“网络钓鱼”(英文叫Phishing,实施诈骗的人叫Phisher)的诈骗方式,近来在网上电子商务交易中时常可见,也屡见诸报端。骗子们惯用的手段是首先向公众群发垃圾邮件,然后利用虚假的“优惠”、“打折”等诱饵将受害者引导去登录一个看似熟悉的电子商务或在线理财网站(比如eBay和花旗银行网站)。由于网站“克隆”得非常逼真,粗心的用户很可能稀里糊涂地输入信用卡账号、密码,被骗子获取。
Gartner公司今年对经常上网的美国成年人所做的一项调查显示,有5700万人曾经收到过至少一次暗藏“网络钓鱼”诱饵的邮件。在曾经点击过邮件链接到欺骗性网址的1100万人中,有178万人表示输入过机密的个人信息和财务数据,包括银行账户和信用卡号码。
骗术万花筒
上文介绍的骗术,多少带有点守株待兔的味道;随着媒体的反复曝光,公众们也都提高了警惕性,起码在打开E-mail里的链接时会注意网站的域名是否正确。但常言说得好:道高一尺,魔高一丈。诡计多端的骗子们已不再满足于做愿者上钩的姜太公,他们最新“发明”的“钓术”不再只是简单地发送假链接和仿冒站点,而是“移花接木”--直接利用真实的站点行骗,让人防不胜防。
听起来有些匪夷所思吧,接下来笔者就给大家简单地描述一下这类诡计得逞的过程:新的骗术将普通的“网络钓鱼”与跨站点脚本技术结合起来,通过诱饵邮件中的包含嵌入脚本的链接触发。用户只要点击了邮件中的此类链接,除了会被带到一个正常的银行站点,同时恶意脚本还会在用户电脑上弹出一个小窗口--酷似网上银行的登录界面。除了用假冒窗口来骗取用户输入账号、密码,恶意脚本同时还很可能在后台下载木马并运行;从而将用户信息发送出去,并在以后做进一步的窥私窃密。
更恐怖的事情还在后头。同样是利用跨站点脚本技术,骗子们还可以在网上银行的动态页面中嵌入预先设计好的内容,将点击链接的用户直接导向指定网站。脚本是在客户端执行产生作用的,与网上银行并无瓜葛;但对用户而言可不是这样,一旦上当受骗,他们会“有凭有据”地认为是银行网站被黑才导致自己蒙受损失,虽然目前蒙受损失的网上银行用户还只是极个别的情况,但是深层次的危害已经不遥远了。
“网络钓鱼”害苦了谁?
首先,“网络钓鱼”骗局中直接蒙受经济损失的是用户(那些提供网上银行服务的金融机构也跑不了)。除了遭客户投诉的麻烦不说,如果有大量客户不幸“上钩”,更换新的安全认证方式,更换新的信用卡都是一笔不小的费用。
有形的损失尚可估量,对于金融机构、互联网服务提供商和其它服务商来说,如果不能迅速遏止“网络钓鱼”这样的诱饵攻击,消费者对在线交易的信任感将会迅速消减,最终所有网络交易的参加者都会深受其害并且惶惶不可终日。尤其是如今越来越多的人开始尝试电子商务,“涉世未深”的他们往往对形形色色的网络诈骗了解不多,很容易受骗。
“反‘钓鱼’工作组”(Anti-Phishing Working Group简称APWG)7~10月的统计数据显示:4个月以来被举报的“钓鱼”网站月均增长25%以上,到10月底已达1132起。eBay和其它几十家屡遭“网络钓鱼”袭扰的公司都曾公开表示:这种诈骗不仅直接损害了客户利益和公司业务,而且客户对电子商务的信心也造成了很大的伤害。
受损的还有商业品牌。MI2G(一家著名的计算机风险管理公司)执行总裁DK Matai曾指出:“虽然在很多情况下品牌所有者并没有错,但这些在线品牌应当具备足够的能力,并用更多的心思来防止消费者犯错误。”
群策群力
“网络钓鱼”的骗术之所以能够得逞,除了诱惑性的虚假信息外,很大程度是利用了人们图方便的心理,通常大多数用户在有链接可点的时候,是不愿输入一长串URL地址的。此外,各类网站竞相提供动态内容的设计,在丰富用户浏览体验的同时,也为骗子们提供了可乘之机。按照网络安全组织CERT的说法,采用动态设计的网页比较容易遭到上述新型“网络钓鱼”攻击,而静态的网页相对而言比较安全。动态网页的内容是随着用户的访问而生成的,服务器端既无法监测自己生成的内容到底有多少在用户的浏览器上被显示出来,也无从获知哪些第三方内容被中途加了进去。
“网络钓鱼”的危害引起了业界高度重视,APWG就是为此而专门成立的。它拥有大约800名成员,包括近500家金融服务公司、IT技术公司、互联网服务提供商、国家法律执行机构和立法机构。APWG提倡的保护用户免收“钓鱼”侵害的方法分两个方面。首先是服务提供者应加强对用户的教育和沟通,告知用户不要点击邮件中的链接,尽量直接在地址栏中输入网址;其次,直接在企业Web应用之外再架设应用防火墙,负责检查访问请求代码是否合法,尽力过滤一切恶意的Web访问请求。
这两方面说起来简单,但要真正落实却不那么容易,一些网络安全软件往往能起到防患未然的作用。加入APWG的网络安全公司已陆续推出防“网络钓鱼”的新功能、新产品,我们常用的杀毒软件,如KV2005、瑞星2005都加入了“隐私保护”的功能。但是这些只是“长征路上的第一步”,后续要做的工作仍有很多。