钓鱼攻击(精选3篇)
钓鱼攻击 篇1
1.引言
网络钓鱼攻击中, 最新出现的一种类型就是在一次单次攻击中, 同时将多个组织的品牌作为攻击目标, 这种钓鱼攻击在网络犯罪分子中迅速流行起来。同时, 根据RSA反欺诈指挥中心2010年12月报告显示, 中国成为遭受网络钓鱼攻击数量最多的五个国家之一, 并较上月呈现了4%的增长。
最新出现的网络钓鱼攻击, 通常伪装成不同国家税收征管机构的重要通知广为散布, 包括美国、英国、澳大利亚、南非和印度等国家。这些攻击向受害者呈现一个银行标志列表, 提醒他们点击自己银行的标志, 以登录到自己的账户并要求退税。但用户实际上并没有登录到他们自己的账户, 而是登录到一个捕获他们网上银行凭证的钓鱼网站中。
RSA观察到, 越来越多类似的网络钓鱼骗局都是利用了非常受欢迎的消费者品牌。潜在受害者接收到一封伪装成客户满意度调查的钓鱼电子邮件, 要求他们对该品牌的最近体验进行评价 (通常是餐馆或零售商店) 。网络钓鱼攻击会承诺金钱上的奖励, 以感谢他们参与调查。在接受调查后, 将会提示用户输入他们的网上银行凭证, 以将他们的报酬存入其账户。如图1和图2两幅截图就是这样的例子, 显示了正在仿冒可口可乐和一家受欢迎零售商而发起的攻击。
当谈论起恶意软件和木马时, 网络钓鱼的威胁似乎在今天看来有些微不足道。然而, 虽然它是一个消费者能够很容易辨认的旧把戏 (因此, 在某些情况下它会“无效”) , 但这并不意味着, 它不是网络犯罪分子之间最流行的工具。他们在网络钓鱼套件中不断开发新功能并使用各种各样的社会工程学方法, 千方百计地诱使用户成为其诈骗行为的受害者。根据RSA每个月监控的网络钓鱼攻击数量来看, 它仍然非常“有效”。
每月网络钓鱼攻击
2010年11月份, RSA在世界各地确定了16813起网络钓鱼攻击, 这一数字比10月份报告中的总量增长了5%, 如图3。
遭受攻击的品牌数
2010年11月份遭受攻击的品牌总数增加了10%。第一次遭受攻击的实体数为5家, 相比于过去几个月中20-25家新攻击目标品牌的平均数字, 继续呈下降趋势, 如图4。
攻击次数少于5次的品牌, 如图5。
美国境内遭受攻击的金融机构细分
2010年11月份, 针对美国信用合作社的攻击比例稳定在10%。与此同时, 针对美国全国性银行的攻击比例增加了6个百分点, 而针对地区性银行的攻击比例则下降了6个百分点。
在刚刚过去的一年中, RSA所记录的针对美国金融服务机构的攻击数据发生了完全的转变。2009年12月, 遭受攻击的10家银行中有7家是区域性银行, 而现在同一比例的攻击则是针对全国性银行, 如图5。
托管网络钓鱼攻击最多的前十位国家
美国仍然是托管最多网络钓鱼攻击的国家, 美国的托管数量增加了6%。而加拿大的托管数量则减少了5个百分点。所有其他国家的托管数量几乎与11月份保持一致, 除了中国香港地区取代匈牙利出现在名单中这一变化, 如图6。
遭受攻击数量最多的前十位国家
遭受网络钓鱼攻击数量最多的五个国家是美国、英国、南非、中国和意大利。他们都保持着在11月份图表中的位置, 变化的波动都没有超过4个百分点。与10月份相比, 美国和中国的攻击比例分别增加了2%和4%, 而英国则下降了2%, 如图7。
按遭受攻击品牌划分的前10国家
2010年11月份, 最显著的变化是在分别缺席了4个月和5个月后, 哥伦比亚和巴西又重新回到了遭受攻击品牌最多的前十位国家名单中。遭受攻击品牌数量最多的四个国家分别是美国、英国、印度和加拿大, 从10月份开始仍然保持着它们各自的相对位置, 其中变化最突出的就是英国的比例下降了6个百分点, 如图8。
在过去的6个月中, 一直以来拥有最多受攻击品牌数量的国家分别是美国、英国、意大利、加拿大、印度、澳大利亚和南非。
钓鱼攻击 篇2
“钓鱼”骗局是 们采用的一种技术,它们用电子邮件将用户骗到看起来极其真实的假冒网站,比如你开户银行的网站。一旦用户登录,被骗者会无意识地披露个人财务信息,“钓鱼”骗局骗子用这些信息进行电子商务欺诈并实施身份欺诈和盗窃。由于一些知名度很高的“钓鱼”攻击事件,现在绝大多数人对这些骗局有了警觉。
但现在骗局有了更加少见的发展,在新骗局中,电子商务企业可能成为无意识的帮凶,因为即便是最聪明的网络用户也可能无法察觉这种骗术。这种“混合”式“钓鱼”骗局利用人们所信任机构的合法网站,而不是假冒网站和虚假的URL地址,
其结果是,即便那些最谨慎的用户也不可能分辨出作为威胁的假冒链接。
新骗局将传统的骗局方法与另一种技术结合起来,即所谓的网站交叉脚本,它可以导致重大危害,方法是在被攻击者的浏览器上执行非法脚本程序。触发器就是电子邮件内嵌脚本的链接。
在点击电子邮件后,被攻击者被发向某个合法的网站,恶意链接在合法网站上执行若干动作,例如生成一个弹出的注册窗口,一旦登录, 既可以进入网站,也可以得到被攻击者的个人信息。该链接还将特洛伊木马或病毒上传到用户电脑上。
网络钓鱼的攻击方式与识别技术 篇3
第30次中国互联网络发展状况调查统计报告显示, 截至2012年6月底, 中国网民数量达到5.38亿, 互联网普及率为39.9%。网络的普及给人们生活带来了极大的方便, 但同时也带来了许多安全隐患, 特别是通过网络钓鱼的方式诈骗钱财的事件屡屡发生。网络钓鱼是指攻击者通过各种隐蔽的技术手段, 声称自己是某银行或者权威机构来欺骗用户的一些敏感信息, 如用户的密码等信息。常见的网络钓鱼是设计一个与真实网站非常相似的网站, 引诱用户上当[1,2]。网络钓鱼方式已经严重威胁到用户的财产安全, 并具有愈演愈烈的趋势。中国互联网络信息中心 (CNNIC) 发布的《2012年中国反钓鱼网站联盟工作报告》显示, 反钓鱼网站联盟2012年共处理钓鱼网站24535个, 已累计认定并处理钓鱼网站100402个, 2012年联盟接到的钓鱼网站举报中, 钓鱼网站主要涉及淘宝网、工商银行、央视、腾讯公司等单位。可以看出电子商务网站成为网络钓鱼的重点攻击对象。
1 网络钓鱼的主要攻击方式
国家计算机病毒应急处理中心通过对互联网的监测发现, 随着“B2C”电子商务的迅猛发展, 网络钓鱼事件愈加频繁。目前, 网络钓鱼现状表现在银行类网站频遭仿冒、节假日成为钓鱼高峰期、热点事件催生网络钓鱼以及中奖信息类和彩票类钓鱼网站激增等五个方面。近期网络钓鱼事件频发, 那么网络钓鱼的主要采用什么攻击方式呢?主要存在三类攻击方式, 一类是使用恶意软件进行攻击, 第二类似利用软件的漏洞来攻击, 第三类是使用虚假信息或者克隆方式。
1.1 使用恶意软件的攻击
目前网络上恶意软件增长十分迅猛, 特别在移动互联网方面人们的防范意识更加薄弱, 也更容易被恶意软件攻击。《2012年中国反钓鱼网站联盟工作报告》显示, 截止2012年6月, 趋势科技已经截获25000个Android恶意应用程序。趋势科技于2012年8月在第三方应用市场截获了一个Android恶意应用程序ANDROIDOS_SMSZOMBIE.A, 该恶意应用程序可以利用某电信运营商短信支付平台的漏洞, 窃取用户的银行卡号以及账户的相关信息, 然后将窃取到的信息以短信的方式发送至指定的手机号码, 这给用户的银行卡安全造成严重的威胁。
1.2 利用软件的漏洞攻击
最常见的是利用浏览器漏洞进行攻击[3]。如2005年, 微软安全研究小组的工程师日前证实了IE浏览器上存在的一处可为URL诱骗攻击留下后门的漏洞, 攻击者可以利用它伪装一个弹出式广告URL信息, 这个信息窗口与真实的一模一样, 但实际上是网络钓鱼网站, 用户很容易被欺骗。攻击者也可能在Web页面里插入恶意代码, 当用户打开浏览器时, 嵌入其中的恶意代码也会运行。其次是利用常见的应用软件漏洞进行攻击。如, 利用网络中的视频软件, 各种在线工具的浏览器插件等。攻击者利用这些应用软件存在的漏洞, 在其中植入各种木马和病毒。
1.3 使用虚假信息或者克隆方式进行攻击
这类网络钓鱼的攻击方法主要采用假冒的方式[4], 如采用假电子邮件、虚假聊天室、假短信、虚假搜索引擎搜索排名等。
用户经常收到垃圾邮件, 有些垃圾邮件的标题具有诱惑性的词语, 用户容易打开, 并且在邮件正文里面也有类似的词语和图片, 有的还有一些超链接, 当用户点击其中的图片或者链接时, 网页会跳到攻击者设置好的恶意网页。这些网页有的克隆某个正规网页, 用户很容易中招。
社交网站也是恶意攻击者攻击的重点, 他们通过社交网络上的聊天工具, 留言等方式发布信息, 这些信息常常带有吸引人的文字投用户所好, 如用户比较喜欢中奖、免费活动和优惠活动等信息, 恶意攻击者就用这样诱人的语言引诱用户来点击链接, 这些链接的目的地就是网络钓鱼网站或者是木马。
克隆方式的网络钓鱼更具有欺骗性, 恶意攻击往往正规网站, 让用户防不胜防。如仿冒某个电子商务网站或者政府网站。不仅内容相同, 而且其他的也很类似, 特别是域名, 如包含部分正确的域名, 或者与正确域名相似, 这种方式往往通过修改正确的域名的某一个字母或构造与其相似的字母来欺骗用户。例如攻击者仿冒一个中国银行的网站, 他们会围绕中国银行域名中的boc来迷糊用户, 如变为boe、.bec、boci、iboc等。用户看到这样的域名, 以为是中国银行网站。
2 网络钓鱼识别技术
目前已经研究了许多网络钓鱼的防范软件, 有专门防钓鱼软件, 也有将防钓鱼功能嵌入到浏览器中。这里主要分析嵌入到浏览器中的防钓鱼网站所采用的技术和方法。
网络钓鱼攻击的最终实体为钓鱼网站, 攻击者利用伪造与合法网站极为相似的钓鱼站点, 诱使用户提交自己的敏感信息。因此最为广泛的约鱼攻击识别防范技术是基于网站或者URL的分析技术。
当用户浏览网页, 首先用黑名单和白名单的过滤方法, 再结合的URL地址对用户浏览的网页进行URL拦截。黑名单表示潜在的危险或不受欢迎的消息, 如垃圾邮件。如果发信人的IP地址在黑名单中, 其发送的消息将认为是垃圾, 直接拒收。白名单表示消息是可靠的。采用黑白名单机制可以实现网络钓鱼攻击防范中拦截功能。该方式通过将提出请求访问的URL与存储列表中的URL进行比较, 然后再判断该URL的访问请求是否得以通过。白名单中包含了可以通过访问请求的URL列表, 黑名单中包含了所有需要拦截的URL列表。目前很多浏览器使用了这项防范方法, 如微软Internet Explorer、360浏览器、搜狐浏览器、Mozilla的Firefox浏览器、谷歌的Chrome浏览器以及Opera浏览器等增加了反钓鱼安全保护功能。
2.1 钓鱼网站的特征
如果网络钓鱼网站不在黑白名单之列, 则需要进行检测。通过提起网络页面中的特征, 这些特征可以区别正常网站和钓鱼网站。钓鱼网站与正常网站具有下面的不同特征。
(1) 不同的域名地址。网站的域名是唯一的, 正常网站和钓鱼网站的域名存在差异, 有的钓鱼网站直接采用IP地址形式, 有的钓鱼网站则采用与正常网站非常相似的域名。 (2) 不同的链接URL。正常网站的Anchor对象是指向页面文件所在的域内, 这个域与网站声称的所有者所在的域一致。但是钓鱼网站存的Anchor对象指向则不同, 它们可能没有指向, 也可能指向不同的域。 (3) 不同的表单。正常网站上的<form>元素的action属性也常常指向网站文件所在的域, 这个域与所有者的域一致。但是钓鱼网站的该属性的指向也不同, 常常指向不同的域或者指向为空。 (4) 不同的资源引用。正常网站上的可引用资源的对象大多数来自网站文件所在的域, 但钓鱼网站中这些对象很多指向不同, 它们指向不在同一个域内。 (5) 不同的Cookie。正常网站和钓鱼网站中Cookie的内容是不同的, 正常网站通常将自身的域名写入到cookie中。但是网络钓鱼网站通常会在cookie中设置其想伪装的合法站点的域名, 这就会导致与钓鱼网站文件所在域的域名不一致。
2.2 钓鱼网站识别
首先要提取网页的特征, 网页的特征包括:网页的URL、DOM、身份信息以及其他信息如安全证书、Cookie信息等。如URL包含了协议、用户名、密码、域名、路径、端口号、目录、文件名、参数、值、特殊符号等特征;DOM包含了文件、元素、文本、属性、处理指令、批注、CDATA区段、文件类型实体、标签等;身份信息包含了网页ICP证号、版权信息、注册信息。其次是构建钓鱼网站的特征向量。如包括URL的基本特征向量、URL关系特征向量、网页内容的特征向量。在钓鱼网站中, URL的基本特征如URL中包含了IP地址、在域名中包含“@”字符、域名长度和点分隔数个数与正常网站不同。URL关系特征主要包括钓鱼网站的Page Rank值相对较小, 该值表示网站的权重;另外钓鱼网站域名使用时间较短, 各类网络搜索排名都比较低。钓鱼网页内容的特征主要包括图片常常链接到域外;钓鱼网页的HTML文档中或是其目的指向的网页文档中必定会含有Form元素表单, 另外钓鱼网站的空链接和外域链接多。再根据选择的网页特征, 通过已有的钓鱼网站检测特征对识别钓鱼网站的贡献度。这个过程可以采用神经网络方法, 也可以采用信息熵方法。这个过程包括子集产生、评价、和验证。首先从特征初始集中产生出一个子集, 然后选择一个合适的评价函数对该子集进行评价, 并将评价结果与停止准则比较, 若已达到停止标准则退出, 否则继续进行下一轮的特征选择并产生下一组子集, 重复上述选择过程, 直到选出合适的子集为止。最后是钓鱼网站的识别。根据钓鱼网站特征对比要分析的网站, 检测是否满足钓鱼网站的特征。如果这些特征相同则是钓鱼网站, 如果不同就不是钓鱼网站, 这个过程就是相似度比较过程。
3 结论
现在人们越来越依靠互联网和移动互联进行工作、生活和娱乐, 互联网给人们带来便利的同时, 也给不法分子提供了骗人的场所, 特别是网络钓鱼现象已经严重威胁了人们的财产安全。本文通过分析网络钓鱼的攻击方式, 阐述了网络钓鱼的检测方法。可以看到, 虽然攻击者采用不同的钓鱼方式, 但最终的目的是让用户浏览他们事先设计好的网页, 通过该网页来骗取用户的敏感信息, 因此网络钓鱼检测方法是根据钓鱼网站和正常网站的特征, 提取它们的特征向量, 通过比较分析特征向量来判断是否为钓鱼网站。
摘要:钓鱼网站是指攻击者利用各种手段仿冒正规的各类网站, 目的是骗取用户的敏感信息, 如用户的账号和密码, 钓鱼网站已经严重威胁了用户的财产安全。本文通过分析网络钓鱼网站的攻击方式, 阐述了网络钓鱼网站的识别方法, 即根据钓鱼网站的网页的特征, 构建钓鱼网站的特征向量, 通过已有的钓鱼网站检测特征对识别钓鱼网站的贡献度, 确定各个特征向量的权重, 再根据这些特征向量比较检测网页的相似度, 从而能够鉴别钓鱼网站。
关键词:网络钓鱼,网页,特征值,识别
参考文献
[1]Khonji M, Iraqi Y, Jones A.Lexical url analysis for discriminating phishing and legitimate websites[C]//Proceedings of the 8th Annual Collaboration, Electronic messaging, Anti-Abuse and Spam Conference.ACM, 2011:109-115.
[2]殷水军, 刘嘉勇, 刘亮.针对Web-mail邮箱的跨站网络钓鱼攻击的研究[J].通信技术, 2010, 8.
[3]Afroz S, Greenstadt R.Phishzoo:Detecting phishing websites by looking at them[C]//Semantic Computing (ICSC) , 2011 Fifth IEEE International Conference on.IEEE, 2011:368-375.