客服热线:400-615-8698
林果

针对电子银行的网络钓鱼攻击及其防范策略(信息网络安全)

2011年08月16日 TAG: 本站

针对电子银行的网络钓鱼攻击及其防范策略
来源:《信息网络安全》
作者:1. 吕述望;2. 王昭顺;3. 李剑;4. 陈孟英,上海林果实业有限公司

 网络钓鱼第一次有记载提到的是在199612日的alt.online - service.america - Usenet 新闻组

360安全中心《2010上半年安全报告》数据显示,目前国内网上活跃的钓鱼网站数超过了10万个,并以平均每月11630家的速度飙涨。仅2010年上半年,网络钓鱼给网民和社会带来的直接或间接的经济损失就超过120亿元。网络钓鱼已成为仅次于木马的网络安全新威胁。

 

1 网络钓鱼方法介绍

早期钓鱼者利用的方法是胡乱的通过邮件或短信发给网银或各种网上支付的客户,现在发展到有针对性的欺骗特定的客户(对客户的个人信息了解的基础上)。针对性钓鱼被称为鱼叉式网络钓鱼spear phishing)。

国外,社交网站因为容易泄露个人信息,成为网络钓鱼的主要目标。统计表明这类钓鱼的成功率超过70%

控制特定网站,在其上修改连接地址使其指向钓鱼网站。

链接操控

大多数网络钓鱼使用的方法是在邮件、IM或其它载体中设计一个指向钓鱼者网址的链接。拼写错误的URL或网址子域是钓鱼者常用的欺骗手段;另一个常用的伎俩是链接中显示的tags之间文本,看起来很正常,用户点击后就链接到钓鱼者设计的地址;一种旧的欺骗方法使用含有@符号的链接,@符号的本意是包含用户名和密码(和标准相违背);另一个关于URLs的问题是浏览器处理国际化域名(IDN),看起来相同的WEB地址,可能导致不同的(很可能是欺骗网站)网址;尽管国际化域名欺骗或同型词攻击的漏洞已经公布,网络钓鱼者还可以利用对可信机构网站的公开的URL重定向功能,用可信的域名伪装的欺骗网址。这一技术还可以欺骗使用数字证书的客户,因为钓鱼者可以购买证书,修改内容后欺骗真正的网址。

过滤器躲避

为了躲避网站防钓鱼对常用文字的过滤,钓鱼者用的新技术已经可以用图片代替文字。

网站伪造

受害者访问钓鱼网站,欺诈行为才刚刚开始。一些钓鱼者使用JavaScript命令修改地址栏,将含有合法URL的图片放在地址栏上或者关闭原来的地址栏打开一个含有合法地址的新的地址栏。

攻击者甚至可以利用受害者自己信任的网站脚本的缺陷攻击受害者,这类攻击(称为跨站攻击)危害性特别严重,因为受害者登陆的是真实的应用网站,从网址到证书都是真的。这种钓鱼方式没有专业知识是很难发现的。

2007年出现了一种通用的中间人(MITM)钓鱼工具包,这个工具提供了非常容易使用的用户界面,使用者可以在仿冒的网页中很容易地再现和捕获用户登陆输入的详细信息。

为了对抗扫描常用钓鱼文字的反钓鱼技术,钓鱼者开始使用基于FLASH的网站,这样的网站看起来很像真的,但多媒体对象中隐藏了钓鱼文本。

电话诈骗

网络钓鱼不一定非要用仿冒的网站。可以通过手机短信或邮件等发送信息给客户,声称其银行账号有问题,并告知让其打一个服务电话。一旦客户打了该电话(欺骗者所拥有并开通了IP语音服务功能),客户就会被要求输入账号和密码。

电话诈骗(也称语音钓鱼)使用的钓鱼电话号码可以让用户看起来是真的服务商的电话号码。

其它技术

不同于传统的网络钓鱼攻击,可以将客户登陆到合法的服务网站,制作弹出式对话框覆盖合法网页,要求客户输入敏感信息。

标签钓鱼(tabnabbing)是一种新的网络钓鱼攻击手法, tabnabbing可改变用户浏览网页的标签及接口,以诱导用户输入网络服务的账号与密码。当使用者连上一个嵌有第三方script程序或Flash工具的网页时,就会让自己曝露于风险中,因为相关的恶意软件得以侦测使用者经常使用或正在使用的网络服务,在用户暂时离开该网页后,该网页内容及网页标签会悄悄地变身成为伪造的网络服务,并诱导用户输入个人信息。

与传统钓鱼方式不同,tabnabbing不会诱导人们去点击那些看似合法的虚假网站,但是会通过持续改一些Java脚本将浏览器标签变形,诱骗用户输入(邮箱、网银等的)登录信息。

  攻击者制造了一个页面,提示用户一些错误信息,比如会话已经超时,请重新登录之类的话,这确实常常发生在银行网站上,所以黑客利用这点能够更容易的进行攻击。

邪恶的双胞胎(Evil twins)是一种防不胜防的钓鱼技术,该方法是钓鱼者在宾馆、机场等一些公共场所建立仿冒的无线网络,当客户登陆的这类网络后钓鱼者就会得到用户的私密信息。

 

2 网络钓鱼的防范

技术上的应对措施

以下这些技术措施,已经作为组件嵌入到大部分的浏览器中,并作为网站登录过程的一部分。

l   合法网站列表

    大部分防钓鱼的网站是使用了SSLPKI的安全网站,网址是其标识符。理论上讲使用了SSL认证对用户来讲应该能确认网址,这也是SSL V2设计的基本要求。但事实上很容易欺骗。明显的缺陷是浏览器的安全用户接口无法应对当今强大的威胁。使用TLS和证书的安全认证包含三部分内容:表示链接的认证模式;指示那个网站是用户正在链接的;指示那个部门说的是这个网站。这三部分都需要认证,并都需要由(向)用户确认。

安全连接

90年代中期到2000年代中期安全浏览的标准显示是挂锁。2005年,Mozilla用一个黄色的2005  URL工具条作为安全链接的标识,这一创新,由于EV证书的出现得到了发展。

哪个网站

用户希望能确认浏览器地址栏中的域名就是他们要访问的站点。像一些反钓鱼网站工具所做的那样,简单的显示访问网站的域名是不够的。

一些较新的浏览器,例如IE8,整个网址只有域名显示黑色,其它都是灰色,这样可以帮助用户识别欺诈网站。

另一方法是PETNAME扩展,FIREFOX浏览器允许用户自己为网址作标签。

EV证书,浏览器用绿色显示组织的名称。

安全浏览的安全模式中的根本缺陷

提高安全用户界面为防范网络钓鱼已经带来了益处,但是也暴露了安全模式的根本缺陷。

Ø  安全早于威胁

先有安全措施,后有安全威胁。或者说安全威胁都是在现有安全措施基础上出现的。

Ø  点击通过综合症

对网站站点配置不当造成的告警,类似证书过期、域名不匹配,用户通常是点击通过,久而久之发展到现在的点击通过综合症。

Ø  缺乏兴趣

TLS网络服务器中缺乏对服务器名称的指示、以及费用和获取证书的不便使得很少使用安全认证,这又引起对TLS安全认证知识和资源的不关心、不了解。也使得安全浏览器厂商提升安全服务变得缓慢和低迷。

Ø  横向沟通

安全浏览的安全模型包括许多参与者:用户、浏览器厂商、开发商、CA组织、审计员、网络服务器供应商、电子商务网站、监管机构和安全标准委员会等,所有参与者之间缺乏沟通和统一协调,甚至推卸责任。

Ø  标准僵局

由于形成一个标准的周期较长(10年左右),而威胁模式的更新只需一个月的时间,所以尽管有好多可以提高用户安全界面的技术都无法形成标准,甚至和标准抵触。

 

l   浏览器对欺诈网站提醒用户

维持一个已知钓鱼网站的列表,是现在大多浏览器的功能项。钓鱼网站通常是模仿受害人的网站在其网站上嵌入图片(例如logo),为此有些网站改变了图片,修改文件的名字永久替换原来的图片,并将信息通过邮件发送给用户。

l   增强的密码登陆

“美国银行”的网站要求用户选择一个自己的图像,登陆网银时只有看到自己的个人图像才能输入密码。

另一技术是利用动态网格图像,该网格图像每次登陆时都不同,只有用户将网格中的图像还原成初始选择的图像时,才能出现密码输入框。

l   钓鱼邮件清除

专业的垃圾邮件过滤系统能够减少钓鱼邮件的数量,这需要机器学习和自然语言处理的方法分类钓鱼邮件。

l   检测和移除

成了专门的组织或机构,动员全社会力量,24小时监控互联网动态,发现钓鱼网站立即消除和告警。

社会范畴对策

防范网络钓鱼要从立法和技术多渠道共同努力,大部分新出的浏览器都含有防钓鱼程序。

一是培育人们的认识钓鱼的企图和应对方法。为了防范钓鱼,人们可以稍微修改一下自己的浏览习惯,当收到需要验证账号等钓鱼者习惯使用的伎俩的邮件后,最好能通过电话等方式得到开户行确认;另外还可以直接在地址栏中输入网站地址而不是点击邮件中的地址。

目前大部分的受害者是因为缺乏安全防范意识,让钓鱼者有了可利用的空间。所以用户自身要增强安全意识,认识到网络环境是不安全的,互联网环境是一个虚拟的小社会,互联网上的活动各式各样,怀着各种目地的人,为了达到目的进行着各自的努力。这其中就有想搜集别人的私有信息,进而达到欺诈和窃取他人财物、敏感信息的目的。

媒体要针对互联网的安全现状,加大宣传力度。一是要宣传网络钓鱼行为是违法行为,是要负刑事责任的。违法必究,不要抱逃避法律打击的侥幸心理。而是要对网络用户加强网络安全知识的普及教育,使人们上网时要保持警惕性,不要随意登陆不认识的网站,也不要贪便宜,要记住天上不会掉馅饼。

司法部门要加大打击力度,及时的发现和破获网络钓鱼违法案件,让犯罪分子没有喘息的机会。这一方面要加大公安的技术投入,另一方面也要提高公安队伍的执法能力,使司法部门能够发现一起破获一起惩处一起,让犯罪分子没有生存的土壤。

防范钓鱼不是个别人个别部门的事情,是全社会的事情。只有全社会各个部门的通力合作,才能让犯罪企图无法得逞,让犯罪行为得以惩处。才能让网银用户安心使用,让网银事业蓬勃发展。


 吕述望简介

1965年毕业于中国科技大学无线电电子学系自动控制专业,现任中科院研究生院信息安全国家重点实验室教授、博士生导师。

1980年以来主要从事密码学、信息安全方面的研究。近期主要从事信息安全中关键芯片集成工作,承担国家重点基础研究发展规划项目(973 )中 “信息安全中关键芯片集成及其基础研究” 课题和国家高科技发展计划(863 )中 “密码算法标准研究及其芯片集成”项目。

理论研究承担了国家自然科学基金课题“ 完全映射及其密码学应用”。 曾获得1986年度和1988年度中国科学院科技进步一等奖、1988年度国家科技进步二等奖、1992年度国家科技进步一等奖、1995年度省部级科技进步一等奖、1996年度国家科技进步二等奖、1997年度省部级科技进步二等奖,均为各奖项的主要完成人。

1992年起享受国务院分发的政府特殊津贴。他主持开发的SMS4密码算法是我国官方公布的第一个商用密码算法,应用于无线局域网。

本文链接:http://www.linguo.cn/product/html/26.html转载请注明!
扫描加入
Copyright © 2015 - 2024 上海林果实业股份有限公司    沪ICP备11027956号