针对电子银行的网络钓鱼攻击及其防范策略
来源:《信息网络安全》
作者：1. 吕述望；2. 王昭顺；3. 李剑；4. 陈孟英，上海林果实业有限公司

 “网络钓鱼”第一次有记载提到的是在1996年1月2日的alt.online - service.america - 的Usenet 新闻组。

据360安全中心《2010上半年安全报告》数据显示，目前国内网上活跃的“钓鱼网站”数超过了10万个，并以平均每月11630家的速度飙涨。仅2010年上半年，网络钓鱼给网民和社会带来的直接或间接的经济损失就超过120亿元。网络钓鱼已成为仅次于木马的网络安全新威胁。

1 网络钓鱼方法介绍

早期钓鱼者利用的方法是胡乱的通过邮件或短信发给网银或各种网上支付的客户，现在发展到有针对性的欺骗特定的客户（对客户的个人信息了解的基础上）。针对性钓鱼被称为鱼叉式网络钓鱼（spear phishing）。

国外，社交网站因为容易泄露个人信息，成为网络钓鱼的主要目标。统计表明这类钓鱼的成功率超过70%。

控制特定网站，在其上修改连接地址使其指向钓鱼网站。

链接操控

大多数网络钓鱼使用的方法是在邮件、IM或其它载体中设计一个指向钓鱼者网址的链接。拼写错误的URL或网址子域是钓鱼者常用的欺骗手段；另一个常用的伎俩是链接中显示的tags之间文本，看起来很正常，用户点击后就链接到钓鱼者设计的地址；一种旧的欺骗方法使用含有@符号的链接，@符号的本意是包含用户名和密码（和标准相违背）；另一个关于URLs的问题是浏览器处理国际化域名（IDN），看起来相同的WEB地址，可能导致不同的（很可能是欺骗网站）网址；尽管国际化域名欺骗或同型词攻击的漏洞已经公布，网络钓鱼者还可以利用对可信机构网站的公开的URL重定向功能，用可信的域名伪装的欺骗网址。这一技术还可以欺骗使用数字证书的客户，因为钓鱼者可以购买证书，修改内容后欺骗真正的网址。

　　攻击者制造了一个页面，提示用户一些错误信息，比如“会话已经超时，请重新登录”之类的话，这确实常常发生在银行网站上，所以黑客利用这点能够更容易的进行攻击。

邪恶的双胞胎（Evil twins）是一种防不胜防的钓鱼技术，该方法是钓鱼者在宾馆、机场等一些公共场所建立仿冒的无线网络，当客户登陆的这类网络后钓鱼者就会得到用户的私密信息。

2 网络钓鱼的防范

技术上的应对措施

以下这些技术措施，已经作为组件嵌入到大部分的浏览器中，并作为网站登录过程的一部分。

l   合法网站列表

    大部分防钓鱼的网站是使用了SSL和PKI的安全网站，网址是其标识符。理论上讲使用了SSL认证对用户来讲应该能确认网址，这也是SSL V2设计的基本要求。但事实上很容易欺骗。明显的缺陷是浏览器的安全用户接口无法应对当今强大的威胁。使用TLS和证书的安全认证包含三部分内容：表示链接的认证模式；指示那个网站是用户正在链接的；指示那个部门说的是这个网站。这三部分都需要认证，并都需要由（向）用户确认。

安全连接

从90年代中期到2000年代中期安全浏览的标准显示是挂锁。2005年，Mozilla用一个黄色的2005  URL工具条作为安全链接的标识，这一创新，由于EV证书的出现得到了发展。

哪个网站

用户希望能确认浏览器地址栏中的域名就是他们要访问的站点。像一些反钓鱼网站工具所做的那样，简单的显示访问网站的域名是不够的。

一些较新的浏览器，例如IE8，整个网址只有域名显示黑色，其它都是灰色，这样可以帮助用户识别欺诈网站。

另一方法是PETNAME扩展，FIREFOX浏览器允许用户自己为网址作标签。

EV证书，浏览器用绿色显示组织的名称。

安全浏览的安全模式中的根本缺陷

提高安全用户界面为防范网络钓鱼已经带来了益处，但是也暴露了安全模式的根本缺陷。

Ø  安全早于威胁

先有安全措施，后有安全威胁。或者说安全威胁都是在现有安全措施基础上出现的。

Ø  点击通过综合症

对网站站点配置不当造成的告警，类似证书过期、域名不匹配，用户通常是点击通过，久而久之发展到现在的点击通过综合症。

Ø  缺乏兴趣

TLS网络服务器中缺乏对服务器名称的指示、以及费用和获取证书的不便使得很少使用安全认证，这又引起对TLS安全认证知识和资源的不关心、不了解。也使得安全浏览器厂商提升安全服务变得缓慢和低迷。

Ø  横向沟通

安全浏览的安全模型包括许多参与者：用户、浏览器厂商、开发商、CA组织、审计员、网络服务器供应商、电子商务网站、监管机构和安全标准委员会等，所有参与者之间缺乏沟通和统一协调，甚至推卸责任。

Ø  标准僵局

由于形成一个标准的周期较长（10年左右），而威胁模式的更新只需一个月的时间，所以尽管有好多可以提高用户安全界面的技术都无法形成标准，甚至和标准抵触。

l   浏览器对欺诈网站提醒用户

维持一个已知钓鱼网站的列表，是现在大多浏览器的功能项。钓鱼网站通常是模仿受害人的网站在其网站上嵌入图片（例如logo），为此有些网站改变了图片，修改文件的名字永久替换原来的图片，并将信息通过邮件发送给用户。

l   增强的密码登陆

“美国银行”的网站要求用户选择一个自己的图像，登陆网银时只有看到自己的个人图像才能输入密码。

另一技术是利用动态网格图像，该网格图像每次登陆时都不同，只有用户将网格中的图像还原成初始选择的图像时，才能出现密码输入框。

l   钓鱼邮件清除

专业的垃圾邮件过滤系统能够减少钓鱼邮件的数量，这需要机器学习和自然语言处理的方法分类钓鱼邮件。

l   检测和移除

成了专门的组织或机构，动员全社会力量，24小时监控互联网动态，发现钓鱼网站立即消除和告警。

社会范畴对策

防范网络钓鱼要从立法和技术多渠道共同努力，大部分新出的浏览器都含有防钓鱼程序。

一是培育人们的认识钓鱼的企图和应对方法。为了防范钓鱼，人们可以稍微修改一下自己的浏览习惯，当收到需要验证账号等钓鱼者习惯使用的伎俩的邮件后，最好能通过电话等方式得到开户行确认；另外还可以直接在地址栏中输入网站地址而不是点击邮件中的地址。

目前大部分的受害者是因为缺乏安全防范意识，让钓鱼者有了可利用的空间。所以用户自身要增强安全意识，认识到网络环境是不安全的，互联网环境是一个虚拟的小社会，互联网上的活动各式各样，怀着各种目地的人，为了达到目的进行着各自的努力。这其中就有想搜集别人的私有信息，进而达到欺诈和窃取他人财物、敏感信息的目的。

媒体要针对互联网的安全现状，加大宣传力度。一是要宣传网络钓鱼行为是违法行为，是要负刑事责任的。违法必究，不要抱逃避法律打击的侥幸心理。而是要对网络用户加强网络安全知识的普及教育，使人们上网时要保持警惕性，不要随意登陆不认识的网站，也不要贪便宜，要记住天上不会掉馅饼。

司法部门要加大打击力度，及时的发现和破获网络钓鱼违法案件，让犯罪分子没有喘息的机会。这一方面要加大公安的技术投入，另一方面也要提高公安队伍的执法能力，使司法部门能够发现一起破获一起惩处一起，让犯罪分子没有生存的土壤。

防范钓鱼不是个别人个别部门的事情，是全社会的事情。只有全社会各个部门的通力合作，才能让犯罪企图无法得逞，让犯罪行为得以惩处。才能让网银用户安心使用，让网银事业蓬勃发展。

 吕述望简介

1965年毕业于中国科技大学无线电电子学系自动控制专业，现任中科院研究生院信息安全国家重点实验室教授、博士生导师。

1980年以来主要从事密码学、信息安全方面的研究。近期主要从事信息安全中关键芯片集成工作，承担国家重点基础研究发展规划项目（973 ）中 “信息安全中关键芯片集成及其基础研究” 课题和国家高科技发展计划（863 ）中 “密码算法标准研究及其芯片集成”项目。

理论研究承担了国家自然科学基金课题“ 完全映射及其密码学应用”。 曾获得1986年度和1988年度中国科学院科技进步一等奖、1988年度国家科技进步二等奖、1992年度国家科技进步一等奖、1995年度省部级科技进步一等奖、1996年度国家科技进步二等奖、1997年度省部级科技进步二等奖，均为各奖项的主要完成人。

1992年起享受国务院分发的政府特殊津贴。他主持开发的SMS4密码算法是我国官方公布的第一个商用密码算法，应用于无线局域网。