钓鱼攻击
钓鱼攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自社交网站拍卖网站\网络银行、电子支付网站\或网络管理者,以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据.就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓技术早在在1987年,以论文与简报的方式描述交付给Interex系统下的国际惠普用户组。
网络钓鱼的发展[ ]
早期在AOL的网钓[ ]
网钓者可能乔装成AOL的工作人员,并对可能的受害者发送即时通讯,询问此人揭露其密码,为了引诱受害者让出其个人敏感数据,通信内容不可避免的有类似“确认您的帐号”(verify your account)或者“核对您的帐单地址”(confirm billing information)。一旦发现受害人的密码,攻击者可以获取并利用受害人的帐户进行诈欺之用或发送垃圾邮件,网钓和 warez 两者在AOL一般需要自行开发应用程序。
从AOL到金融机构的转型[ ]
捕获的AOL帐户信息可能导致网钓攻击者滥用信用卡信息,而且这些黑客认识到,攻击的在线支付系统是可行的。第一次已知直接尝试对付支付系统的攻击是在2001年,影响系统为E-gold,该事件发生后紧跟在九一一袭击事件之后不久的“后911身分检查”。 当时的这两个攻击都被视为失败之作,不过现在可将它们看作是对付油水更多主流银行的早期实验。
近来网钓的攻击[ ]
网钓者目标是针对银行和在线支付服务的客户,理应来自于美国国内税收服务(Internal Revenue service)电子邮件,已被用来收集来自美国纳税人的敏感数据,虽然第一次这样的例子被不分青皂白的寄送,其目的是期望某些收到的客户会泄漏其银行或者服务数据,而最近的研究表明网钓攻击可能会基本上确定潜在受害者会使用哪些银行,并根据结果递送假冒电子邮件,有针对性的网钓版本已被称为鱼叉网钓。
网络钓鱼技术[ ]
链接操控[ ]
- 大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于一封电子邮件中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或使用子网域是网钓所使用的常见手段。子网域;实际上这个网址指向了“示例”网站的“您的银行”(即网钓)子网域。另一种常见的伎俩是使锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。
- 另一种老方法是使用含有 '@' 符号的欺骗链接。原本这是用来作为一种包括用户名和密码(与标准对比)的自动登入方式。例如,可能欺骗偶然造访的网民,让他认为这将打开上的一个网页,而它实际上导引浏览器指向上的某页,以用户名该页面会正常开启,不管给定的用户名为何。这种网址在Internet Explorer中被禁用,而Mozilla Firefox与Opera会显示警告消息,并让用户选择继续到该站浏览或取消。
- 还有一个已发现的问题在网页浏览器如何处理国际域名(International Domain Names,下称IDN),这可能使外观相同的网址,连到不同的、可能是恶意的网站上。尽管人尽皆知该称之为的IDN欺骗 或者同形异义字攻击的漏洞,网钓者冒着类似的风险利用信誉良好网站上的网域名称转址服务来掩饰其恶意网址。
网站伪造[ ]
- 一旦受害者访问网钓网站,欺骗并没有到此退出。一些网钓诈骗使用JavaScript命令以改变地址栏,这由放一个合法网址的地址栏图片以盖住地址栏,或者关闭原来的地址栏并重开一个新的合法的URL达成。攻击者甚至可以利用在信誉卓著网站自己的脚本漏洞对付受害者。这一类型攻击(也称为跨网站脚本)的问题尤其特别严重,因为它们导引用户直接在他们自己的银行或服务的网页登入,在这里从网络地址到安全证书的一切似乎是正确的。而实际上,链接到该网站是经过摆弄来进行攻击,但它没有专业知识要发现是非常困难的。这样的漏洞于2006年曾被用来对付PayPal。
- 还有一种由RSA信息安全公司发现的万用中间人网钓包,它提供了一个简单易用的界面让网钓者以令人信服地重制网站,并捕捉用户进入假网站的注册表细节,为了避免被反网钓技术扫描到网钓有关的文本,网钓者已经开始利用Flash构建网站。 这些看起来很像真正的网站,但把文本隐藏在多媒体对象中。
电话网钓[ ]
并非所有的网钓攻击都需要个假网站,声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行帐户的问题,一旦电话号码(网钓者拥有这支电话,并由IP电话服务提供)被拨通,该系统便提示用户键入他们的账号和密码。话钓(Vishing,得名自英文Voice Phishing,亦即语音网钓)有时使用假冒来电ID显示,使外观类似于来自一个值得信赖的组织。
反网钓技术方法[ ]
协助辨识合法网站[ ]
- 大多数网钓盯上的网站都是保全站点,这意味着的SSL强加密用于服务器身份验证,并用来标示在该网站的网址。理论上,利用SSL认证来保证网站到用户端是可能的,并且这个过去是SSL第二版设计要求之一以及能在认证后保证保密浏览。不过实际上,这点很容易欺骗。
- 表面上的缺陷是浏览器的保全用户界面(UI) 不足以应付今日强大的威胁。通过TLS与证书进行保全认证有三部分:显示连接在授权模式下、显示使用者连到哪个站、以及显示管理机构说它确实是这个站点。所有这三个都需齐备才能授权,并且需要被/送交用户确认。
- 用户应该确认在浏览器的网址栏的网域名称是实际上他们要访问的地方,网址可能是过度复杂而不容易从语法上分析,用户通常不知道或者不会鉴别他们想要链接的正确网址,故鉴定真伪与否变得无意义,有意义的服务器认证条件是让服务器的识别码对用户有意义。
保全模型基础漏洞[ ]
- 改进保全用户界面的试验为用户带来便利,但是它也暴露了安全模型里的基本缺陷。过去在安全浏览中沿用之SSL认证失效的根本原因有许多种,它们之间纵横交错。
- 在威胁之前的保全,由于安全浏览发生在任何威胁出现之前,保全显示在早期浏览器的“房地产战争”里被牺牲掉了,网景浏览器的原始设计有个站点名称暨其CA名称的突出显示,用户现在常常习惯根本不检查保全信息。
增加密码注册表[ ]
- 最近的一项研究表明仅有少数用户在图像不出现时不会键入他们的密码。此外,此功能(像其他形式的双因素认证)对其他攻击较脆弱。
- 保全外壳是 一种相关的技术,涉及到使用用户选定的图片覆盖上注册表窗体作为一种视觉提示以表明该窗体是否合法。然而,不像以网站为主的图像体系,图像本身是只在用户和浏览器之间共享,而不是用户和网站间共享,该体系还依赖于相互认证协议,这使得它更不容易受到来自侵袭只认证用户体系的攻击。
网路钓鱼相关术语[ ]
- 点击通过综合症 浏览器对设置错误站点的警告继续,它并未被降低等级,如果证书本身有错(像域名匹配错误、过期等等),则浏览器一般都会弹出窗口警告用户,就是因为设置错误太过寻常,用户学会绕过警告。目前,用户习惯同样的忽略所有警告,导致点击通过综合症。真正的中间人攻击,要避免点击通过综合症是相当困难。
- 缺乏兴趣 另一个潜在因素是缺乏虚拟主机的支持,具体起因是缺乏对在传输层安全(Transport Layer Security,简称/下称TLS)网络服务器之服务器名指示(Server Name Indication,简称/下称SNI)的支持,以及获取证书费用和不便。结果是证书使用是太过罕见以至于除了特殊情况外它什么事都不能做。这导因对TLS认证普遍知识与资源缺乏,反过来意味着由浏览器供营商升级他们安全性用户界面的过程将是又慢又死气沉沉。
- 横向联系 浏览器的安全模型包括许多参与者如:用户、浏览器供营商、开发商、证书管理机构、审计员、网络服务器供营商、电子商务站点、立法者(即FDIC)和安全标准委员会。介于不同制定安全模型小组间缺乏往来沟通。也就是说,虽然对认证的理解在IETF委员会协议水平是很够深的,这个信息并不表 示传达得到用户界面小组。网络服务器供应商并不会优先修正服务器名指示(TLS/SNI):它们不把这个问题当成保全修正,反而视其为新功能而推迟。实际上,所有的参与者碰到网钓出事时皆诿过给其他参与者,因此自我本身不会被排上优先修正行列。
- 标准高压封锁 供营商对标准负责,导致当谈到安全时就是谈论其外包的结果。虽然有许多安全性用户界面的改进,当中有有许多好的实验,因为他们不是标准,或者与标准间相抵触而未被采用。威胁模型可能在一个月内自我更新;安全标准调整需要大约10年。
- CA模型 浏览器供营商使用的CA控制机制本质上并没有更新,而威胁模型却常常翻修,对CA品质控管过程不足以对保护用户量身订做、以及针对实际与当前的威胁做出因应,在更新途中审计过程是迫切需要的,最近EV指南较详细地提供了当前模型,并且建立了一个好基准,但是并没有推动任何本质上急需进行的改变。