圖1 網絡釣魚的工作原理
1. 釣魚者入侵初級服務器,竊取用戶的名字和郵件地址 早期的網絡釣魚者利用垃圾郵件將受害者引向偽造的互聯網站點,這些站點由他們自己設計,看上去和合法的商業網站極其相似。很多人都曾收到過來自網絡釣魚者的所謂“緊急郵件”,他們自稱是某個購物網站的客戶代表,威脅說如果用戶不登錄他們所提供的某個偽造的網站並提供自己的個人信息,這位用戶在購物網站的賬號就有可能被封掉,當然很多用戶都能識破這種騙局。現在網絡釣魚者往往通過遠程攻擊一些防護薄弱的服務器,獲取客戶名稱的數據庫。然後通過釣魚郵件投送給明確的目標。
2. 釣魚者發送有針對性質的郵件 現在釣魚者發送的釣魚郵件不是隨機的垃圾郵件。他們在郵件中會寫出用戶名稱,而不是以往的“尊敬的客戶”之類。這樣就更加有欺騙性,容易獲取客戶的信任。這種針對性很強的攻擊更加有效地利用了社會工程學原理。 很多用戶已經能夠識破普通的以垃圾郵件形式出現的釣魚郵件,但是他們仍然可能上這種郵件的當,因為他們往往沒有料到這種郵件會專門針對自己公司或者組織。根據來自IBM全球安全指南(Global Security Index)的報告,被截獲的釣魚事件從2005年一月份的56起爆炸性地增長到了六月份的60萬起。 3. 受害用戶訪問假冒網址 受害用戶被釣魚郵件引導訪問假冒網址。主要手段是 (1)IP地址欺騙。主要是利用一串十進制格式,通過不知所雲的數字麻痺用戶,例如IP地址202.106.185.75,將這個IP地址換算成十進制後就是3395991883,Ping這個數字後,我們會發現,居然可以Ping通,這就是十進制IP地址的解析,它們是等價的。 (2)鏈接文字欺騙。我們知道,鏈接文字本身並不要求與實際網址相同,那麼你可不能只看鏈接的文字,而應該多注意一下浏覽器狀態欄的實際網址了。如果該網頁屏蔽了在狀態欄提示的實際網址,你還可以在鏈接上按右鍵,查看鏈接的“屬性”。 (3)Unicode編碼欺騙。Unicode編碼有安全性的漏洞,這種編碼本身也給識別網址帶來了不便,面對“%21%32”這樣的天書,很少有人能看出它真正的內容。 4. 受害用戶提供秘密和用戶信息被釣魚者取得 一旦受害用戶被釣魚郵件引導訪問假冒網址,釣魚者可以通過技術手段讓不知情的用戶輸入了自己的“User Name”和“PassWord”,然後,通過表單機制,讓用戶輸入姓名、城市等一般信息。填寫完畢。他現在要用戶填寫的是信用卡信息和密碼。一旦獲得用戶的帳戶信息,攻擊者就會找個理由來欺騙用戶說“您的信息更新成功!”,讓用戶感覺很“心滿意足”。 這是比較常見的一種欺騙方式,有些攻擊者甚至編造公司信息和認證標志,其隱蔽性更強。一般來說,默認情況下我們所使用的HTTP協議是沒有任何加密措施的。不過,現在所有的消息全部都是以明文形式在網絡上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容。 5. 釣魚者使用受害用戶的身份進入其他網絡服務器 下面釣魚者就會使用受害用戶的身份進入其他網絡服務器(比如購物網站)進行消費或者在網絡上發送反動、黃色信息。
二、Linux用戶對網絡釣魚的防范 Linux用戶訪問互聯網的兩個主要工具是浏覽器和電子郵件。下面就從這兩個方面作起。 1.電子郵件防范網絡釣魚的設置 Linux下電子郵件軟件很多,其中Mozilla基金會的雷鳥(Thunderbird)是比較常用和安全的。 (1)升級電子郵件軟件雷鳥到1.1以上。 首先建議您將電子郵件軟件雷鳥(Thunderbird)到1.1以上,在雷鳥 1.1 版本中實現的新功能包括實現了防止網釣(phishing)攻擊警告系統。在新的Thunderbird 功能裡,當使用者點選電子郵件裡疑似網釣的URL (網址)時,偵測器會在網頁打開之前以對話框提醒使用者,Gemal 寫道。當網址內有數字型的IP位址而不是用域名名(domain name),或者URL 和文字鏈結裡所顯示的網絡地址不一樣時,偵測器就會啟動。見面見圖2。
圖2 1.1版本以上的雷鳥可以防范網絡釣魚
另外也可以通過一個SPF插件防范網絡釣魚,下載鏈接:http://taubz.for.net/code/spf/thunderbird-sve.tgz 。安裝SPF插件後當用戶點擊網絡釣魚郵件中的鏈接時,雷鳥的SPF插件將檢測這一地址或者鏈接文字與實際地址不相符時都將發出警告,並彈出警告對話框提醒用戶。工作界面見圖3。
點擊查看大圖圖3 使用SPF插件防范網絡釣魚
(2)關閉雷鳥的預覽面板 許多網絡釣魚郵件只需要在電子郵件收發程序的預覽面板中顯示就能侵入你的計算機。因此我們建議用戶關閉收件箱的預覽面板。在Mozilla 雷鳥中,打開“Layout ” ->,清除““Messages pane”復選框(或者使用“F8”快捷鍵關閉預覽面板),見圖4。
圖4 關閉雷鳥的預覽面板
(3)以純文本方式閱讀電子郵件 許多網絡釣魚郵件都是通過Html代碼來達到其不可告人的目的,因此如果你以純文本方式閱讀這些郵件就會讓它們無計可施。在Mozilla 雷鳥中,選擇“view” ->“Message body As” -> “Plain text”復選框。見圖5。 圖5 以純文本方式閱讀雷鳥電子郵件 (4)不要把字符Unicode編碼 Unicode編碼有安全性的漏洞,這種編碼本身也給識別網址帶來了不便,所以不要把雷鳥的字符集設置為Unicode編碼。 2.浏覽器防范網絡釣魚的設置 (1)增強火狐(Firefox)的安全性。 火狐是Linux下最佳浏覽器,當然火狐也存在一些安全隱患。丹麥安全產品開發商Secunia於7月30日公開了Web浏覽器“Mozilla”與“Mozilla Firefox”的安全漏洞。 如果惡意使用安全漏洞,可以偽裝地址欄、工具欄、SSL對話框等用戶界面。可偽裝的不僅是地址欄,還有工具欄、表示進行SSL通信的加密標記等,甚至可以偽裝點擊加密標記後所顯示的數字證書。 Secunia提出的對策是“不要點擊不可靠的網站鏈接”,“不要隨便輸入個人信息”,一定要記住:眼見不一定為實。升級到最新版本可以消除這些安全隱患。另外,將Java script設為無效也可防止偽裝。另外網絡釣魚者在用戶輸入數據後,還可以通過巧妙的java script腳本來迷惑用戶。 仿冒的站點提供了很多銀行的連接,這樣就給人以可信的感覺,實際上也是一種社會工程學的暗示。用戶輸入賬號信息後,釣魚者可能就在後面竊喜了,因為,網站早已通過巧妙的腳本設計,使用戶相信自己的數據確實得到了更新。要想對網站禁用java script,必須下載並安裝插件NoScript,它由Giorgio Maone開發。 用Firefox浏覽網頁時,如果頁面中使用了java script,NoScript將會在Web頁面下方顯示一個警告欄。單擊這個警告欄可以對這個網站上的腳本進行控制,既可以是暫時的也可以是永久的,另外還能對腳本進行禁用或者其他操作。 這個程序還可以禁用Flash動畫或者其他Firefox插件。NoScript是免費軟件,官方網站是:http://www.noscript.net。下載鏈接:http://releases.mozilla.org/pub/mozilla.org/extensions/noscript/noscript-1.1.3.4-fx+fl+mz.XPi , NoScript配置界面見圖6。圖6 NoScript配置界面
(2)安裝Netcraft Toolbar 2004年互聯網服務廠商Netcraft已經發布了它自己的火狐安全工具插件。這款插件能夠幫助Firefox 用戶免受釣魚式欺詐攻擊。Netcraft Toolbar能夠封殺由其他用戶報告的釣魚式欺詐網站。Netcraft去年12月份發布了的Netcraft Toolbar 目前,被發現和封殺的釣魚式欺詐攻擊網站達到了7000多個。 除了封殺釣魚式攻擊網站外,Netcraft Toolbar還包括能夠幫助用戶在上網時更注重安全的其它功能。例如,它能夠對網站的危險性“打分”,顯示有關網站的訪問量和網站所在國家的信息。 Netcraft Toolbar還能夠根據使用的字符“誘捕”可疑的網站,強制顯示浏覽器的導航按鈕,打擊企圖隱藏這些按鈕的彈出式窗口。 Netcraft Toolbar能夠在火狐支持的所有操作系統(Linux、BSD、Windows、MaC)上運行,用戶可以免費從Netcraft的網站上下載這款工具條。 官方網址是:http://www.noscript.net,下載鏈接:http://freebsd.ntu.edu.tw/mozilla/extensions/netcrafttoolbar/netcrafttoolbar-1.1.1.1-fx.xpi ,Netcraft Toolbar安裝文件是:netcrafttoolbar-1.1.1.1.xpi。在浏覽器的菜單中選擇文件-打開文件-然後選擇你要安裝的XPI擴展插件文件。 稍後就可以看到浏覽器會詢問你是否要安裝這個插件,點擊“是”即可, 這樣做是為了安全,因為默認情況下,你無法從任何網站安裝插件。另外注意新安裝的插件必須在重啟浏覽器後才能生效(關閉所有的浏覽器窗口,包括擴展,主題等窗口)。Netcraft Toolbar工作界面見圖7。 圖7 Netcraft Toolbar工作界面 三、其他方面 1.個人的責任 針對網絡釣魚的性質,往往是為了獲取和電子商務有關的賬號密碼,進而獲取一些經濟利益,因此我們應該從3個方面養成一個良好的習慣。 (1)妥善選擇和保管密碼 密碼應避免與個人資料有關系,不要選用諸如身份證號碼、出生日期、電話號碼等作為密碼。建議選用字母、數字混合的方式,以提高密碼破解難度。盡量避免在不同的操作系統使用同一密碼,否則密碼一旦遺失,後果將不堪設想。黑客們經常用一些常用字來破解密碼。 曾經有一位美國黑客表示,只要用“password”這個字,就可以打開全美多數的計算機。其它常用的單詞還有:account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。密碼設置和原則: 1.足夠長,指頭只要多動一下為密碼加一位,就可以讓攻擊者的辛苦增加十倍; 2. 不要用完整的單詞,盡可能包括數字、標點符號和特殊字符等; 3.混用大小寫字符; (2)做好交易記錄 客戶應對網上銀行辦理的轉賬和支付等業務做好記錄,定期查看“歷史交易明細”、定期打印網上銀行業務對賬單,如發現異常交易或賬務差錯,立即與銀行聯系,避免損失。 (3)管好數字證書 網上銀行用戶應避免在公用的計算機上使用網上銀行,以防數字證書等機密資料落入他人之手,從而使網上身份識別系統被攻破,網上賬戶遭盜用。 2.企業領導和網絡管理員的責任 當被問及如何防范網絡釣魚時,安全專家立刻會說加強對用戶的教育。很多人要通過專門學習之後才知道電子郵件的附件不可以隨便打開。常識無法“升級”,智力不能“安裝”,在網絡安全這根鏈條上,人總是最薄弱的環節。僅僅告誡人們網絡釣魚的危害是不夠的,安全專家敦促企業不要發送包含網絡鏈接的電子郵件。 企業不應當在電子郵件中包含鏈接,並且要確保用戶清楚這一點,另外網絡釣魚利用人類常見的各種感情,如信任、恐懼、貪婪、善良,幾乎所有的網絡釣魚都涉及社會工程學的技巧。最近常見的手法比如讓收到郵件的用戶填寫一個表單,以便得到職位、獎金或者禮物。在節日臨近時,釣魚者發出很多釣魚郵件。 不斷進行用戶教育是必需的。另外不同的企業應該共享網絡釣魚信息,建立聯盟。為了防范那些利用仿冒網址而危及用戶利益的事件發生,在美國和英國已經成立了專門反假冒網址等網絡詐騙的組織,比如2003年11月成立的APWG(Anti-Phishing Working Group)和2004年6月成立的TECF(Trusted Electronic Communications Forum)。 一些國外公司的主頁底部也設有明顯鏈接,以提醒用戶注意有關E-mail詐騙的問題。而國內許多公司的主頁似乎還沒有這種安全防范意識,同時也沒有類似的組織去專門研究這方面的應對之策。 另外對於Linux網絡管理員要為Apache 服務器配置SSL。SSL可以用於在線交易時保護信用卡號、股票交易明細、賬戶信息等。當具有SSL功能的浏覽器與WEB服務器(Apache)通信時,它們利用數字證書確認對方的身份。數字證書是由可信賴的第三方發放的,並被用於生成公共密鑰。 因此,采用了安全服務器證書的網站都會受SSL保護,其網頁地址都具有“https”前綴,而非標准的“http”前綴。從目前釣魚式攻擊者的實踐來看,大多沒有這個標志,即使有,也可能是仿冒的比較容易識別,從而也這就進一步揭穿了他們的把戲。通常現在網絡釣魚者往往通過遠程攻擊一些防護薄弱的服務器,攻擊手段是網絡嗅探,注意如果您確信有人接了嗅探器到自己的網絡上,可以去找一些進行驗證的工具。這種工具稱為時域反射計量器(Time Domain Reflectometer,TDR)。 TDR對電磁波的傳播和變化進行測量。將一個TDR連接到網絡上,能夠檢測到未授權的獲取網絡數據的設備。對於防范嗅探器的攻擊最好的方法是: (1)安全的拓撲結構。 (2)會話加密。 (3)用靜態的ARP或者IP-MAC對應表代替動態的ARP或者IP-MAC對應表 (4)使用專用硬件儀器。 3. 勤打補丁 無論是網絡管理員還是個人用戶都應該經常到你所安裝的系統發行商的主頁上去找最新的補丁。操作系統是計算機系統靈魂,維護著系統的底層,對內存、進程等子系統進行管理和調度。如果操作系統本身出現了漏洞,其影響將會是致命的。 操作系統的內核,對於網絡安全是至關重要的。目前,內核的維護主要分兩種模式:對於私有操作系統,如Windows/Solaris等,由於個人用戶不能直接接觸其源代碼,其代碼由公司內部開發人員維護,其安全性由同樣的團隊保證,內核的修正與其他應用程序一樣,以patch/SP包的方式發布。 對於Linux這樣的開放式系統,是一種開放的結構。應該說,開放的模式是雙刃劍。本文介紹的雷鳥和火狐等都是開源軟件,而且都在不停升級,穩定版和測試版交替出現。在http://www. Mozilla.org/上最新的ChangeLog中都寫著:bug fix, security bug fix的字樣。所以要經常的關注相關網站的bug fix和升級,及時升級或添加補丁。