国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)站運營 > 如何辨別釣魚網(wǎng)站?

如何辨別釣魚網(wǎng)站?

時間:2022-09-03 22:36:01 | 來源:網(wǎng)站運營

時間:2022-09-03 22:36:01 來源:網(wǎng)站運營

我評職稱需要發(fā)文章,我想選一個容易發(fā)表的期刊,不知道如何辨別雜志社釣魚網(wǎng)站呢?關注者26被瀏覽53,124

4 個回答

特曼
  • 這個樓我占了三個月....一直沒有編輯....因為確實在學校,這才放假沒幾天, 明天還要去學校領成績

  • 現(xiàn)在把之前初中參加比賽寫的一篇論文 貼上來。
評論里面的各位神啊,你們這樣.....,我壓力好大。。。不要對我抱以太大的希望。。
本文只是科普,算不上什么技術文章。

由于從word上面復制過來格式亂了。。

注意
[1] [2] ……是參考資料 文末有注明出處
1 2 3 4 .......是注釋 文末有注釋內(nèi)容 (這個可能大家在閱讀的時候,覺得不太方便....)


本文禁止任何未經(jīng)許可的轉載。本站首發(fā)。謝謝。
================================================================

================================================================================================================================================================================================



網(wǎng)絡釣魚攻擊技術的研究初探
摘要:中國互聯(lián)網(wǎng)是全球第一大網(wǎng)。網(wǎng)民人數(shù)最多,聯(lián)網(wǎng)區(qū)域最廣。由于中國網(wǎng)絡迅速發(fā)展,釣魚網(wǎng)站、釣魚程序已經(jīng)逐漸出現(xiàn)在我們身邊。釣魚網(wǎng)站的大量出現(xiàn),嚴重地影響了在線金融服務、電子商務的發(fā)展,還危害了公眾的利益,影響公眾應用互聯(lián)網(wǎng)的信心。根據(jù)中國反釣魚網(wǎng)站聯(lián)盟統(tǒng)計,截止2013年7月份,中國反釣魚網(wǎng)站聯(lián)盟累計認定并處理釣魚網(wǎng)站128881個[1]。我對網(wǎng)絡釣魚問題進行了初步的探索,了解到了網(wǎng)絡攻擊和防范的一些技術,認為目前網(wǎng)絡釣魚猖獗的重要原因在于其技術門檻低、實現(xiàn)代價小、用戶們安全意識不夠等原因,最后提出一些相關建議。


關鍵詞:互聯(lián)網(wǎng) 網(wǎng)絡釣魚 識別

問題的提出:經(jīng)常在電視上新聞上看到某人因在釣魚網(wǎng)站交易被騙了錢,為此對網(wǎng)絡釣魚進行了的研究。想通過本文讓大家了解網(wǎng)絡釣魚,防范網(wǎng)絡釣魚。

一、網(wǎng)絡釣魚介紹
網(wǎng)絡釣魚攻擊[2](Phishing Attack)者利用欺騙性的電子郵件、偽造的 Web 站點、欺騙性的程序來進行網(wǎng)絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。詐騙者通常會將自己偽裝成網(wǎng)絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。它是“社會工程攻擊”的一種形式。

釣魚網(wǎng)站的大量出現(xiàn),嚴重地影響了在線金融服務、電子商務的發(fā)展,還危害了公眾的利益,影響公眾應用互聯(lián)網(wǎng)的信心。根據(jù)中國反釣魚網(wǎng)站聯(lián)盟統(tǒng)計,截止2013年7月份,中國反釣魚網(wǎng)站聯(lián)盟累計認定并處理釣魚網(wǎng)站128881個[1]。而我們?nèi)绻浴熬W(wǎng)絡釣魚”、“被騙”等關鍵詞在互聯(lián)網(wǎng)上進行搜索,則可以發(fā)現(xiàn)身邊存在大量類似“莊先生訂機票時被釣魚網(wǎng)站騙走2萬多元”、“王女士網(wǎng)購遇釣魚網(wǎng)站7000元打水漂”的網(wǎng)絡釣魚案例新聞[3]。這說明網(wǎng)絡釣魚離我們并不遠,就在我們身邊。

二、釣魚網(wǎng)站
2.1 釣魚網(wǎng)站的組成

釣魚網(wǎng)站的組成包括一個域名、一個空間1(虛擬主機)/VPS(Virtual Private Server)/服務器;還需要一份釣魚網(wǎng)站的網(wǎng)頁源碼。為何會出現(xiàn)如此多的釣魚網(wǎng)站?這是因為釣魚網(wǎng)站的成本并不高。一個.com域名市場上大約的價格為35元,而.cn的域名僅需10元,甚至許多釣魚網(wǎng)站使用免費的域名,如著名的.tk域名等。那么一個空間又需要多少錢呢?一個美國IP地址的100MB空間每年的租賃費用約為50元人民幣2,而釣魚網(wǎng)站源碼在網(wǎng)上則幾乎可隨處免費下載。甚至可以100至300元的價格專門定制3。如此計算下來,一個釣魚網(wǎng)站的成本約85元人民幣4,還不到一百元。注冊域名、租賃空間、下載源碼也缺乏有力監(jiān)管,只需要隨意填寫一些信息即可,而絕大部分釣魚網(wǎng)站填寫的注冊信息為虛假信息。

那么網(wǎng)絡釣魚泛濫的終究原因是什么呢?首先是技術門檻低,目前的某些網(wǎng)絡釣魚網(wǎng)站,所涉及到的實現(xiàn)技術,一名中學生即可掌握,這使得犯罪份子在技術上有條件實現(xiàn)釣魚網(wǎng)站。其次是實現(xiàn)代價小,釣魚網(wǎng)站的制作成本十分低廉,如上文所述,一個釣魚網(wǎng)站只需要不到一百元即可搭建完成,巨大的投入產(chǎn)出比使得犯罪分子趨之若鶩。最后,用戶們安全意識不夠也是一個重要原因。網(wǎng)絡知識缺乏的人占大多數(shù),而且受害者通常處于相對技術劣勢,難以區(qū)分釣魚網(wǎng)站與真實網(wǎng)站的區(qū)別,這也使得釣魚網(wǎng)站炮制者更容易得益。

2.2 釣魚網(wǎng)站危害方式

通常釣魚網(wǎng)站的界面與目標網(wǎng)站的界面十分相似,以此來讓訪問者相信該網(wǎng)站為官方網(wǎng)站,與實際官方網(wǎng)站差別很小,網(wǎng)絡知識淡薄的人很容易上當受騙。釣魚網(wǎng)站的域名與實際官方網(wǎng)站的域名也很相似。例如著名的淘寶購物網(wǎng)的網(wǎng)址為http://www.taobao.com/,而釣魚網(wǎng)站域名就很有可能使用http://www.ta0ba0.com/;再例如用http://www.goog1e.com/來冒充http://www.google.com/5;或者是注冊http://www.gooogle.com/6,一旦用戶不小心記錯或者敲錯域名就可能進入釣魚網(wǎng)站。就算具備一定網(wǎng)絡知識的人也有可能看錯。

2.3 釣魚網(wǎng)站傳播方式

目前釣魚網(wǎng)站的傳播方式大概有如下幾種:1)通過MSN、QQ、阿里旺旺等客戶端聊天工具發(fā)送傳播釣魚網(wǎng)站鏈接;2)通過搜索引擎、中小網(wǎng)站投放廣告,或者交換鏈接,吸引用戶點擊釣魚網(wǎng)站鏈接;3)通過Email、論壇、博客、貼吧等等網(wǎng)站發(fā)布釣魚網(wǎng)站鏈接;4)通過微博、社交網(wǎng)站散步釣魚網(wǎng)站鏈接;5)通過手機短信,發(fā)送釣魚網(wǎng)站鏈接;6)通過病毒彈出釣魚網(wǎng)站鏈接窗口;7)通過域名相似度,當用戶輸入域名錯誤后誤入釣魚網(wǎng)站。

2.4 釣魚網(wǎng)站牟利模式

目前釣魚網(wǎng)站的牟利方式大致如下:1)黑客通過釣魚網(wǎng)站設下陷阱,大量收集用戶個人隱私信息,通過販賣個人信息或敲詐用戶;2)黑客通過釣魚網(wǎng)站收集、記錄用戶網(wǎng)上銀行賬號、密碼,通過技術手段盜取網(wǎng)銀的資金;3)黑客假冒網(wǎng)上購物、在線支付網(wǎng)站,欺騙用戶直接將錢打入黑客賬戶;4)通過假冒產(chǎn)品和廣告宣傳獲取用戶信任,騙取用戶金錢;5)惡意團購網(wǎng)站或購物網(wǎng)站,假借“限時搶購”、“秒殺”等噱頭,讓用戶不假思索地提供個人信息和銀行賬號,這些黑心網(wǎng)站主可直接獲取用戶輸入的個人資料和網(wǎng)銀賬號密碼信息,進而獲利。

三、釣魚程序
釣魚程序是指用計算機語言編寫出來的計算機程序,其性質(zhì)和目的均為釣魚。下面本文嘗試通過一個刷QB的程序?qū)︶烎~程序進行介紹。圖1是我上小學的時候曾經(jīng)完成的一個程序,其目的是為了嘗試研究釣魚程序的偽裝技術7。圖1左側所示圖標是騰訊即時通訊軟件QQ的圖標,這很容易偽造成和QQ一樣的圖標,在編程的時候簡單設置一下即可。運行后,會提示“正在連接騰訊內(nèi)部服務器”,這一界面可能讓使用者更相信該軟件的真實性,從而隱藏其可能的真實目的。

圖1 一個簡單的釣魚程序


用戶界面會提示用戶輸入QQ號碼和QQ密碼,而當用戶輸入QQ號碼和QQ密碼后,軟件可以輕易地獲取用戶輸入的內(nèi)容,并將內(nèi)容發(fā)送到作者的郵箱。即使這樣一個最簡單的釣魚程序,也可能會有很多使用者上當。

四、反釣魚技術
目前國內(nèi)主流的瀏覽器幾乎都有攔截釣魚網(wǎng)站的功能,檢測方法主要有以下幾種:

4.1 基于黑名單的釣魚識別技術,基于網(wǎng)站黑名單存放的數(shù)據(jù)庫進行識別。


圖2 基于黑名單的釣魚識別技術

當用戶打開網(wǎng)址后,瀏覽器把URL 8 發(fā)送到黑名單服務器的數(shù)據(jù)庫中進行查詢,如果匹配到則該網(wǎng)頁為釣魚網(wǎng)頁,瀏覽器就阻止用戶訪問該網(wǎng)頁并提示,如果沒有匹配到瀏覽器將會繼續(xù)打開網(wǎng)頁。黑名單中的存在的釣魚網(wǎng)站URL,大部分為用戶舉報提交的。很多釣魚網(wǎng)站在獲得暴利后便馬上關閉,更換域名和空間以躲避網(wǎng)監(jiān)的查處, 所以釣魚網(wǎng)站平均存活率都不高,所以基于黑名單的釣魚識別技術就要求有良好的實效性。缺點是只能對URL進行簡單匹配,無法檢測到黑名單以外的釣魚網(wǎng)站。優(yōu)點是:實施簡單,處理十分迅速,沒有誤報率。

4.2 基于URL的釣魚識別技術

部分釣魚網(wǎng)站可能存在域名和官方網(wǎng)站相似的情況。于是瀏覽器便有了一個功能。基于URL的釣魚識別技術。

該項技術誤報率很大,大部分瀏覽器不適用該技術。


圖3 基于URL的釣魚識別技術

4.3 基于頁面文本特征的釣魚識別技術

由于釣魚網(wǎng)站自身特有的明顯特征,可以通過基于頁面文本特征的釣魚識別技術來檢測釣魚網(wǎng)站。首先提取頁面的釣魚特征,如文字特征和DOM(Document Object Model)結構特征,通過分析與正常官網(wǎng)的特征區(qū)別進行對比識別??梢酝ㄟ^以下幾個方面提取特征:WEB頁面URL,鏈接對象,表單,資源等等。使用該方法誤報率較低,根據(jù)啟發(fā)式檢測技術,能識別在頁面上具有高相似度的釣魚網(wǎng)站。缺點為 不可避免有誤報的情況出現(xiàn)。

4.4 基于域名whois的釣魚識別技術

任何一個域名在注冊的時候都需要在域名注冊商那里填寫域名注冊人的相關信息。那么識別釣魚網(wǎng)站的時候也可以通過域名whois進行釣魚識別。為此我收集了數(shù)個釣魚網(wǎng)站進行識別,發(fā)現(xiàn)它們中大部分的域名whois的信息亂填的(即為連續(xù)的字母或數(shù)字或特殊含義的號碼等等),還有少部分釣魚網(wǎng)站域名whois信息和被釣正規(guī)網(wǎng)站相似。極少部分釣魚網(wǎng)站隱藏了域名whois的信息。由此可得出結論:釣魚網(wǎng)站也可以通過域名whois的信息進行識別。當用戶訪問釣魚網(wǎng)站后瀏覽器查看域名whois信息和正常被釣網(wǎng)站進行對比,得出其是否為釣魚網(wǎng)站的結論,返回到客戶端告知用戶。該識別技術誤報率較低。

4.5 基于網(wǎng)站備案識別

釣魚網(wǎng)站大部分仿冒的網(wǎng)站為大型網(wǎng)站,根據(jù)國家工信部的要求,該網(wǎng)站肯定已經(jīng)備案。且備案信息中有該企業(yè)名稱。瀏覽器可以通過判斷“網(wǎng)站”是否備案,備案信息是否與正常網(wǎng)站信息一致。看到這里,也許有人會問,備案的信息不能偽造嗎?實際上,中國網(wǎng)站備案步驟比較復雜,公司備案需要營業(yè)執(zhí)照副本、網(wǎng)站負責人身份證正反面、網(wǎng)站負責人照片、核驗單等。而且是人工審核,備案時間約為20至30個工作日。釣魚網(wǎng)站流動性較大,備案困難且備案信息不可偽造。使用網(wǎng)站備案進行識別是一個好方法。誤報率幾乎為零。

4.6 基于圖像特征的釣魚識別技術

有些時候基于頁面文本特征的釣魚識別技術不能有效工作的時候,可以使用基于圖像特征的釣魚識別技術進行識別。有些釣魚網(wǎng)站開發(fā)者對于CSS或者美工不擅長技術,于是網(wǎng)頁大面積使用圖片進行開發(fā),關鍵字就在圖片里面了,文本就會很少??筛鶕?jù)EMD算法計算圖片文件與數(shù)據(jù)庫中釣魚網(wǎng)站截圖文件之間的相似度去判斷是否為釣魚網(wǎng)站?;趫D像特征的釣魚識別技術,優(yōu)點就是檢測那些為了躲避文本特征檢測識別技術的釣魚網(wǎng)頁。缺點是算法十分復雜,計算量大,占用空間大。

4.7 基于PR(PageRank)網(wǎng)頁級別進行判斷

PR值全稱為PageRank(網(wǎng)頁級別),釣魚網(wǎng)站由于流動性和臨時性,網(wǎng)站的PR值很低,一般的釣魚網(wǎng)站PR值為0.而釣魚網(wǎng)站所仿的官方真實網(wǎng)站PR值一般很高.當發(fā)現(xiàn)疑似釣魚網(wǎng)站的網(wǎng)頁時,通過判斷PR值來確定該網(wǎng)站是否為釣魚網(wǎng)站也是一個好的方法。

五、釣魚網(wǎng)頁的分析
5.1釣魚網(wǎng)頁實例(QQ郵箱)

這里舉出實際的案例,來對釣魚網(wǎng)頁進行分析,下面是一個QQ郵箱的界面示例:

圖4 釣魚頁面(QQ郵箱)

圖5 官方頁面(QQ郵箱)



釣魚網(wǎng)頁首頁上的鏈接均使用官方地址


圖6 釣魚示例網(wǎng)頁的主要代碼

釣魚網(wǎng)頁存儲格式為 TIME時間-USER 用戶輸入的QQ號-PASSWORD 用戶輸入的密碼-IP 用戶的IP地址。將以上數(shù)據(jù)存放在1.txt中。存儲后返回真實QQ郵箱登陸界面。釣魚者通過訪問1.txt即可查看到受害者輸入的信息。目錄結構較為簡單,如下圖所示:


圖7 釣魚示例網(wǎng)頁的目錄文件

其內(nèi)容分別為:圖片文件夾、css樣式、主頁文件和存放的受害者的信息文件1.txt,甚至都不需要使用數(shù)據(jù)庫。普通用戶往往只看到界面熟悉,而不看到域名就盲目的訪問,并且在網(wǎng)頁上填寫自己的賬號密碼,就會導致賬號被盜,隱私泄露等問題。

圖8 本地測試釣魚網(wǎng)站和真實網(wǎng)頁的URL示意圖

這種釣魚網(wǎng)頁設計簡單,并未進行賬號密碼正確性判斷,隨便輸入任何漢字或字母都可以作為賬號“登錄”。

5.2釣魚網(wǎng)頁實例(QQ安全中心)


圖9 釣魚頁面(QQ安全中心)



圖10 官方頁面(QQ安全中心)


標題和官方網(wǎng)站標題完全一樣,通過數(shù)個div和css樣式組成首頁。并且使用QQ安全中心的網(wǎng)頁圖標,除首頁外導航欄均鏈接到QQ安全中心官方網(wǎng)站。在釣魚網(wǎng)頁上的驗證碼可隨便輸入,程序并未識別驗證碼是否正確。QQ賬號和密碼也沒有進行判斷。但是從根目錄下的“資料.txt”中可以看到,該代碼的收費版的有識別賬號密碼是否正確的功能,賬號可以輸入漢字、英文。這意味著更高的隱蔽性,也更加具有欺騙性。

登錄后的頁面如圖11所示:

圖11 登錄釣魚網(wǎng)站的QQ安全中心后的偽造信息

該網(wǎng)頁利用用戶的心理,當用戶看到賬號被凍結且有大量異地登錄時,心情肯定很緊張,于是便急于清楚異常。點擊清楚異常按鈕后出現(xiàn)圖12所示的界面:

圖12登錄釣魚網(wǎng)站的QQ安全中心后的偽造驗證輸入框

該界面彈出輸入密保問題的框,并要求讓用戶輸入其信息。用戶輸入信息后,會轉入圖13所示的偽造申訴信息頁面??梢钥吹?,犯罪分子的偽裝十分精細而巧妙,試圖讓用戶輸入QQ賬號申訴時填寫的信息,以便盜號者進行申訴盜號。

圖13 登錄釣魚網(wǎng)站的QQ安全中心后的系列偽造頁面

最后顯示我們提交成功,下面我進入釣魚網(wǎng)站后臺,輸入管理員賬號密碼后成功登入。 查看后臺登陸記錄,可以看到剛剛提交的信息:

圖14 釣魚網(wǎng)站盜取的用戶信息

可以看到,所有信息都被記錄到了后臺。根據(jù)騰訊公司對找回QQ密碼的兩種途徑。第一種通過密保修改,上面信息記錄的內(nèi)容包括密保問題的三個問題,而通過手機短信修改,以上也收集到用戶發(fā)送短信后的驗證碼。而找回密碼所需要的資料也全部都有,因此盜號者完全可以通過上面的資料獲得QQ號的“所有權”。

圖15 釣魚網(wǎng)站的文件目錄結構信息

圖15 釣魚網(wǎng)站的數(shù)據(jù)庫信息

2555659fhlk544362@$@$#fj目錄下為存放釣魚數(shù)據(jù)的數(shù)據(jù)庫文件。所有釣魚數(shù)據(jù)和管理員賬號密碼、登錄記錄都存放在mdb數(shù)據(jù)庫中,作者為了防止黑客下載mdb把數(shù)據(jù)庫的目錄和mdb數(shù)據(jù)庫文件的文件名弄的很長很復雜。

六、釣魚網(wǎng)站技術原理
6.1 頁面制作

釣魚網(wǎng)站首先要模擬出足以誘使用用戶登錄的看似正常的官方網(wǎng)站內(nèi)容.常見的內(nèi)容一般都含有看似復雜的文字、圖片、鏈接以及flash動畫等內(nèi)容,其實這些內(nèi)容可以簡單的通過瀏覽器的“文件另存為”完成。

這里以IE10為例,我們可以看到另存為后的內(nèi)容和該網(wǎng)站完全一樣:

圖16 百度頁面

即使有些內(nèi)容無法獲取到也無關緊要,因為沒有人會清楚地記得特定網(wǎng)頁上會有哪些內(nèi)容.釣魚者往往將制作好的網(wǎng)頁放到一個可以公開訪問的空間上,這樣任何人都可以通過互聯(lián)網(wǎng)訪問到這個頁面.

6.2 后臺技術

釣魚網(wǎng)站的目的是獲取到用戶的個人隱私,因此如何捕捉用戶在網(wǎng)頁上的輸入是關鍵一步。通常釣魚者把用戶的信息存到mdb數(shù)據(jù)庫文件中或TXT文件中又或者mysql數(shù)據(jù)庫中。正常的網(wǎng)頁是需要把賬號密碼和數(shù)據(jù)庫中的進行對比,而釣魚者通常為了減少代碼量,直接存入,并不做驗證。

七、釣魚網(wǎng)站的鑒別方法與防范
7.1 安全標志查驗法

用戶在進行網(wǎng)絡交易等重要操作時應養(yǎng)成查看網(wǎng)站身份信息的使用習慣。例如360安全瀏覽器當你訪問為官方網(wǎng)站的時候 便會在地址欄左邊顯示綠色的標志,如圖17(a)所示,如果不是官方網(wǎng)站則提示如圖17(b)的標志。

(a) (b)

圖17 安全信息提示標記

可信網(wǎng)站查驗是通過中國互聯(lián)網(wǎng)絡信息中心(CNNIC)驗證服務來鑒別網(wǎng)站的真實性的方法中國互聯(lián)網(wǎng)絡信息中心(CNNIC)網(wǎng)址是中國互聯(lián)網(wǎng)絡信息中心,其網(wǎng)站下面有一個查詢的鏈接。查詢后顯示可信網(wǎng)站持有者,便為官方可信網(wǎng)站。

圖18 網(wǎng)絡安全可信網(wǎng)站查驗

7.2 https安全鏈接

一般大型支付網(wǎng)站如支付寶等,其URL開頭為https 表示該網(wǎng)站通過SSL加密訪問。但就算有https也不能全信(開啟https需要服務器支持和SSL證書),因為申請SSL證書也很容易,網(wǎng)絡上有免費申請SSL證書,雖然過程復雜容易失敗,但也有人將其作為高端釣魚網(wǎng)站的選擇。甚至也可以在淘寶購物網(wǎng)站上購買,最低價有8元/年的SSL證書。所以就算有https也不能全信這個網(wǎng)站是安全的官網(wǎng)。

7.3 域名結構分析

域名最前面一般由http://或者https://構成,這是超文本傳輸協(xié)議,域名的htt*://到第一個單斜杠“/”之間是域名的所在位置。我們先把除此之外的排除掉。

按照上述方法 排除 http://www.baidu.com/ 便保留了為空。那么保留后有些釣魚網(wǎng)站域名為 http://taobao.qq.12345.taoba0.com/(不存在該域名),那么它真實的域名是什么呢?我們只需要從最后面“/”的前面光標到“.”,那么“.”的前面拼接“.”再拼接“.”的后面便組成了該域名。如上述的釣魚網(wǎng)站真實域名為http://www.taoba0.com/。

面對釣魚網(wǎng)站的時候,我們觀察他們的域名,如http://www.taoba0.com/,對應真實的官網(wǎng)地址應為http://www.taobao.com/。我們就能發(fā)現(xiàn)其中的玄機——釣魚網(wǎng)站把“o”換成了“0”以此來試圖迷惑用戶。

7.4 QQ傳輸法驗證

相信大家上網(wǎng)常做的事之一就是上QQ,那么在這里,我告訴大家一個方法驗證是否為釣魚網(wǎng)站,為了不影響其它QQ用戶,可使用新建的討論組進行測試,當發(fā)送的網(wǎng)址URL為官方網(wǎng)站的時候QQ會提示您一些信息,如圖19所示,左邊會有一個綠色的小勾提醒您該網(wǎng)站是安全的。如果提醒您藍色問號,則請謹慎訪問,因為這個URL不是官網(wǎng)網(wǎng)站。如果提醒您紅色感嘆號,則表明該網(wǎng)站被許多QQ用戶舉報為并不安全,務必不要訪問。

圖19 騰訊提供的網(wǎng)站安全性驗證服務提示信息

7.5 增強安全的防范意識

釣魚網(wǎng)站是利用人們的心理弱點來進行的一種敲詐行為,之所以有不少的人上當,還是因為人們?nèi)狈Π踩庾R,根本沒有驗證網(wǎng)站的合法性、安全性和真實性。上當?shù)娜巳和ǔ6枷嘈盘焐夏艿麴W餅,在獲得“大獎”或其他物質(zhì)獎勵的誘惑下興奮不已,放松了警戒。

7.6 使用安全軟件

瀏覽網(wǎng)頁的時候可以使用安全的瀏覽器(不推薦使用Windows自帶的IE瀏覽器),例如360安全瀏覽器、獵豹瀏覽器、谷歌瀏覽器、火狐瀏覽器等。當用戶使用上述瀏覽器的時候,如果訪問的是釣魚網(wǎng)站,瀏覽器會自動提醒您警告信息。但需要注意的是,由于現(xiàn)在釣魚網(wǎng)站技術越來越高超,就算瀏覽器不提示警告信息, 也不能完全相信。

360安全瀏覽器和獵豹瀏覽器 目前推出了網(wǎng)購賠付的政策,在用戶遇到釣魚網(wǎng)站或網(wǎng)購木馬時,瀏覽器若有不及時進行攔截而導致您遭受經(jīng)濟損失的,瀏覽器會為您提供部分或全額的賠付,這確保了瀏覽器使用者的利益。

圖19 提供安全監(jiān)測功能的瀏覽器

除了瀏覽器以外我們還應該:

1)開通網(wǎng)銀U盾保護。在銀行開通網(wǎng)上銀行時,同時購買U盾。在登錄網(wǎng)上銀行時,必須把U盾插入電腦并輸入安全鎖密碼,如果不小心在釣魚網(wǎng)站上泄露了網(wǎng)銀的賬號密碼,違法者也不能登錄.因為登錄必須要U盾插入。

2)申請數(shù)字證書保護。數(shù)字證書是支付寶提供的保護資金安全的工具,使用了數(shù)字簽證,必須要在安裝了有數(shù)字證書的電腦上才能進行資金操作,這確保了用戶的資金安全。

3)其它保護措施。例如QQ,目前QQ提供了密保手機、手機令牌、QQ令牌、密??ā⒚鼙栴}等五種策略來對QQ進行保護。使用上述的五種密保工具,能更大程度上確保QQ的安全。

4)除了上述提到的技術手段外,用戶電腦上還應該安裝殺毒軟件、防火墻。例如360安全衛(wèi)士、卡巴斯基、瑞星、金山等等,以防止電腦被植入盜號木馬等軟件。

八、XSS漏洞釣魚攻擊
XSS攻擊即跨站腳本攻擊(Cross Site Scripting)它屬于釣魚攻擊的一類。XSS攻擊的危害包括:(1)盜取各類用戶帳號,如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號;(2)控制企業(yè)數(shù)據(jù),包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力;(3)盜竊企業(yè)重要的具有商業(yè)價值的資料;(4)非法轉賬;(5)強制發(fā)送電子郵件;(6)網(wǎng)站掛馬;(7)控制受害者機器向其它網(wǎng)站發(fā)起攻擊。根據(jù)國內(nèi)最大的漏洞提交平臺wooyuu(烏云)統(tǒng)計數(shù)據(jù),XSS漏洞共計記錄有3165條。

那么XSS漏洞的危害體現(xiàn)在哪里呢?有句經(jīng)常聽到的話:“不要打開不明的網(wǎng)站”。下面我們以全球最大的中文IT社區(qū)為例9,在某處添加代碼。當用戶訪問某頁面的時候,XSS代碼生效截取到該用戶的cookies,修改cookies后 發(fā)現(xiàn)能成功登陸csdn網(wǎng)站。該用戶并沒有做什么.只是按照日常的習慣訪問了csdn的某網(wǎng)頁,賬號便被盜。這便是XSS漏洞的威力。



圖19 XSS攻擊示例

下面是一個比較著名的一個XSS漏洞事件:

2011年6月28日晚,新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動發(fā)送諸如:“郭美美事件的一些未注意到的細節(jié)”,“建黨大業(yè)中穿幫的地方”,“讓女人心動的100句詩歌”,“這是傳說中的神仙眷侶啊”等等微博和私信,并自動關注一位名為hellosamy的用戶。事件的經(jīng)過線索如下:

20:14,開始有大量帶V的認證用戶中招轉發(fā)蠕蟲;

20:30,某網(wǎng)站中的病毒頁面無法訪問;

20:32,新浪微博中hellosamy用戶無法訪問;

21:02,新浪漏洞修補完畢。

以上事件說明,任何一個大型網(wǎng)站都有可能存在XSS漏洞,訪問請務必謹慎。

九、路由器釣魚攻擊
一臺電腦、一套無線路由器和一個網(wǎng)絡分析軟件就可搭建免費WIFI,截取用戶數(shù)據(jù)。也許你不信,但是事實確實如此。在公共場所,想上網(wǎng)沒有流量,突然發(fā)現(xiàn)旁邊有一個沒有密碼的WIFI,也許很多人便連接了。但其實這是很不安全的,里面可能暗藏陷阱。用戶在這種沒有密碼的WIFI進行操作時,傳輸?shù)臄?shù)據(jù)可被第三方監(jiān)視,如果登錄賬戶,黑客可以從數(shù)據(jù)包里查到用戶登陸信息,竊取個人郵箱、電子商務賬號等信息。

此外,免費WIFI也給黑客植入釣魚網(wǎng)站提供了便利。通過相關技術,黑客可以在用戶瀏覽網(wǎng)站時植入一段HTML代碼,使其自動跳轉到釣魚網(wǎng)站。如果此時登錄銀行、支付寶等進行電子商務交易,用戶可能會有經(jīng)濟損失。

那么有人會問,我用政府/可信任機構提供的有密碼的WIFI進行操作是否會有風險? 答案為“有風險”。這些機構運營的網(wǎng)絡安全性能很高,但不排除存在安全隱患的可能,只不過突破這些隱患要求黑客技術很高。畢竟任何設備都不是完美的,都可能存在一些漏洞,這就可能被黑客利用。那么自己家中的WIFI是否安全呢?其實也不安全,因為黑客可以破解WIFI密碼,進行APR劫持和DNS劫持,從而也可能導致數(shù)據(jù)泄露。

十、打擊釣魚的難點與障礙
在此以釣魚網(wǎng)站為例簡單討論對釣魚攻擊的抑制和防范。中國反釣魚網(wǎng)站聯(lián)盟是一個重要的網(wǎng)絡安全組織,主要是針對假冒其成員單位的釣魚網(wǎng)站打擊。釣魚網(wǎng)站之所以如此猖獗并且能夠頻頻得手,主要是利用了人們“貪”的心理和打擊釣魚網(wǎng)站法律制度的不完善。有的釣魚網(wǎng)站利用境外的服務器注冊,受害者發(fā)現(xiàn)上當后報案卻因網(wǎng)站的地域性往往難于對其處理。有的網(wǎng)站注冊名稱是臨時的,電話號碼等注冊信息(域名whois)均為虛假信息。還有的釣魚網(wǎng)站為了逃避打擊,實行游擊戰(zhàn)術,此起彼伏,經(jīng)常變換域名,打掉一個馬上換到另外一個地方。釣魚網(wǎng)站制作手法和防屏蔽能力也花樣頻出,這些釣魚網(wǎng)站給警察偵查帶來了很大的困難。

釣魚網(wǎng)站的制作手法也不斷翻新,讓網(wǎng)民防不勝防,從釣魚網(wǎng)站到釣魚程序,到XSS漏洞攻擊和路由器釣魚攻擊,層出不窮。此外,如前所述,釣魚網(wǎng)站制作成本極低,遷移性強也是難以打擊的一個重要原因。

結束語:釣魚攻擊已在我們的身邊泛濫,目前還沒有針對釣魚攻擊的完整解決方案,只能對其防范。釣魚網(wǎng)站之所以能夠發(fā)展迅速,最關鍵還是利用了人們的貪欲和對網(wǎng)絡知識的不了解。只要用戶樹立了正確的觀念,具備安全的上網(wǎng)習慣,釣魚網(wǎng)站最終也很難以生存。


注釋:

1 由于釣魚網(wǎng)站被封殺的快,普遍使用空間。

2 以美國空間為例,是因為大部分釣魚網(wǎng)站空間IP地址都位于美國。

3.以上提供的價格為本人了解到的市場最低價,和標稱價格可能存在出入。

http://4.com域名費用加美國100MB空間的一年期租賃費用。

5.該域名中的1是阿拉伯數(shù)字的1而非英文字母l。

6.這個多了一個o的域名已被谷歌(http://google.com)收購以避免釣魚網(wǎng)站對其的影響。

7.需要聲明的是,該軟件并未用于任何非法用途和網(wǎng)絡傳播,代碼也未公布。

8.統(tǒng)一資源定位符(Uniform Resource Locator,縮寫為URL)是對可以從互聯(lián)網(wǎng)上得到的資源的位置和訪問方法的一種簡潔的表示,也就是我們平時說的網(wǎng)絡地址。

9. 感謝烏云用戶:喬治



參考資料

[1] 中國反釣魚網(wǎng)站聯(lián)盟(Anti-Phishing Alliance of China,簡稱“APAC”),http://www.apac.org.cn/

[2] 百度百科“網(wǎng)絡釣魚”,http://baike.baidu.com/view/77554.htm

[3] 百度新聞,http://news.baidu.co/


[4] 烏云,http://www.wooyun.org/bugs/wooyun-2010-02875
74
73
25
news

版權所有? 億企邦 1997-2022 保留一切法律許可權利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關閉