北京郵電大學出版社,2008,8.

［2］周亞建,鄭康鋒,楊義先,鈕心忻.網(wǎng)絡安全加固技術[M].電子工業(yè)出版社,2007,7.

［3］孫繼銀,張宇翔,申巍葳.網(wǎng)絡竊密、監(jiān)聽及防泄密技術[M].西安電子科技大學出版社,2011,3.

［4］石淑華,池瑞楠.計算機網(wǎng)絡安全技術[M].3版.人民郵電出版社,2012,8.

呂方興，男，菏澤學院計算機與信息工程系教師，計算機應用技術專業(yè)碩士研究生。

王洪澤］