呂方興

（菏澤學(xué)院計(jì)算機(jī)與信息工程系 山東 菏澤 274015）

網(wǎng)絡(luò)釣魚的特點(diǎn)與形式

呂方興

（菏澤學(xué)院計(jì)算機(jī)與信息工程系 山東 菏澤 274015）

本文闡述了網(wǎng)絡(luò)釣魚的特點(diǎn)，并分析了網(wǎng)絡(luò)釣魚的主要表現(xiàn)形式。

網(wǎng)絡(luò)釣魚；Phishing；網(wǎng)上銀行；釣魚郵件；釣魚網(wǎng)站

網(wǎng)絡(luò)釣魚 （Phishing）攻擊是社會(huì)工程學(xué)攻擊的一種形式。網(wǎng)絡(luò)釣魚攻擊者使用電子郵件或惡意網(wǎng)頁(yè)來(lái)請(qǐng)求獲得個(gè)人信息。攻擊者會(huì)假借有信譽(yù)的公司或者機(jī)構(gòu)的名義發(fā)出電子郵件，這些電子郵件常常稱有問(wèn)題發(fā)生并請(qǐng)求獲得用戶的賬號(hào)信息。當(dāng)用戶按要求回復(fù)了相關(guān)的資料，攻擊者就能夠利用這些資料進(jìn)入用戶的賬號(hào)。

1 網(wǎng)絡(luò)釣魚的特點(diǎn)

“網(wǎng)絡(luò)釣魚”作為一種網(wǎng)絡(luò)詐騙手段，主要是利用人的心理來(lái)實(shí)現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶和口令、社保編號(hào)等內(nèi)容。近幾年，國(guó)內(nèi)接連發(fā)生利用偽裝成銀行網(wǎng)站主頁(yè)的惡意網(wǎng)站進(jìn)行詐騙錢財(cái)?shù)氖录?/p>

網(wǎng)絡(luò)釣魚是基于人性貪婪以及容易取信于人的心理因素來(lái)進(jìn)行攻擊的，有如下特點(diǎn)：

1.1 欺騙性。釣魚者利用自建站點(diǎn)模仿被釣網(wǎng)站，并結(jié)合含有近似域名的網(wǎng)址來(lái)加強(qiáng)真實(shí)程度。更有甚者會(huì)先侵入一臺(tái)服務(wù)器，在服務(wù)器上不斷重復(fù)地做相同的事情，讓自己可以更好地脫身，逃避追蹤以及調(diào)查。

1.2 針對(duì)性。通常與釣魚者緊密相關(guān)的都是一些銀行、商業(yè)機(jī)構(gòu)等的網(wǎng)站，隨著互聯(lián)網(wǎng)的飛速發(fā)展，電子商務(wù)、網(wǎng)上購(gòu)物已經(jīng)成為與網(wǎng)民息息相關(guān)的服務(wù)。龐大的網(wǎng)絡(luò)資金流動(dòng)，帶來(lái)了很多的新興行業(yè)，也帶來(lái)了潛在的安全隱患。

1.3 多樣性。網(wǎng)絡(luò)釣魚是一種針對(duì)人性弱點(diǎn)的攻擊手法，釣魚者不會(huì)千篇一律地去進(jìn)行攻擊，不管是網(wǎng)絡(luò)還是現(xiàn)實(shí)中到處都存在釣魚式攻擊的影子。釣魚者不會(huì)局限于常用的偽造網(wǎng)站、虛假郵件等手法，而是會(huì)結(jié)合更多的便民服務(wù)，以容易接受的形式去誘騙被釣者，從而在更短的時(shí)間內(nèi)獲得更好的效果。

1.4 可識(shí)別性。網(wǎng)絡(luò)釣魚并不是無(wú)懈可擊，更不是沒(méi)有一點(diǎn)破綻。從釣魚者的角度出發(fā)，釣魚者本身會(huì)利用最少的資源去構(gòu)造自己的釣魚網(wǎng)站，因?yàn)闊o(wú)法去利用真實(shí)網(wǎng)站獨(dú)有的一些資源（如域名、U盾、數(shù)字驗(yàn)證等）。因此，在偽造網(wǎng)站方面，會(huì)利用近似或者類似的方法來(lái)進(jìn)行欺騙，通常我們可以查看偽造網(wǎng)站，根據(jù)經(jīng)驗(yàn)去識(shí)別其真實(shí)性。

2 釣魚郵件

曾經(jīng)通過(guò)發(fā)送惡意電子郵件而發(fā)動(dòng)大范圍攻擊的網(wǎng)絡(luò)罪犯，開始意識(shí)到針對(duì)那些聚集在網(wǎng)絡(luò)社區(qū)中的小部分人發(fā)動(dòng)攻擊會(huì)更有效。向那些地址發(fā)送電子郵件，同時(shí)使電子郵件好像是目標(biāo)用戶的好友發(fā)出的，那么他們的攻擊意圖就很有可能得逞。釣魚郵件的基本攻擊流程如下：

2.1 釣魚者入侵服務(wù)器，竊取用戶的名字和郵件地址。早期的網(wǎng)絡(luò)釣魚者利用垃圾郵件將受害者引向偽造的互聯(lián)網(wǎng)站點(diǎn)，這些站點(diǎn)由他們自己設(shè)計(jì)，看上去與合法的商業(yè)網(wǎng)站極其相似。很多人都曾收到過(guò)來(lái)自網(wǎng)絡(luò)釣魚者的所謂“緊急郵件”，他們自稱是某個(gè)購(gòu)物網(wǎng)站的客戶代表，威脅說(shuō)如果用戶不登錄他們所提供的某個(gè)偽造的網(wǎng)站并提供自己的個(gè)人信息，這位用戶在購(gòu)物網(wǎng)站的賬號(hào)就有可能被封掉，當(dāng)然很多用戶都能識(shí)別這種騙局。現(xiàn)在網(wǎng)絡(luò)釣魚者往往通過(guò)遠(yuǎn)程攻擊一些防護(hù)薄弱的服務(wù)器，獲取客戶名稱的數(shù)據(jù)庫(kù)，然后通過(guò)釣魚郵件投送給明確的目標(biāo)。

2.2 釣魚者發(fā)送有針對(duì)性的郵件。現(xiàn)在，釣魚者發(fā)送的釣魚郵件不是隨機(jī)的垃圾郵件。他們?cè)卩]件中會(huì)寫出用戶名稱，而不是以往的“尊敬的客戶”之類。這樣就更加有欺騙性，更容易獲取客戶的信任。這種針對(duì)性很強(qiáng)的攻擊更加有效地利用了社會(huì)工程學(xué)原理。

2.3 受害用戶訪問(wèn)假冒網(wǎng)址。受害用戶被釣魚郵件引導(dǎo)訪問(wèn)假冒網(wǎng)址，這種攻擊的主要手段是IP地址欺騙、鏈接文字欺騙、Unicode編碼欺騙等。

2.4 受害用戶提供的密碼和用戶信息被釣魚者獲得。一旦受害用戶被釣魚郵件引導(dǎo)訪問(wèn)假冒網(wǎng)址，釣魚者可以通過(guò)技術(shù)手段讓不知情的用戶輸入自己的“User Name”和“Password”，然后，通過(guò)表單機(jī)制，讓用戶輸入姓名、城市等一般信息，以及信用卡信息和密碼。這是比較常見的一種欺騙方式，有些攻擊者甚至編造公司信息和認(rèn)證標(biāo)志，其隱蔽性更強(qiáng)。此后，假冒網(wǎng)址將獲得的受害用戶信息發(fā)送給攻擊者。

2.5 釣魚者使用受害用戶的身份進(jìn)入其他網(wǎng)絡(luò)服務(wù)器。釣魚者會(huì)使用受害用戶的身份進(jìn)入其他網(wǎng)絡(luò)服務(wù)器（如購(gòu)物網(wǎng)站等），進(jìn)行消費(fèi)或者在網(wǎng)絡(luò)上發(fā)送反動(dòng)的、黃色的信息。

3 釣魚網(wǎng)站

在Web欺騙中，攻擊者能以受攻擊者的名義將錯(cuò)誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務(wù)器，以及以任何Web服務(wù)器的名義給被攻擊者發(fā)送數(shù)據(jù)。在欺騙攻擊中，攻擊者創(chuàng)造一個(gè)虛假的Web環(huán)境，以誘使受攻擊者進(jìn)入并且做出缺乏安全考慮的決策。

人們利用計(jì)算機(jī)系統(tǒng)完成具有安全要求的決策時(shí)往往也是基于其所見的。例如，在訪問(wèn)網(wǎng)上銀行時(shí)，員工可能根據(jù)員工所見的銀行Web頁(yè)面，從該行的賬戶中提取或存入一定數(shù)量的存款。因?yàn)閱T工相信自己所訪問(wèn)的Web頁(yè)面就是所需要的銀行的Web頁(yè)面，無(wú)論是頁(yè)面的外觀、URL地址，還是其他一些相關(guān)內(nèi)容，都讓員工感到非常熟悉，沒(méi)有理由不相信。

員工在工作中使用自己的賬號(hào)訪問(wèn)社交網(wǎng)站，不僅影響工作效率，而且有些用戶還會(huì)在誘騙下訪問(wèn)假冒的社交網(wǎng)站。這個(gè)假冒的社交網(wǎng)站捕獲敲擊鍵盤的動(dòng)作，竊取包括用來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)庫(kù)的登錄名和口令。如果在工作中或者在能夠訪問(wèn)企業(yè)網(wǎng)絡(luò)的家庭計(jì)算機(jī)上隨意訪問(wèn)這種社交網(wǎng)站，都會(huì)造成破壞，從而導(dǎo)致身份被盜，有意或無(wú)意地向虛擬圈子中的人泄露公司的秘密信息。

此外，有些網(wǎng)絡(luò)犯罪分子現(xiàn)在還利用社交網(wǎng)站作為一個(gè)通道，在這個(gè)網(wǎng)站上貼出虛假的網(wǎng)站鏈接，實(shí)施網(wǎng)絡(luò)釣魚，攻擊者借此掌握受害者的用戶名和口令，登錄受害者的賬戶、查看其電子郵件和網(wǎng)絡(luò)日記等。對(duì)于企業(yè)來(lái)說(shuō)，最嚴(yán)重的危險(xiǎn)來(lái)自于同樣的登錄信息使用的頻繁程度。大多數(shù)用戶常見的做法是無(wú)論登陸什么賬戶都是用相同的口令，如銀行賬戶、電子郵件和即時(shí)消息賬戶等。

大量假冒著名網(wǎng)站的客戶信息被攻擊者惡意地發(fā)布在各大BBS中，借此將著名網(wǎng)站的用戶和虛假的客戶服務(wù)信息聯(lián)系起來(lái)。相對(duì)于傳統(tǒng)的電話詐騙攻擊而言，這種新型的手法運(yùn)用了搜索引擎優(yōu)化技術(shù)的攻擊而顯得更為復(fù)雜。一旦用戶使用慣用的搜索引擎，如Google或者百度搜索客戶服務(wù)的相關(guān)信息時(shí)，從排名非?？壳暗木W(wǎng)頁(yè)中獲取的電話號(hào)碼就是攻擊者所發(fā)布的虛假信息。

攻擊者通過(guò)結(jié)合垃圾郵件和虛假客服電話來(lái)發(fā)動(dòng)此類攻擊。首先，他們大量發(fā)送宣稱郵件接收者中獎(jiǎng)的垃圾郵件，這些郵件往往要求人們?cè)诨貜?fù)郵件時(shí)提供詳細(xì)的個(gè)人信息。當(dāng)人們利用搜索引擎來(lái)確認(rèn)類似的中獎(jiǎng)信息是否屬實(shí)時(shí)，那些虛假的客服相關(guān)信息就會(huì)出現(xiàn)在人們眼前。與傳統(tǒng)的電話詐騙不同的是，傳統(tǒng)的電話詐騙借助自動(dòng)語(yǔ)音系統(tǒng)來(lái)收集人們的信息，而此類攻擊則充分利用了社會(huì)工程學(xué)原理，引誘人們?nèi)艽騻慰头娫挻_認(rèn)中獎(jiǎng)信息。大量的門戶網(wǎng)站和購(gòu)物網(wǎng)站等均被利用而成為攻擊的受害者。攻擊者通過(guò)大量地把很多虛假的電話號(hào)碼發(fā)布在著名的BBS或社區(qū)中來(lái)提高在搜索引擎中的排名，這使得安全人士很難將電話號(hào)碼和一個(gè)特定的攻擊聯(lián)系起來(lái)。

［1］馬春光,郭方方.防火墻、入侵檢測(cè)與VPN[M].北京郵電大學(xué)出版社,2008,8.

［2］周亞建,鄭康鋒,楊義先,鈕心忻.網(wǎng)絡(luò)安全加固技術(shù)[M].電子工業(yè)出版社,2007,7.

［3］孫繼銀,張宇翔,申巍葳.網(wǎng)絡(luò)竊密、監(jiān)聽及防泄密技術(shù)[M].西安電子科技大學(xué)出版社,2011,3.

［4］石淑華,池瑞楠.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].3版.人民郵電出版社,2012,8.

呂方興，男，菏澤學(xué)院計(jì)算機(jī)與信息工程系教師，計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)碩士研究生。

王洪澤］