“比如现在的钓鱼网站,通常伪装成某银行网站或者电子购物网站,窃取访问者提交的账号和密码信息。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。”金山互联网安全专家李铁军对最近非常流行的钓鱼网站这样分析,在他看来,多数电脑用户还没有意识到网络入侵就已经“中招”了。
这些网上犯罪行为几乎是无处不在,特别是在电子商务网站、网上银行、即时通讯网站这些人气较旺的站点,各种恶意行为往往同时并存,给企业和用户带来的危险更加巨大。除此之外,专家认为,随着新的网络漏洞的出现,信息安全问题也给企业安全技术的创新带来挑战。
企业信息安全新解
2009年12月中旬,淘宝买家小彤无意在一家淘宝店看到一款心仪已久的超长靴,而且标注绝对正品,380元的标价也比专柜便宜很多,经过旺旺及QQ联系,卖家发来了商品链接。点击链接后,弹出淘宝页面,系统提示用户登陆,小彤按要求输入用户名和密码后不久,支付宝账户上随即丢失了380元的资金。这一意外事件使得小彤的安全意识发生了巨变,当她被反病毒安全专家告知,自己已经中了“网络钓鱼”圈套时,从事房产销售的她还是一头雾水。
当本刊记者就“网络钓鱼”进行有关调查的时候,惊讶地发现多数人在上网的时候根本没有意识到危险存在,于是利用个人防范意识上的漏洞加上黑客技术进行诈骗和犯罪的手法,使人们在现实生活中防不胜防。
“从社会工程学角度来看,所谓‘网络钓鱼’就是指运用欺诈心理结合电脑科技的新犯罪手法。”金山毒霸反病毒专家李铁军解释,“‘网络钓鱼’是一种网络欺诈行为,不法分子利用各种手段,仿冒真实网站的网页地址以及页面内容,以此来骗取用户银行或信用卡账号、密码等私人资料。”
对于“网络钓鱼”欺诈手法原理的最好切入点,还要追溯到黑客界的一个流行——“黑客社会工程学”,这是由某著名黑客在上个世纪90年代提出的,即引诱某人去做某事或者泄露敏感信息。专家一致认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码,并通过安装恶意软件来攫取利益。
这一手段已经被不法分子屡试不爽。之前安全机构发现的某公司假网站网址为http://www。1enovo。com,而真正的网站为http://www。lenovo。com,诈骗者利用了小写字母l和数字1很相近的障眼法,通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问。一旦访问该网站,首先生成一个弹出窗口,上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站主页面在后台即通过多种IE漏洞下载病毒程序,并在2秒钟后自动转到真正网站主页,用户在毫无觉察中就感染了病毒。病毒程序执行后,将下载该网站上的另一个病毒程序,用来窃取用户的游戏帐号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。
中国反钓鱼网站联盟秘书处数据显示,2009年9月处理的钓鱼网站类型比例较前两月有明显变化。仿冒淘宝网骗取用户钱财的钓鱼网站比例大幅上扬,分别较2009年7、8月份增长了235。4%和207。4%,而假冒QQ中奖和仿冒腾讯官方网站骗取用户信息的钓鱼网站比例有所下降,较7、8月份分别降低了66%和56。6%。
随着中国经济的快速发展,在中国企业互联网化进程加快,网上银行建设逐渐成熟的背景下,中国出现了越来越多的“网络钓鱼”事件,“网络钓鱼”危害正进一步加深。据国家计算机网络应急中心估计,“网络钓鱼”对电子商务用户带来的损失目前已达76亿元,也就是说,平均每一位网购用户已经为潜在的网购安全威胁丢掉了86元的经济损失。除此之外,“网络钓鱼”的嚣张也打击了公众应用互联网的信心。
安全问题多样化、复杂化
据北京知道创宇信息技术有限公司研发副总裁杨翼龙介绍,目前多数电子商务网站和网上银行都有大批挂马的现象存在。木马制作者的做法是通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
如2008年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。又如2004年3月陈某盗窃银行储户资金一案,陈通过其个人网页向访问者的计算机种植木马,进而窃取访问者的银行账户和密码,再通过电子银行转帐实施盗窃。
信息安全不仅仅是安装杀毒软件和防火墙,实际上主观的防范意识也很重要。一些不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。三名犯罪分子曾经从网上搜寻某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解弱口令,并屡屡得手。
实际上,多数网络诈骗活动经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”活动,如果被侵害者没有足够的防范意识,基本上是很难预防的。
腾讯、淘宝、工商银行被“嫁祸”
经常登录淘宝、QQ、网上银行的网民们可能还在暗自庆幸,至今没有被“钓鱼”,但是这不代表危险就不会光顾。2009年10月26日,中国反钓鱼网站联盟在北京召开年会并公布最新统计数据。数据显示,截止到2009年10月22日,经联盟秘书处认定并处理的钓鱼网站域名已达8342个,被处理的钓鱼网站无一例投诉。腾讯、淘宝网、工商银行位列网络钓鱼对象的前三位,针对这三大网站的“网络钓鱼”占举报总量的80%以上。
据腾讯安全中心总监杨勇介绍,网络黑客偷窃了QQ号码之后,通常对所盗取的QQ所有好友发送一些垃圾消息,邀请他们用手机打电话听歌,如果有人打了电话,就会在不知情的情况下被声讯台扣费。当腾讯对垃圾消息进行打击后,黑客又引进了“邀请游戏”模式,他们在网上发起一起游戏的邀请,让人打12590赚取话费。为了达到规模效应,黑客通常采用相当多的自动化手段查询Q币、密码、会员等级、积分等用户信息,窃取号码之后就可以进行批量化的洗钱,如果没有Q币,就会用这些号码来发垃圾消息。这些自动化工具使用度非常高,它可以使黑客批量、快速地洗钱和发垃圾消息,一旦形成规模效应,就会形成一个灰色的产业链,吸引很多低学历的人去从事这个行业。
“通过从金山网盾数据中心获得的最新数据表明,2009年11月,金山网盾每日和支付宝交换的钓鱼网站数量都在300个左右,其中80%的钓鱼网站都会被买家或者卖家点击,在被淘宝用户点击到的这240个钓鱼网站,其中有20%-30%的钓鱼网站会交易成功,而一个钓鱼网站只要在一天之内获得一笔成功交易记录,就可以在短短两分钟之内把你支付账户里的存款全部吞掉,这显然是一种无本万利的生意。”李铁军透露了一组惊人的数据。
随着电子银行在国内的逐步普及,金融领域的信息安全问题表现尤为突出,本次工商银行被列入钓鱼网站对象的前三名,可以一窥全豹。根据中国金融认证中心(CFCA)发布的《2009年中国网上银行调查报告》,2009年中国企业使用电子银行的频率在稳步提高,这得益于2008年奥运安保工作和2009年国庆60周年重大活动的保障,在网上银行的安全性方面,用户对网银安全的信心也有了大幅提高,CFCA副总经理曹小青表示:“如何帮助用户提升防范意识以及掌握必要的安防手段,仍然是未来一段时间网银普及推广工作中的重点。”据介绍,目前CFCA针对网银安全问题主要采取了三个阶段的不同做法:第一阶段推出基于恶意代码的软件解决方案,第二阶段进行基于用户行为分析的网银交易风险检测,第三阶段是推出Internet解决方案。
(责任编辑:adminadmin2008)
