引::“温馨提示:别忘了及时为爱车纳车船使用税,3月10日前登录招行网站www.bj.cmbchina.com或到网点均可办理!详情95555。”当我收到这则手机短信时的第一反应就是:这是否是网络钓鱼者所为。如今的网络钓鱼在中国已不再是安全专家口中所谈论的趋势,而是实实在在摆在面前的事实。在这方面,中国已与世界同步。
网络钓鱼者用偷来的账号和密码将自己武装到牙齿,想方设法侵入企业网络。
IT界正在采取一系列的反击措施保护企业的声誉,并应对数据中心面临的新威胁。
IT鏖战网络钓鱼
街头骗术是一种最古老的骗局,现在这种把戏又有了新版本:网络钓鱼(Phishing)。网络钓鱼行为正在引起IT界的警觉,因为它会对在线商业和数据中心构成潜在的威胁。
“这种行为被称之为网络钓鱼并不合适……太客气了”,Fredrick Pastore这么说,他是华尔街一家大型投资公司的IT经理,“它最确切的名字应当是:恶意欺诈。”
网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点,这些站点由他们自己设计,看上去和合法的商业网站极其相似。很多人都曾收到过来自网络钓鱼者的所谓“紧急邮件”,他们自称是PayPal或者eBay的客户代表,威胁说如果用户不登录他们所提供的某个伪造的网站并提供自己的个人信息,这位用户在PayPal或者eBay上的账号就有可能被封掉。当然很多用户都能识破这种骗局,但是根据Anti-Phishing Working Group的研究,有将近5%的用户会上当,这个比率比用户对随机发送的普通垃圾邮件的反馈率高很多,后者只有1%。
网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序(这种程序会在用户打开电子邮件之后立刻自动安装,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,以至于越来越多的人上当受骗,消费者可能会举手投降,这意味着他们将放弃在线购物,或者将正常的商业邮件也直接扔进“删除邮件”夹。成了惊弓之鸟的用户对电子支付以及邮件广告都将产生戒心。
安全解决方案供应商Sophos的首席安全分析师Gregg Mastoras对此的评论是,“如果消费者不理会商业信息,停止使用在线服务,那么造成的负面影响将会相当大。”
安全专家认为,网络钓鱼现象在2005年将会更加严重,几乎所有企业都将受到影响。
“我认为我们公司在2005年也会成为攻击目标,”Mark Merton说,他是一家大型零售公司的网络管理员,该公司也从事在线销售业务,“我们有专门的员工每天检查网络并报告与我们相关的钓鱼行为。”
为了钓鱼,攻击者会首先试图从数据中心窃取身份资料。随着数据集中程度的提高,网络钓鱼将成为盗取身份资料的主要动因,因此针对数据中心的攻击将会增多。
“威胁要比以前高多了,”Prat Moghe说,他是Tizor系统公司的CEO,该公司正在开发企业级安全监视软件。他认为,网络钓鱼者很快将会集中注意力从数据库中大规模盗取身份信息,并用这些信息设计钓鱼陷阱。向某个银行的客户发送钓鱼邮件,要比随机发送这种邮件更容易得逞、效率更高,至少在理论上如此。只要发一封邮件,他们就可能上钩(参看图1)。
“要想钓鱼,必须要有鱼钩,”Moghe说,“大规模信息盗窃的鱼钩就是数据中心中的客户个人资料。一旦网络钓鱼者侵入数据库,他们可能盗走数百万条用户信息。信息盗窃的手段正在变得越来越复杂,从大型数据库中盗取用户身份信息的行为也会不断增加。”
钓鱼的季节已经正式来临了,不过好在企业防御病毒的很多措施对于防范钓鱼行为同样有效。
活的鱼饵
和病毒的情况类似,网络钓鱼行为最初也是由一些急于显示自己的黑客所为。刚开始时,钓鱼行为并没有带来多大危害,但是情况很快就开始变糟。根据美国FBI互联网犯罪投诉中心(IC3)的Dan Larkin的说法,一些有组织的犯罪团伙甚至也开始插手网络钓鱼。
据澳大利亚媒体的报道,四名高中生最近因涉嫌一起网络银行盗窃案而被起诉,此案中有数百万资金被从澳大利亚转移到东欧。作案者使用的手段就是通过虚假广告和垃圾邮件在受害者的计算机上安装特洛伊木马程序来盗取用户的密码等银行信息。
“对于普通的网络钓鱼和用户身份信息的盗窃行为,用户已经比较警惕了,”Sophos 公司的Mastoras说,“不幸的是,有组织的罪犯已开始使用更加复杂的方法。”
现在的罪犯已经不满足于将用户银行账户里的钱洗劫一空,他们正盘算着如何充分挖掘用户登录名、密码以及其他个人敏感信息的利用价值,将其用于下一次作案。网络钓鱼者希望得到实实在在的好处,并且在努力做到这一点。以前有很多钓鱼邮件都设计得非常拙劣,夹杂着生僻甚至拼错的英文单词,比方说伪造一份银行寄给客户的邮件时竟然称客户为“darling”;但是现在的钓鱼技术含量越来越高,甚至不需要用户单击链接。
近来,一旦用户在没有打过相应安全补丁或老版本的Outlook中打开这种钓鱼邮件(这种邮件通常被伪装成来自银行的邮件),邮件中包含的恶意代码就会被执行,修改用户计算机中的主机文件。而后当用户登录银行网站时就会在毫不知情的情况下被指向伪造的网站。几乎没有用户能觉察到自己正在和一个假网站做交易。这种钓鱼手段曾被用来攻击巴西的一些全融机构,后来英国的几家银行也成为攻击目标。安全专家预测此方式的各种变种很快就会被大量使用。
Natasha Stately是MessageLab的安全分析师,他说:“网络钓鱼者将开始把目标指向所有开展在线业务的企业。”
网络钓鱼还会危及网络安全。例如,如果用户能够自由设置登录名和密码,他们很有可能在多个网站上使用相同的登录名和密码。假设网络钓鱼者发现John Smith在eBay上的登录名和密码分别是Jsmith13和superman,那么他们就会在数据库和帖子中寻找关于John Smith的更多的信息,一旦找到他所在的公司网络,网络钓鱼者就会使用Jsmith13和superman尝试登录。
|
