釣魚的最新陰謀和潛在威脅
作為對消費者和企業都能造成潛在威脅的網絡犯罪,釣魚在過去幾年來大肆蔓延,其騙人把戲也是層出不窮。當前低迷的經濟形態,更是為釣魚提供了溫床,出現了利用新的社會工程來欺詐不知情的消費者和企業用戶的現象。
一、釣魚無界限
釣魚——引誘電腦用戶提供敏感信息盜取身份和商業數據——對企業和普通消費者都構成極大威脅。在過去十來年,釣魚不斷滲透,在世界各地每日的釣魚攻擊大約為800萬次數。
反釣魚工作組(APWG)報道說,在2008年第二季度,光釣魚攻擊就上升了13%,超過28000次數。它還報道稱,在同樣的時期內,被感染了電腦密碼竊取代碼、可用來惡意軟件傳播的網站就已經突破了9500個——與2007年同期相比,增長了258%.圖一顯示了釣魚——魚叉式網路釣魚在16個月內的增長情況。
二、提防最新釣魚陰謀
◆Spear phishing(魚叉式網路釣魚)
魚叉式網路釣魚 只針對特定目標進行攻擊,通常鎖定的對象并非一般個人,而是特定公司、組織成員,比如著名的銀行、金融公司及其高管等。
消費者并不是魚叉式釣魚攻擊的唯一目標。越來越多的企業員工被狡猾的犯罪分子盯上。他們的目標是要獲取銀行信息、客戶數據和其他資料,以資助他們的網絡犯罪行徑。
根據VeriSign iDefense,魚叉式釣魚攻擊在2008年4月至五月期間對企業發起的攻擊,達到了前所未有的水平。這些攻擊的目標主要是高級管理人員和公司其他重要人物。在15個月內,受害者企業用戶數量達到了驚人的15000之多。這些受害者包括全球500強公司、政府機構、金融機構和律師事務所。
◆商業服務網絡釣魚
除了魚叉式網絡釣魚之外,釣魚新陰謀還包括有針對商業服務的釣魚攻擊。比如,利用Yahoo !推出的關系和谷歌的AdWords進行釣魚。據PhishTank報告稱,AdWords用戶會受到一封電子郵件,提醒他們賬戶需要更新。之后,用戶就會被要求登陸一個假冒的AdWords界面并提供信用卡信息。由于很多中小型企業依賴在線廣告來提供網站流量,他們的市場管理者很容易受到釣魚者盯上。
◆利用經濟恫嚇發起釣魚攻擊
當前低迷的經濟形勢,為犯罪分子發起釣魚攻擊提供了便利條件。比如,利用電子郵件假扮成來自某個金融機構需要獲取受害者銀行卡、存貸款等財務信息,以幫助處理企業破產或者合并、收購等事宜。大量的合并和收購信息,讓廣大消費者感到迷茫。更糟糕的是,缺乏統一通信,更是讓欺詐者有恃無恐。
◆混合式釣魚/惡意軟件威脅
為了提高成功率,一些釣魚攻擊會與惡意軟件相結合的方式進行。例如,某個潛在的受害者收到發來釣魚電子賀卡的郵件,通過點擊該賀卡,用戶就會在不知情的條件下進入一個偽造的網站上,并感染網站上自動下載過來的木馬程序。另外,受害者可能會看到一條消息,在查看賀卡的之前需要下載更新軟件(比如Flash)。當用戶該軟件的時候,其實它就是一個鍵盤記錄軟件。
基于釣魚的鍵盤記錄軟件,會跟蹤用戶的每一個上網記錄,并監視其中有用的信息,比如在線購物、銀行卡賬戶和密碼等敏感信息。
另外一種會讓釣魚攻擊者捕獲敏感信息的木馬,則是重定向。重定向會讓用戶進入不是其本意的網站。目前,基于釣魚的鍵盤記錄軟件和重定向正大肆流行。
◆中間人SSL滲透攻擊
2008年,出現了一種新型的可以讓犯罪分子欺騙加密會話的惡意軟件。這種標準的中間人攻擊的變種,可以讓罪犯訪問網絡傳輸上不受保護的密碼和其他敏感信息。
◆短信和手機網絡釣魚詐騙
釣魚攻擊者可能會使用短信來取代電子郵件,以冒充某個金融機構并獲得機密賬戶信息。被稱為smishing(通過短消息的網絡釣魚攻擊),屬于一種典型的手機詐騙,它會通知用戶銀行賬戶失密或者銀行卡被停用,并要求撥打某個電話來恢復銀行服務。手機用戶一旦登陸網站或者通過自動電話系統,就會被騙取透露銀行財務信息和PIN號碼。
三、釣魚對業務的影響
雖然金融行業一直以來都是釣魚攻擊者的主要目標,但是它并不是遭受釣魚攻擊的唯一目標。在線支付、捐贈網站、零售和社交網站也經常成為釣魚者的獵物。反釣魚工作組(APWG)報告說,針對手機提供商和制造商的釣魚攻擊也呈極具增長的態勢。換句話說,沒有哪個行業或者領域能夠逃離危險不受攻擊。
冒充某個公司的官方網站進行釣魚攻擊,會嚴重損害公司的品牌形象,并挫傷用戶的信任,使得用戶不敢輕易登陸官方網站。除此之外,公司還會受到如下影響:
◆受客戶信任影響,在線收入和點擊率都將下降
◆客戶數據一旦被泄露,公司要承擔賠償
釣魚攻擊還會導致用戶不敢輕易進行在線交易,尤其是對他們不信任的人而言。
四、防范釣魚攻擊
雖然沒有一勞永逸的方法來對付釣魚攻擊,但是,還是可以利用一些技術來保護你的用戶和你的利益。當前的釣魚技術,主要還是依賴于誘使用戶登陸偽造網站獲取用戶信息。諸如SSL、EVSSL等技術在防范釣魚和其他形式的網絡犯罪方面,還是起著至關重要的作用。
實現安全的最佳做法就是,開啟最高級別的加密和認證措施。SSL,Web安全的世界級標準,它可以對利用HTTS協議傳輸信息進行加密保護。當前的絕大部分操作系統、Web瀏覽器、Internet應用程序和服務器硬件都內置有對SSL的支持。
為了幫助有效防止釣魚攻擊,并增強用戶信任,公司也需要一種可以向用戶證明其為合法網站的方法。EV SSL證書可以幫助企業實現這一目的。它是全球領先的數字證書頒發機構和主流的瀏覽器開發商共同制定的一個新的SSL證書嚴格身份驗證標準,讓新一代安全瀏覽器(如:IE7)能識別出 EV SSL 而在地址欄顯示為綠色,讓普通消費者能確信正在訪問的網站就是通過權威第三方嚴格身份驗證的現實世界的真實實體,從而增強消費者信心,促成更多在線交易。
【編輯推薦】
