网络欺诈的现状、 技术特点和防范对策 陈建民 国家计算机病毒应急处理中心 计算机病毒防治产品检验中心 Http://www.antivirus-China.org.cn Cjm@antivirus-China.org.cn
网 络 欺 诈 欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上,这种行为一般以社交工程的方式进行。在上世纪九十年代,随着互联网所连接的主机系统和用户量的飞速增长,攻击者开始将这个过程自动化,从而攻击数量巨大的互联网用户群体。 网络钓鱼(Phishing) 域欺骗(Pharming)
网络钓鱼与域欺骗的定义 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。也有人将Phishing看成password harvesting fishing缩写。“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 域欺骗:(Pharming)攻击是改变地址,引导浏览器访问另一个地址。例如:某人用一台被感染的计算机上网与一家银行联系,键入银行URL地址后,实际上登录到的是另一个虚假地址,看起来与该银行的官方网站非常相似,但实际上是欺诈网站。由于没有点击任何的隐链接,网页看上去是绝对合法的。Pharming是将域名解析服务器(DNS)劫持,使之将域名翻译成黑客预置的IP地址,引导用户访问伪造的网站,来骗取用户的个人敏感信息。
网络欺诈的现状 发展迅速、形势严峻 国家和地区 所占比例 美国 37% 中国(含台湾、香港) 28% 韩国 11% 巴西 3.97% 德国 2.95% 日本 2.46% 加拿大 2.28% 阿根廷 1.78% 法国 1.74% 罗马尼亚 1.45%
犯罪活动具有组织性、专业化特点 目标针对性强、涉及地域广 我国形势不容乐观 疑犯都受雇于犯罪集团 根据反网络钓鱼组织 APWG最新统计指出,约有70.8%的网络欺诈是针对金融机构而来,而最常被仿冒的前三家公司为:Citibank(花旗银行)、eBay和Paypal。 西班牙、新加坡、澳大利亚、加拿大、中国、中国香港甚至瑞士的全球35家银行 我国形势不容乐观 多家商业银行遭受仿冒
国外反网络欺诈的组织情况
网络欺诈投诉中心 国 外 反 网 络 欺 诈 组 织 美国司法部与联邦调查局(FBI)与国家白领犯罪中心于今年5月8日成立“网络欺诈投诉中心”网站(the Internet Fraud Complaint Center; IFCC),网址为http://www.ifccfbi.gov/index.asp,让消费者及公司企业对于网络欺诈事件多了一个强有力的投诉举报途径。
反网络钓鱼工作小组(APWG) 国 外 反 网 络 欺 诈 组 织
可信电子通信论坛 国 外 反 网 络 欺 诈 组 织 今年6月成立的可信电子通信论坛“Trusted Electronic Communications Forum(TECF)”,网址为http://www.tecf.org/。其成立的宗旨也是为了对抗日益严重的各种网络欺诈行为,保护企业和消费者的利益。越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。
网络欺诈的主要方法
网 络 欺 诈 的 主 要 方 法 利用垃圾邮件和社会工程手段 垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库,因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。垃圾邮件通常通过一些被攻陷的架设在境外主机上的邮件服务器,或是通过一个全球的傀儡主机网络 ( botnets ) 进行发送,因此邮件发送者被追踪的可能性很小。 “尊敬的客户,你的银联卡在某商城消费1280元,已确认成功,如有疑问,请拨银行联合管理局电话***找某先生”——如果收到这样的短信你会怎么办?(短信钓鱼)
网 络 欺 诈 的 主 要 方 法 利用病毒、木马技术 最早引起广泛关注的“网络钓鱼”事件,正是借助了一款名为“Mimail.J”的病毒,该病毒伪装成由Paypal网站寄出的信息,表示收件者的账户将在5个工作日后失效,要求用户更新个人信息,才能重新启动账户。再比如,一恶意网站(www.1enovo.com)伪装成联想主页(www.lenovo.com),前者将数字1取代英文字母L,利用多种IE漏洞植入木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站时造成感染。
网 络 欺 诈 的 主 要 方 法 利用黑客攻击手段 钓鱼者通过黑客技术去改变目标网站的 DNS 解析或采取其他方式对网络流量进行重定向。 john.usr.aswind.com : 8000 peter.freehost.aswind.net : 443 flamen.vhost.ourmidi.com : 110 bruce.free.ourmidi.net : 554 anthony.ipv6.usr.aswind.com : 389 carlyle.dns2go.aswind.net : 7000 khond.vip.vhost.ourmidi.com : 143 massuse.ipv6.free.ourmidi.net : 80
我国计算机用户病毒感染情况
感染病毒的类型
网络钓鱼的主要手段
网 络 钓 鱼 的 主 要 手 段 通过电子邮件 以垃圾邮件的形式大量群发欺诈性邮件,这些邮件经常冒充成一个可信的组织机构或银行,多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等个人信息,继而盗窃用户资金。通过电子邮件是最基本的网络欺骗方式,对于一些真伪难辨的信息,用户一不小心就会上当。
网 络 钓 鱼 的 主 要 手 段 通过建立欺骗性的网站 欺骗者建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,并且利用后台数据库把这些信息存储起来。于是欺骗者可以通过真正的网上银行、网上证券系统盗窃资金。欺骗者可能会把假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上,或者通过电子邮件群发的方式发送给用户。
对假冒网站域名进行处理 网 络 钓 鱼 的 主 要 手 段 将做好的假冒网页上传到域名空间,采取各种手段引诱用户访问这个网站,这就需要对网站的URL进行适当的处理。现在流行的方式主要包括: 指向假冒网站的链接中使用 IP 地址代替域名。一些无戒备心的用户将不会检查这个 IP 地址是否来自假冒网站页面上所声称的目标机构。 IDN 欺骗技术( IDN spoofing ):对假冒网站的 URL 进行编码和混淆,很多用户不会注意或者理解 URL 链接被做过什么处理,这就给欺骗者可乘之机。 IDN 欺骗技术使用 Unicode 编码的 URL 在浏览器的地址栏里呈现的看起来像是真实的网站地址,但实际上却指向一个完全不同的地址。
网 络 钓 鱼 的 主 要 手 段 注册发音相近或形似的 DNS 域名(如 b1gbank.com 或 bigbnk.com 假冒 bigbank.com ),并在其上架设假冒网站,期望用户不会发现他们之间的差异而上当。 企图攻击用户网页浏览器存在的漏洞,使之隐藏消息内容的实质。微软的 IE 和 Outlook 都被发现过存在可以被这种技术攻击的漏洞,比如说“地址栏假冒”。 在一个假冒钓鱼网站的电子邮件中嵌入一些指向真实的目标网站的链接,从而使得用户的网站浏览器的大多数连接是指向真实的目标网站,而仅有少数的关键连接(如提交敏感信息的页面)指向假冒的网站。如果用户的电子邮件客户端软件支持 HTML 内容的自动获取,那会在电子邮件被读取的时候自动地连接假冒网站,手动地浏览也不会在大量与真实网站的正常网络活动中注意到少量与恶意服务器的连接。
网 络 钓 鱼 的 主 要 手 段 鸡尾酒钓鱼术 这是一种比较巧妙的欺骗方法,通过发送一个包含链接的垃圾邮件,用户点击邮件中的链接,就会被带到一个正常网站,同时恶意脚本会在用户电脑上弹出一个小窗口,这样看起来小窗口就像是网站的一部分,用户往往就会在这个小窗口中填入登录账号和密码等。 这种新的钓鱼方式利用了跨站点脚本技术,采用了真网站和假窗口相混合的方式,达到了以假乱真的效果。
网 利用系统升级和安装补丁程序进行攻击 络 钓 鱼 的 主 要 手 段 由于出现新的病毒,系统存在的漏洞不断地被发现,操作系统和杀毒厂商不断地推出补丁和升级包。广大计算机用户已经认识到升级的重要性,按照要求及时进行系统升级。但是,这一点也成为攻击的途径。攻击者往往伪造一封Microsoft或者杀毒厂商的邮件主动发送给用户,提醒用户进行升级,然而附件里却是个木马程序。用户如果疏于防范可能运行附件中的程序,受到攻击。
令普通用户头疼的是,“网络钓鱼”为了达到广泛诈骗的目的,通常都伴随着病毒和木马,或者说病毒邮件、木马也经常包含“网络钓鱼”的内容。 网络钓鱼与病毒、木马等黑客技术相融合 令普通用户头疼的是,“网络钓鱼”为了达到广泛诈骗的目的,通常都伴随着病毒和木马,或者说病毒邮件、木马也经常包含“网络钓鱼”的内容。
这种方式已经不是传统意义上的网络钓鱼了,通常都是在病毒加载后使用各种手段诱使用户访问具有欺骗性的站点,来达到钓鱼的目的。比较流行的方式有: BHO(浏览器助手工具) 通过恶意软件在受害者的计算机上安装一个恶意的浏览器助手工具( Browser Helper Object ),然后由其将受害者重定向到假冒的钓鱼网站。BHO是一些设计用于定制和控制 IE 浏览器的 DLL,如果成功,受害者将会被欺骗,相信他们正在访问合法的网站内容,然而实际上却在访问一个假冒的钓鱼网站。
修改hosts 文件 用恶意软件去修改受害者计算机上用来维护本地 DNS 域名和 IP 地址映射的 hosts 文件,这将使用户的网页浏览器在连接假冒网站时,让其看起来像是在访问合法网站。 网络钓鱼方式与黑客技术进行了结合 虽然这种手段成功的几率不大,但一旦得逞,就会给用户带来极大的威胁。首先,攻击者会使用黑客技术攻陷银行、证券等重要机构的网站,获得管理员权限,之后把和原主页及其相似的欺骗性页面上传到网站上,这样只要用户使用正常的方式进行线上交易,就会把自己的各种资料泄露给欺骗者,造成巨大的损失。 蠕虫成为网络钓鱼的诱饵 最新的Mytobs恶意邮件信息通常将自己伪装成IT部门或网络服务商,其中可能包括接收者的域名或邮件地址。恶意邮件告诉接收者他们的账户出现了问题,需要点击某个链接进行再一次确认。
使用键盘监控程序窃取信息 钓鱼攻击者为了防止被监测,改变了攻击策略。在今年三月和四月中,利用用户键盘记录的攻击方式日益增多。当用户访问网站时,键盘监控程序发现是属于要截获的网站,启动键盘记录功能,盗取用户输入的口令、帐号和其它的个人数据。然后通过邮件或其他方式将截获的信息发给攻击者。这种键盘监控程序主要利用以下途径将键盘监控程序投放到用户系统中: 1)网站含有成人内容等吸引用户访问,同时网页中内嵌恶意程序,当含有漏洞的微软的IE浏览器访问网页时,恶意程序不经用户确认会自动安装到用户系统中。 2)利用即时通讯工具或者蠕虫发布信息诱骗用户访问含有攻击程序的网站。 3)在即时通讯信息中提供程序下载,诱使用户下载运行攻击程序。 4)通过邮件附件携带攻击程序,利用邮件内容诱使用户运行附件。 5)邮件内容中提供含有攻击程序的网址,诱骗用户访问这些网页主动下载运行攻击程序。 6)邮件内容中提供含有攻击程序的网址,同时网页中恶意程序利用IE浏览器的漏洞主动下载运行。
利用木马技术盗取《热血传奇》账号
打击与防范对策 通过计算机病毒与网络安全预警监测系统,对域名和IP地址进行监测,发现异常的域名解析。 对域名解析服务器加强保护,防止被攻击。(DNS污染和DDOS攻击) 对个人系统加强检测,防止被病毒感染或者修改了HOST文件。 对QQ、MSN等即时通讯工具进行监控,及时发现通过这些途径传播的仿冒网站的URL地址。 对垃圾邮件进行过滤,减少网络钓鱼事件的发生。 建立宣传和培训机制,对计算机用户进行安全防范知识的普及,提高辨别能力,告知用户不要点击邮件中的链接,尽量直接在地址栏中输入网址。 采用新的身份认证机制,杜绝仿冒网站和泄露敏感信息。 建立反网络欺诈组织,将网监部门、银行、证券和从事电子商务的企业组织起来。建立举报机制(电子邮箱、电话和短信等方式),提高对网络欺诈行为的发现速度,减少损失。
应急处置措施 建立有效的应急处置机制,一旦发现仿冒网站,及时采取定位措施,然后通知有关部门采取措施进行封堵或者屏蔽。并对仿冒网站及时进行取证,保留相关证据,以便后续的案件侦破工作。 对本地用户可采用直接修改域名解析服务器的记录,可以将被仿冒的网站的实际域名直接解析到真实的 IP地址。或者通知用户,修改个人系统的HOST文件,直接将实际域名指向真实的IP地址,防止发生网络欺诈。
国家计算机病毒应急处理中心推出网络欺诈专题,并公布了网络欺诈举报电子邮箱:antiphishing@antivirus-china. org 国家计算机病毒应急处理中心推出网络欺诈专题,并公布了网络欺诈举报电子邮箱:antiphishing@antivirus-china.org.cn
AVAR2005大会11月在天津召开 Wired to Wireless,Hacker to Cybercriminal 从有线安全拓展到无线安全,从技术追求者蜕变为网络罪犯 万丽泰达酒店 及会议中心
谢谢! 陈建民 国家计算机病毒应急处理中心 计算机病毒防治产品检验中心 Http://www.antivirus-China.org.cn Cjm@antivirus-China.org.cn Tel:022-66293633