全文

2005年热门话题：钓鱼式攻击深入剖析

2005-09-21 11:07作者：出处：计算机安全责任编辑：原野

2005年以来，网络骗子给网民们制造了不少麻烦，从中国金融安全网到瑞星防病毒网站，几乎无一例外的提到了“钓鱼式攻击”这个闹得沸沸扬扬的名词。自2004年以来，“钓鱼式攻击”已经给国内用户造成了很大的损失，或信用卡账号被盗，或银行账户上的存款不翼而飞，让人防不胜防！“钓鱼式攻击”的英文名Phishing来源于两个词，Phreaking+Fishing=Phishing，其中“Phreaking”的意思是找寻在电话系统内漏洞，不付电话费用；“Fishing”是使用鱼饵吸引猎物，也就是通常所讲的钓鱼。古时，子牙垂钓于秦岭脚下，其意全不在鱼；如今，网络飞速发展，网络钓鱼者垂钓于网络中，诱饵千百种，其行为目的很明确，就是以利为目的，盗取银行的存款或其他机密信息。

那么，这些网络骗局是如何设置的呢？作为网络用户，又该如何进行有效的防范呢？本文将深入剖析其中的原理，并给出有效的防范方案。

一、精心营造的网络骗局

为了揭穿这些骗局，更好的保证金融网络的安全，我们首先来看看其中的一些典型原理。

1、南辕北辙：改写URL

对于经常上网的用户来说，下面的地址应该不陌生：

例1 http://www.XXXbank.com&item=q209354@www.test.net/pub/mskb/Q209354.asp

例2 http://www.XXXbank.com@www.google.com/search?hi=zh-CN&ie=UTF-8&oe=UTF-8&q=asp&Ir=

在例1中，真正的主机是www.test.net，而“www.XXXbank.com”在这个URL中不过是个“掩耳盗铃”的假用户名，服务器会忽略掉。例2中，“www.XXXbank.com”将被视为Google服务器上的一个用户名，实际指向后面的页面。如果这个地址是具有攻击性或感染了病毒的网页，后果可想而知。类似的欺骗手法在“钓鱼式攻击”中应用的十分普遍。在钓鱼式攻击者制作的网页中，还存在如下的地址欺骗：

（1）域名欺骗。结合上述十进制IP地址，就可以通过如下的URL来制造更大的迷惑：www.XXXbank.com＠3633633987/这个网址就达到了以假乱真的地步，它实际指向Redhat网站，怎么，你还以为是www.XXXbank.com吗？因为很多的网站都把HTTP的ScssionID放在URL中，来代替Cookie使用，所以用户并不会十分留意这个URL中的数字值和“＠”字符。

（2）IP地址欺骗。主要是利用一串十进制格式，通过不知所云的数字麻痹用户，例如IP地址202.106.185.75，将这个IP地址换算成十进制后就是3395991883，Ping这个数字后，我们会发现，居然可以Ping通，这就是十进制IP地址的解析，它们是等价的。

（3）链接文字欺骗。我们知道，链接文字本身并不要求与实际网址相同，那么你可不能只看链接的文字，而应该多注意一下浏览器状态栏的实际网址了。如果该网页屏蔽了在状态栏提示的实际网址，你还可以在链接上按右键，查看链接的“属性”。

（4）Unicode编码欺骗。Unicode编码有安全性的漏洞，这种编码本身也给识别网址带来了不便，面对“％20％30”这样的天书，很少有人能看出它真正的内容。除了Unicode编码外，以上提到的几种欺骗手段都是可以察觉的，再发现可疑网址时，用户就可以用学到的这些知识先“过滤”一番了。

2、攻心战术：社会工程学欺骗

熟练的社会工程学使用者都擅长进行信息收集，很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。类似的社会工程学原理被钓鱼式攻击者巧妙的用在了垃圾邮件的传递中。初次看到accounts@citibank.com这个地址，Citibank的顾客肯定不会有什么怀疑。然后就是等“鱼”上钩了。暂且不问信的来路，这是一个做得很好的社会工程学骗局。发送者通过合法的伪装来骗取受害者的信任。

骗局是这样的：“亲爱的**用户，我们注意到您的账户信息已经过期了，现在需要更新账户信息，如果不及时更改将会导致账户信息失效”。我们注意到，在邮件的醒目之处有一行信息：“Please click here to update your billing records”，即“请点击此处更新你的收费记录”。看上去的地址是http://www.mycitibank.net/，实际上银行地址是http://www.mycitibank.net/。大家注意到，这个网络钓鱼攻击者使用的是http://www.mycitibank.net/，乍一眼看上去很亲切，实际上是仿冒了银行地址。在愉悦的“冲浪”时刻，当用户看到比真实的页面还要生动的假冒页面时，可能就会放松警惕性，甚至还会有一种亲切感。下面是一个2005年4月7日公布的一个典型的欺骗邮件。如图1所示。

图1

用户输入数据后，还可以通过巧妙的Javascript脚本来迷惑用户。仿冒的站点提供了很多银行的连接，这样就给人以可信的感觉，实际上也是一种社会工程学的暗示。用户输入账号信息后，钓鱼者可能就在后面窃喜了，因为，网站早已通过巧妙的脚本设计，使用户相信自己的数据确实得到了更新。

下面是国内发生的一起网络钓鱼式攻击案例。某用户收到一封电子邮件称：“最近我们发现您的工商银行账号有异常活动，为了保证您的账户安全，我行将于48小时内冻结您的账号，如果您希望继续使用，请点击输入账号和密码激活”。邮件落款为：中国工商银行客户服务中心。随意输了一个账号和密码，竟显示激活成功。假工商银行的网站http://www.1cbc.com.cn网站和真正的工行网站 http://www.Icbc.com.cn，只有“1”和“I”一字之差。如图2所示。

图2

随着骗术的不断“修炼”，有的钓鱼攻击者甚至开始仿冒IE地址栏，通过一个其他的连接，即使我们打开的网页确实是http://www.Icbc.com.cn这个地址，我们也不能轻易肯定这就是工商银行的网站，为什么呢？

共4页。 1 2 3 4 :