作為對(duì)消費(fèi)者和企業(yè)都能造成潛在威脅的網(wǎng)絡(luò)犯罪，釣魚(yú)在過(guò)去幾年來(lái)大肆蔓延，其騙人把戲也是層出不窮。當(dāng)前低迷的經(jīng)濟(jì)形態(tài)，更是為釣魚(yú)提供了溫床，出現(xiàn)了利用新的社會(huì)工程來(lái)欺詐不知情的消費(fèi)者和企業(yè)用戶的現(xiàn)象。

一、釣魚(yú)無(wú)界限

釣魚(yú)——引誘電腦用戶提供敏感信息盜取身份和商業(yè)數(shù)據(jù)——對(duì)企業(yè)和普通消費(fèi)者都構(gòu)成極大威脅。在過(guò)去十來(lái)年，釣魚(yú)不斷滲透，在世界各地每日的釣魚(yú)攻擊大約為800萬(wàn)次數(shù)。

反釣魚(yú)工作組(APWG)報(bào)道說(shuō)，在2008年第二季度，光釣魚(yú)攻擊就上升了13%，超過(guò)28000次數(shù)。它還報(bào)道稱(chēng)，在同樣的時(shí)期內(nèi)，被感染了電腦密碼竊取代碼、可用來(lái)惡意軟件傳播的網(wǎng)站就已經(jīng)突破了9500個(gè)——與2007年同期相比，增長(zhǎng)了258%.圖一顯示了釣魚(yú)——魚(yú)叉式網(wǎng)路釣魚(yú)在16個(gè)月內(nèi)的增長(zhǎng)情況。

二、提防最新釣魚(yú)陰謀

◆Spear phishing(魚(yú)叉式網(wǎng)路釣魚(yú))

魚(yú)叉式網(wǎng)路釣魚(yú) 只針對(duì)特定目標(biāo)進(jìn)行攻擊，通常鎖定的對(duì)象并非一般個(gè)人，而是特定公司、組織成員，比如著名的銀行、金融公司及其高管等。

消費(fèi)者并不是魚(yú)叉式釣魚(yú)攻擊的唯一目標(biāo)。越來(lái)越多的企業(yè)員工被狡猾的犯罪分子盯上。他們的目標(biāo)是要獲取銀行信息、客戶數(shù)據(jù)和其他資料，以資助他們的網(wǎng)絡(luò)犯罪行徑。

根據(jù)VeriSign iDefense，魚(yú)叉式釣魚(yú)攻擊在2008年4月至五月期間對(duì)企業(yè)發(fā)起的攻擊，達(dá)到了前所未有的水平。這些攻擊的目標(biāo)主要是高級(jí)管理人員和公司其他重要人物。在15個(gè)月內(nèi)，受害者企業(yè)用戶數(shù)量達(dá)到了驚人的15000之多。這些受害者包括全球500強(qiáng)公司、政府機(jī)構(gòu)、金融機(jī)構(gòu)和律師事務(wù)所。

◆商業(yè)服務(wù)網(wǎng)絡(luò)釣魚(yú)

除了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)之外，釣魚(yú)新陰謀還包括有針對(duì)商業(yè)服務(wù)的釣魚(yú)攻擊。比如，利用Yahoo !推出的關(guān)系和谷歌的AdWords進(jìn)行釣魚(yú)。據(jù)PhishTank報(bào)告稱(chēng)，AdWords用戶會(huì)受到一封電子郵件，提醒他們賬戶需要更新。之后，用戶就會(huì)被要求登陸一個(gè)假冒的AdWords界面并提供信用卡信息。由于很多中小型企業(yè)依賴(lài)在線廣告來(lái)提供網(wǎng)站流量，他們的市場(chǎng)管理者很容易受到釣魚(yú)者盯上。

◆利用經(jīng)濟(jì)恫嚇發(fā)起釣魚(yú)攻擊

當(dāng)前低迷的經(jīng)濟(jì)形勢(shì)，為犯罪分子發(fā)起釣魚(yú)攻擊提供了便利條件。比如，利用電子郵件假扮成來(lái)自某個(gè)金融機(jī)構(gòu)需要獲取受害者銀行卡、存貸款等財(cái)務(wù)信息，以幫助處理企業(yè)破產(chǎn)或者合并、收購(gòu)等事宜。大量的合并和收購(gòu)信息，讓廣大消費(fèi)者感到迷茫。更糟糕的是，缺乏統(tǒng)一通信，更是讓欺詐者有恃無(wú)恐。

◆混合式釣魚(yú)/惡意軟件威脅

為了提高成功率，一些釣魚(yú)攻擊會(huì)與惡意軟件相結(jié)合的方式進(jìn)行。例如，某個(gè)潛在的受害者收到發(fā)來(lái)釣魚(yú)電子賀卡的郵件，通過(guò)點(diǎn)擊該賀卡，用戶就會(huì)在不知情的條件下進(jìn)入一個(gè)偽造的網(wǎng)站上，并感染網(wǎng)站上自動(dòng)下載過(guò)來(lái)的木馬程序。另外，受害者可能會(huì)看到一條消息，在查看賀卡的之前需要下載更新軟件(比如Flash)。當(dāng)用戶該軟件的時(shí)候，其實(shí)它就是一個(gè)鍵盤(pán)記錄軟件。

基于釣魚(yú)的鍵盤(pán)記錄軟件，會(huì)跟蹤用戶的每一個(gè)上網(wǎng)記錄，并監(jiān)視其中有用的信息，比如在線購(gòu)物、銀行卡賬戶和密碼等敏感信息。

另外一種會(huì)讓釣魚(yú)攻擊者捕獲敏感信息的木馬，則是重定向。重定向會(huì)讓用戶進(jìn)入不是其本意的網(wǎng)站。目前，基于釣魚(yú)的鍵盤(pán)記錄軟件和重定向正大肆流行。

◆中間人SSL滲透攻擊

2008年，出現(xiàn)了一種新型的可以讓犯罪分子欺騙加密會(huì)話的惡意軟件。這種標(biāo)準(zhǔn)的中間人攻擊的變種，可以讓罪犯訪問(wèn)網(wǎng)絡(luò)傳輸上不受保護(hù)的密碼和其他敏感信息。

◆短信和手機(jī)網(wǎng)絡(luò)釣魚(yú)詐騙

釣魚(yú)攻擊者可能會(huì)使用短信來(lái)取代電子郵件，以冒充某個(gè)金融機(jī)構(gòu)并獲得機(jī)密賬戶信息。被稱(chēng)為smishing(通過(guò)短消息的網(wǎng)絡(luò)釣魚(yú)攻擊)，屬于一種典型的手機(jī)詐騙，它會(huì)通知用戶銀行賬戶失密或者銀行卡被停用，并要求撥打某個(gè)電話來(lái)恢復(fù)銀行服務(wù)。手機(jī)用戶一旦登陸網(wǎng)站或者通過(guò)自動(dòng)電話系統(tǒng)，就會(huì)被騙取透露銀行財(cái)務(wù)信息和PIN號(hào)碼。

三、釣魚(yú)對(duì)業(yè)務(wù)的影響

雖然金融行業(yè)一直以來(lái)都是釣魚(yú)攻擊者的主要目標(biāo)，但是它并不是遭受釣魚(yú)攻擊的唯一目標(biāo)。在線支付、捐贈(zèng)網(wǎng)站、零售和社交網(wǎng)站也經(jīng)常成為釣魚(yú)者的獵物。反釣魚(yú)工作組(APWG)報(bào)告說(shuō)，針對(duì)手機(jī)提供商和制造商的釣魚(yú)攻擊也呈極具增長(zhǎng)的態(tài)勢(shì)。換句話說(shuō)，沒(méi)有哪個(gè)行業(yè)或者領(lǐng)域能夠逃離危險(xiǎn)不受攻擊。

冒充某個(gè)公司的官方網(wǎng)站進(jìn)行釣魚(yú)攻擊，會(huì)嚴(yán)重?fù)p害公司的品牌形象，并挫傷用戶的信任，使得用戶不敢輕易登陸官方網(wǎng)站。除此之外，公司還會(huì)受到如下影響：

◆受客戶信任影響，在線收入和點(diǎn)擊率都將下降

◆客戶數(shù)據(jù)一旦被泄露，公司要承擔(dān)賠償

釣魚(yú)攻擊還會(huì)導(dǎo)致用戶不敢輕易進(jìn)行在線交易，尤其是對(duì)他們不信任的人而言。

四、防范釣魚(yú)攻擊

雖然沒(méi)有一勞永逸的方法來(lái)對(duì)付釣魚(yú)攻擊，但是，還是可以利用一些技術(shù)來(lái)保護(hù)你的用戶和你的利益。當(dāng)前的釣魚(yú)技術(shù)，主要還是依賴(lài)于誘使用戶登陸偽造網(wǎng)站獲取用戶信息。諸如SSL、EVSSL等技術(shù)在防范釣魚(yú)和其他形式的網(wǎng)絡(luò)犯罪方面，還是起著至關(guān)重要的作用。

實(shí)現(xiàn)安全的最佳做法就是，開(kāi)啟最高級(jí)別的加密和認(rèn)證措施。SSL，Web安全的世界級(jí)標(biāo)準(zhǔn)，它可以對(duì)利用HTTS協(xié)議傳輸信息進(jìn)行加密保護(hù)。當(dāng)前的絕大部分操作系統(tǒng)、Web瀏覽器、Internet應(yīng)用程序和服務(wù)器硬件都內(nèi)置有對(duì)SSL的支持。

為了幫助有效防止釣魚(yú)攻擊，并增強(qiáng)用戶信任，公司也需要一種可以向用戶證明其為合法網(wǎng)站的方法。EV SSL證書(shū)可以幫助企業(yè)實(shí)現(xiàn)這一目的。它是全球領(lǐng)先的數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)和主流的瀏覽器開(kāi)發(fā)商共同制定的一個(gè)新的SSL證書(shū)嚴(yán)格身份驗(yàn)證標(biāo)準(zhǔn)，讓新一代安全瀏覽器(如：IE7)能識(shí)別出 EV SSL 而在地址欄顯示為綠色，讓普通消費(fèi)者能確信正在訪問(wèn)的網(wǎng)站就是通過(guò)權(quán)威第三方嚴(yán)格身份驗(yàn)證的現(xiàn)實(shí)世界的真實(shí)實(shí)體，從而增強(qiáng)消費(fèi)者信心，促成更多在線交易。

【編輯推薦】

1. 利用第三方瀏覽器漏洞釣魚(yú)
2. 淺析反釣魚(yú)網(wǎng)站的技術(shù)革新
3. 瑞星首創(chuàng)全球“智能反釣魚(yú)”技術(shù)
4. 用社工對(duì)抗社工——RSA身份認(rèn)證總監(jiān)Uri Rivner談釣魚(yú)