謹(jǐn)防網(wǎng)絡(luò)釣魚(yú)的最新陰謀
互聯(lián)網(wǎng)在飛速發(fā)展,各種基于互聯(lián)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用技術(shù)和安全技術(shù)也在飛速發(fā)展,同樣的互聯(lián)網(wǎng)犯罪也是發(fā)展到了極致。在過(guò)去十來(lái)年,網(wǎng)絡(luò)釣魚(yú)不斷滲透,在世界各地每日的網(wǎng)絡(luò)釣魚(yú)攻擊大約為800萬(wàn)次數(shù),網(wǎng)絡(luò)釣魚(yú)已經(jīng)逐漸成為了互聯(lián)網(wǎng)安全的最大威脅。
網(wǎng)絡(luò)釣魚(yú)無(wú)界限
網(wǎng)絡(luò)釣魚(yú)——引誘電腦用戶提供敏感信息盜取身份和商業(yè)數(shù)據(jù)——對(duì)企業(yè)和普通消費(fèi)者都構(gòu)成極大威脅。
反網(wǎng)絡(luò)釣魚(yú)工作組(APWG)報(bào)道說(shuō),在2008年第二季度,光網(wǎng)絡(luò)釣魚(yú)攻擊就上升了13%,超過(guò)28000次數(shù)。它還報(bào)道稱,在同樣的時(shí)期內(nèi),被感染了電腦密碼竊取代碼、可用來(lái)惡意軟件傳播的網(wǎng)站就已經(jīng)突破了9500個(gè)——與2007年同期相比,增長(zhǎng)了258%。圖一顯示了網(wǎng)絡(luò)釣魚(yú)——魚(yú)叉式網(wǎng)路網(wǎng)絡(luò)釣魚(yú)在16個(gè)月內(nèi)的增長(zhǎng)情況。
提防最新網(wǎng)絡(luò)釣魚(yú)陰謀
Spear phishing(魚(yú)叉式網(wǎng)路網(wǎng)絡(luò)釣魚(yú))
魚(yú)叉式網(wǎng)路網(wǎng)絡(luò)釣魚(yú) 只針對(duì)特定目標(biāo)進(jìn)行攻擊,通常鎖定的對(duì)象并非一般個(gè)人,而是特定公司、組織成員,比如著名的銀行、金融公司及其高管等。
消費(fèi)者并不是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的唯一目標(biāo)。越來(lái)越多的企業(yè)員工被狡猾的犯罪分子盯上。他們的目標(biāo)是要獲取銀行信息、客戶數(shù)據(jù)和其他資料,以資助他們的網(wǎng)絡(luò)犯罪行徑。
根據(jù)VeriSign iDefense,魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊在2008年4月至五月期間對(duì)企業(yè)發(fā)起的攻擊,達(dá)到了前所未有的水平。這些攻擊的目標(biāo)主要是高級(jí)管理人員和公司其他重要人物。在15個(gè)月內(nèi),受害者企業(yè)用戶數(shù)量達(dá)到了驚人的15000之多。這些受害者包括全球500強(qiáng)公司、政府機(jī)構(gòu)、金融機(jī)構(gòu)和律師事務(wù)所。
商業(yè)服務(wù)網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚(yú)
除了魚(yú)叉式網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚(yú)之外,網(wǎng)絡(luò)釣魚(yú)新陰謀還包括有針對(duì)商業(yè)服務(wù)的網(wǎng)絡(luò)釣魚(yú)攻擊。比如,利用Yahoo !推出的關(guān)系和谷歌的AdWords進(jìn)行網(wǎng)絡(luò)釣魚(yú)。據(jù)PhishTank報(bào)告稱,AdWords用戶會(huì)受到一封電子郵件,提醒他們賬戶需要更新。之后,用戶就會(huì)被要求登陸一個(gè)假冒的AdWords界面并提供信用卡信息。由于很多中小型企業(yè)依賴在線廣告來(lái)提供網(wǎng)站流量,他們的市場(chǎng)管理者很容易受到網(wǎng)絡(luò)釣魚(yú)者盯上。
利用經(jīng)濟(jì)恫嚇發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊
當(dāng)前低迷的經(jīng)濟(jì)形勢(shì),為犯罪分子發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊提供了便利條件。比如,利用電子郵件假扮成來(lái)自某個(gè)金融機(jī)構(gòu)需要獲取受害者銀行卡、存貸款等財(cái)務(wù)信息,以幫助處理企業(yè)破產(chǎn)或者合并、收購(gòu)等事宜。大量的合并和收購(gòu)信息,讓廣大消費(fèi)者感到迷茫。更糟糕的是,缺乏統(tǒng)一通信,更是讓欺詐者有恃無(wú)恐。
混合式網(wǎng)絡(luò)釣魚(yú)/惡意軟件威脅
為了提高成功率,一些網(wǎng)絡(luò)釣魚(yú)攻擊會(huì)與惡意軟件相結(jié)合的方式進(jìn)行。例如,某個(gè)潛在的受害者收到發(fā)來(lái)網(wǎng)絡(luò)釣魚(yú)電子賀卡的郵件,通過(guò)點(diǎn)擊該賀卡,用戶就會(huì)在不知情的條件下進(jìn)入一個(gè)偽造的網(wǎng)站上,并感染網(wǎng)站上自動(dòng)下載過(guò)來(lái)的木馬程序。另外,受害者可能會(huì)看到一條消息,在查看賀卡的之前需要下載更新軟件(比如Flash)。當(dāng)用戶該軟件的時(shí)候,其實(shí)它就是一個(gè)鍵盤(pán)記錄軟件。
基于網(wǎng)絡(luò)釣魚(yú)的鍵盤(pán)記錄軟件,會(huì)跟蹤用戶的每一個(gè)上網(wǎng)記錄,并監(jiān)視其中有用的信息,比如在線購(gòu)物、銀行卡賬戶和密碼等敏感信息。
另外一種會(huì)讓網(wǎng)絡(luò)釣魚(yú)攻擊者捕獲敏感信息的木馬,則是重定向。重定向會(huì)讓用戶進(jìn)入不是其本意的網(wǎng)站。目前,基于網(wǎng)絡(luò)釣魚(yú)的鍵盤(pán)記錄軟件和重定向正大肆流行。
中間人SSL滲透攻擊
2008年,出現(xiàn)了一種新型的可以讓犯罪分子欺騙加密會(huì)話的惡意軟件。這種標(biāo)準(zhǔn)的中間人攻擊的變種,可以讓罪犯訪問(wèn)網(wǎng)絡(luò)傳輸上不受保護(hù)的密碼和其他敏感信息。
短信和手機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚(yú)詐騙
網(wǎng)絡(luò)釣魚(yú)攻擊者可能會(huì)使用短信來(lái)取代電子郵件,以冒充某個(gè)金融機(jī)構(gòu)并獲得機(jī)密賬戶信息。被稱為smishing(通過(guò)短消息的網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚(yú)攻擊),屬于一種典型的手機(jī)詐騙,它會(huì)通知用戶銀行賬戶失密或者銀行卡被停用,并要求撥打某個(gè)電話來(lái)恢復(fù)銀行服務(wù)。手機(jī)用戶一旦登陸網(wǎng)站或者通過(guò)自動(dòng)電話系統(tǒng),就會(huì)被騙取透露銀行財(cái)務(wù)信息和PIN號(hào)碼。
【編輯推薦】
