网络钓鱼攻击行为分析及防范对策研究.docx

??

?

??

网络钓鱼攻击行为分析及防范对策研究

?

?

?

?

?

??

?

?

?

田雨霖，杨松儒一

（内蒙古自治区公安厅网络安全保卫总队，内蒙古呼和浩特010051）

摘要：网络钓鱼主要是指利用互联网进行的一[来自wWW.]种欺诈行为。随着互联网应用的广泛普及，针对在线身份窃取的网络钓鱼活动日益加剧。本文对网络钓鱼的特点、手段等问题进行了分析，并对其相应的防范对策作了一些探讨

关键词：网络钓鱼；仿冒；钓鱼邮件；反钓鱼

TP309：A

随着互联网技术及应用的飞速发展和普及，我国的网民数量急剧增长。据统计，目前国内约有5800万的网银活跃用户，截至2009年第一季度，中国网上银行市场总交易额达到了86.78万亿元。然而，网上交易在给人们带来方便的同时，也成为不法分子的攻击目标。从2004年以来，一种新的针对金融领域的网络攻击手段开始在网上肆虐，那就是Phishing，即网络钓鱼攻击。它是指利用欺骗性电子邮件和伪造WEB站点而进行的诈骗活动，目标多为著名金融机构、银行和在线交易网站。

1网络钓鱼攻击行为概述

网络钓鱼所使用的策略大都是通过大量散发诱骗邮件，冒充成一个被受害者所信任的组织机构，去引诱尽可能多的终端用户。钓鱼者会发出一个让用户采取紧急行动的请求，而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害。这封欺骗性的电子邮件将会包含一个容易混淆的链接，指向一个假冒目标机构公开网站的远程网页。钓鱼者希望受害者能够被欺骗，从而向这个假的、但看起来是目标机构的“官方网站”的网页接口输入他们的机密信息。被钓鱼者青睐的目标机构包括很多著名的银行、信用卡公司和知名互联网商务网站。

2网络钓鱼的典型特点

1)欺骗性，当攻击者需要提供关于某个Web站点的错误页面时，他只需要在自己的服务器上建立一个该站点的拷贝，等待受害者自投罗网。

2)针对性，锁定产业为金融服务、电子商务等行业，并有向大型信贷组织发展的趋势。

3)手段的多样性，钓鱼式攻击者制作鱼饵的手段很多。比较典型的有伪造网站、假冒服务器、发送垃圾邮件、放置木马等。

4)隐蔽性和潜在性，虽然HTML源文件和浏览器的URL属性可以帮助用户分辨当前网页的真伪，但是绝大多数用户对于HTML语言不了解，也不注意浏览器的属性。

3网络钓鱼的主要技术手段

I)电子邮件，攻击者利用伪造的lP地址和电子邮件地址发送邮件或者佯称自己是系统管理员，给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或者其他木马程序。

2)即时通讯，利用即时通讯(QQ、MSN、淘宝旺旺)发送消息将用户导向陷阱，或冒充即时通讯供应商开展某种活动骗取用户的敏感信息。

3)Web欺骗，黑客伪造站点或者篡改网页，当用户利用IE等浏览器进行Web站点访问时，即与黑客的Web服务器产生通讯。

4)放置木马，在用户浏览伪造站点或者打开垃圾邮件时，自动下载一些恶意代码，可以对计算机进行监控，从而获得一些黑客所需的信息如银行账户等。

5)利用漏洞，可以针对一些IE浏览器漏洞、邮件漏洞、操作系统漏洞或者应用软件漏洞，甚至系统管理员的配置漏洞展开攻击。

6)IP欺骗，黑客攻破一台主机后，可以利用IP欺骗与主机信任的关系，通过钓鱼方法攻破其他主机。

4网络钓鱼的社会工程学分析

作为一种欺骗式攻击，钓鱼式攻击的攻击者要营造很多条件，其中最重要的是在受攻击者和其他Web服务器之间设立由攻击者控制着的错误Web站点，这样受攻击者浏览器和Weh之间所有的网络信息完全被攻击者所截获。具体实施步骤如下。

第一步：伪造链接地址、伪造表单、伪造“安全连接”。首先，攻击者改写Weh页中所有URL地址，使它们指向攻击者的Web服务器而不是真正的Weh服务器。其次，表单提交后，所提交的数据进入攻击者的服务器，攻击者既可以观察和修改受攻击者提交的数据，也可以在得到真正的服务器返回信息后，对返回信息加以修改后再返回给受攻击者。在此，受攻击者可以和Web欺骗中所提供的错误网页建立一个看似正常的“安全连接”，网页文档可以正常的传输且作为安全连接标志的图形依然工作正常。

第二步：伪造入口。为了开始攻击，攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Weh，如把错误的Web链接放入一个热门的Web站点上、使用基于Web的电子邮件等等。

第三步：伪造状态和位置状态行。利用Javascript，对连接状态和浏览器位置命令行中的URL进行写操作，使之显示攻击者所要显示的内容。

第四步：观察与攻击。由于观察者可以观察或修改受攻击者和Web服务器之间任何一个方向上的信息，这样攻击者就有许多发起攻击的可能性，包括监视和破坏。

5网络钓鱼的防御方法分类

5.1基于邮件服务器

由于大量的钓鱼攻击是通过欺诈性的电子邮件实现的