釣魚攻擊是一種企圖從電子通訊中，通過偽裝成信譽(yù)卓著的法人媒體以獲得如用戶名、密碼和信用卡明細(xì)等個(gè)人敏感信息的犯罪詐騙過程。這些通信都聲稱（自己）來自社交網(wǎng)站拍賣網(wǎng)站\網(wǎng)絡(luò)銀行、電子支付網(wǎng)站\或網(wǎng)絡(luò)管理者,以此來誘騙受害人的輕信。網(wǎng)釣通常是通過e-mail或者即時(shí)通訊進(jìn)行。它常常導(dǎo)引用戶到URL與界面外觀與真正網(wǎng)站幾無二致的假冒網(wǎng)站輸入個(gè)人數(shù)據(jù).就算使用強(qiáng)式加密的SSL服務(wù)器認(rèn)證，要偵測(cè)網(wǎng)站是否仿冒實(shí)際上仍很困難。網(wǎng)釣技術(shù)早在在1987年，以論文與簡(jiǎn)報(bào)的方式描述交付給Interex系統(tǒng)下的國際惠普用戶組。

網(wǎng)絡(luò)釣魚的發(fā)展[ ]

早期在AOL的網(wǎng)釣[ ]

網(wǎng)釣者可能喬裝成AOL的工作人員，并對(duì)可能的受害者發(fā)送即時(shí)通訊，詢問此人揭露其密碼，為了引誘受害者讓出其個(gè)人敏感數(shù)據(jù)，通信內(nèi)容不可避免的有類似“確認(rèn)您的帳號(hào)”(verify your account)或者“核對(duì)您的帳單地址”(confirm billing information)。一旦發(fā)現(xiàn)受害人的密碼，攻擊者可以獲取并利用受害人的帳戶進(jìn)行詐欺之用或發(fā)送垃圾郵件，網(wǎng)釣和 warez 兩者在AOL一般需要自行開發(fā)應(yīng)用程序。

從AOL到金融機(jī)構(gòu)的轉(zhuǎn)型[ ]

捕獲的AOL帳戶信息可能導(dǎo)致網(wǎng)釣攻擊者濫用信用卡信息，而且這些黑客認(rèn)識(shí)到，攻擊的在線支付系統(tǒng)是可行的。第一次已知直接嘗試對(duì)付支付系統(tǒng)的攻擊是在2001年，影響系統(tǒng)為E-gold，該事件發(fā)生后緊跟在九一一襲擊事件之后不久的“后911身分檢查”。 當(dāng)時(shí)的這兩個(gè)攻擊都被視為失敗之作，不過現(xiàn)在可將它們看作是對(duì)付油水更多主流銀行的早期實(shí)驗(yàn)。

近來網(wǎng)釣的攻擊[ ]

網(wǎng)釣者目標(biāo)是針對(duì)銀行和在線支付服務(wù)的客戶，理應(yīng)來自于美國國內(nèi)稅收服務(wù)(Internal Revenue service)電子郵件，已被用來收集來自美國納稅人的敏感數(shù)據(jù)，雖然第一次這樣的例子被不分青皂白的寄送，其目的是期望某些收到的客戶會(huì)泄漏其銀行或者服務(wù)數(shù)據(jù)，而最近的研究表明網(wǎng)釣攻擊可能會(huì)基本上確定潛在受害者會(huì)使用哪些銀行，并根據(jù)結(jié)果遞送假冒電子郵件，有針對(duì)性的網(wǎng)釣版本已被稱為魚叉網(wǎng)釣。

網(wǎng)絡(luò)釣魚技術(shù)[ ]

鏈接操控[ ]

• 大多數(shù)的網(wǎng)釣方法使用某種形式的技術(shù)欺騙，旨在使一個(gè)位于一封電子郵件中的鏈接（和其連到的欺騙性網(wǎng)站）似乎屬于真正合法的組織。拼寫錯(cuò)誤的網(wǎng)址或使用子網(wǎng)域是網(wǎng)釣所使用的常見手段。子網(wǎng)域;實(shí)際上這個(gè)網(wǎng)址指向了“示例”網(wǎng)站的“您的銀行”（即網(wǎng)釣）子網(wǎng)域。另一種常見的伎倆是使錨文本鏈接似乎是合法的，實(shí)際上鏈接導(dǎo)引到網(wǎng)釣攻擊站點(diǎn)。
• 另一種老方法是使用含有 '@' 符號(hào)的欺騙鏈接。原本這是用來作為一種包括用戶名和密碼（與標(biāo)準(zhǔn)對(duì)比）的自動(dòng)登入方式。例如，可能欺騙偶然造訪的網(wǎng)民，讓他認(rèn)為這將打開上的一個(gè)網(wǎng)頁，而它實(shí)際上導(dǎo)引瀏覽器指向上的某頁，以用戶名該頁面會(huì)正常開啟，不管給定的用戶名為何。這種網(wǎng)址在Internet Explorer中被禁用，而Mozilla Firefox與Opera會(huì)顯示警告消息，并讓用戶選擇繼續(xù)到該站瀏覽或取消。
• 還有一個(gè)已發(fā)現(xiàn)的問題在網(wǎng)頁瀏覽器如何處理國際域名（International Domain Names，下稱IDN），這可能使外觀相同的網(wǎng)址，連到不同的、可能是惡意的網(wǎng)站上。盡管人盡皆知該稱之為的IDN欺騙 或者同形異義字攻擊的漏洞，網(wǎng)釣者冒著類似的風(fēng)險(xiǎn)利用信譽(yù)良好網(wǎng)站上的網(wǎng)域名稱轉(zhuǎn)址服務(wù)來掩飾其惡意網(wǎng)址。

網(wǎng)站偽造[ ]

• 一旦受害者訪問網(wǎng)釣網(wǎng)站，欺騙并沒有到此退出。一些網(wǎng)釣詐騙使用JavaScript命令以改變地址欄，這由放一個(gè)合法網(wǎng)址的地址欄圖片以蓋住地址欄，或者關(guān)閉原來的地址欄并重開一個(gè)新的合法的URL達(dá)成。攻擊者甚至可以利用在信譽(yù)卓著網(wǎng)站自己的腳本漏洞對(duì)付受害者。這一類型攻擊（也稱為跨網(wǎng)站腳本）的問題尤其特別嚴(yán)重，因?yàn)樗鼈儗?dǎo)引用戶直接在他們自己的銀行或服務(wù)的網(wǎng)頁登入，在這里從網(wǎng)絡(luò)地址到安全證書的一切似乎是正確的。而實(shí)際上，鏈接到該網(wǎng)站是經(jīng)過擺弄來進(jìn)行攻擊，但它沒有專業(yè)知識(shí)要發(fā)現(xiàn)是非常困難的。這樣的漏洞于2006年曾被用來對(duì)付PayPal。
• 還有一種由RSA信息安全公司發(fā)現(xiàn)的萬用中間人網(wǎng)釣包，它提供了一個(gè)簡(jiǎn)單易用的界面讓網(wǎng)釣者以令人信服地重制網(wǎng)站，并捕捉用戶進(jìn)入假網(wǎng)站的注冊(cè)表細(xì)節(jié)，為了避免被反網(wǎng)釣技術(shù)掃描到網(wǎng)釣有關(guān)的文本，網(wǎng)釣者已經(jīng)開始利用Flash構(gòu)建網(wǎng)站。 這些看起來很像真正的網(wǎng)站，但把文本隱藏在多媒體對(duì)象中。

電話網(wǎng)釣[ ]

并非所有的網(wǎng)釣攻擊都需要個(gè)假網(wǎng)站，聲稱是從銀行打來的消息告訴用戶撥打某支電話號(hào)碼以解決其銀行帳戶的問題，一旦電話號(hào)碼（網(wǎng)釣者擁有這支電話，并由IP電話服務(wù)提供）被撥通，該系統(tǒng)便提示用戶鍵入他們的賬號(hào)和密碼。話釣(Vishing，得名自英文Voice Phishing，亦即語音網(wǎng)釣）有時(shí)使用假冒來電ID顯示，使外觀類似于來自一個(gè)值得信賴的組織。

反網(wǎng)釣技術(shù)方法[ ]

協(xié)助辨識(shí)合法網(wǎng)站[ ]

• 大多數(shù)網(wǎng)釣盯上的網(wǎng)站都是保全站點(diǎn)，這意味著的SSL強(qiáng)加密用于服務(wù)器身份驗(yàn)證，并用來標(biāo)示在該網(wǎng)站的網(wǎng)址。理論上，利用SSL認(rèn)證來保證網(wǎng)站到用戶端是可能的，并且這個(gè)過去是SSL第二版設(shè)計(jì)要求之一以及能在認(rèn)證后保證保密瀏覽。不過實(shí)際上，這點(diǎn)很容易欺騙。
• 表面上的缺陷是瀏覽器的保全用戶界面(UI) 不足以應(yīng)付今日強(qiáng)大的威脅。通過TLS與證書進(jìn)行保全認(rèn)證有三部分：顯示連接在授權(quán)模式下、顯示使用者連到哪個(gè)站、以及顯示管理機(jī)構(gòu)說它確實(shí)是這個(gè)站點(diǎn)。所有這三個(gè)都需齊備才能授權(quán)，并且需要被/送交用戶確認(rèn)。
• 用戶應(yīng)該確認(rèn)在瀏覽器的網(wǎng)址欄的網(wǎng)域名稱是實(shí)際上他們要訪問的地方，網(wǎng)址可能是過度復(fù)雜而不容易從語法上分析，用戶通常不知道或者不會(huì)鑒別他們想要鏈接的正確網(wǎng)址，故鑒定真?zhèn)闻c否變得無意義，有意義的服務(wù)器認(rèn)證條件是讓服務(wù)器的識(shí)別碼對(duì)用戶有意義。

保全模型基礎(chǔ)漏洞[ ]

• 改進(jìn)保全用戶界面的試驗(yàn)為用戶帶來便利，但是它也暴露了安全模型里的基本缺陷。過去在安全瀏覽中沿用之SSL認(rèn)證失效的根本原因有許多種，它們之間縱橫交錯(cuò)。
• 在威脅之前的保全，由于安全瀏覽發(fā)生在任何威脅出現(xiàn)之前，保全顯示在早期瀏覽器的“房地產(chǎn)戰(zhàn)爭(zhēng)”里被犧牲掉了，網(wǎng)景瀏覽器的原始設(shè)計(jì)有個(gè)站點(diǎn)名稱暨其CA名稱的突出顯示，用戶現(xiàn)在常常習(xí)慣根本不檢查保全信息。

增加密碼注冊(cè)表[ ]

• 最近的一項(xiàng)研究表明僅有少數(shù)用戶在圖像不出現(xiàn)時(shí)不會(huì)鍵入他們的密碼。此外，此功能（像其他形式的雙因素認(rèn)證）對(duì)其他攻擊較脆弱。
• 保全外殼是 一種相關(guān)的技術(shù)，涉及到使用用戶選定的圖片覆蓋上注冊(cè)表窗體作為一種視覺提示以表明該窗體是否合法。然而，不像以網(wǎng)站為主的圖像體系，圖像本身是只在用戶和瀏覽器之間共享，而不是用戶和網(wǎng)站間共享，該體系還依賴于相互認(rèn)證協(xié)議，這使得它更不容易受到來自侵襲只認(rèn)證用戶體系的攻擊。

網(wǎng)路釣魚相關(guān)術(shù)語[ ]

1. 點(diǎn)擊通過綜合癥 瀏覽器對(duì)設(shè)置錯(cuò)誤站點(diǎn)的警告繼續(xù)，它并未被降低等級(jí)，如果證書本身有錯(cuò)(像域名匹配錯(cuò)誤、過期等等)，則瀏覽器一般都會(huì)彈出窗口警告用戶，就是因?yàn)樵O(shè)置錯(cuò)誤太過尋常，用戶學(xué)會(huì)繞過警告。目前，用戶習(xí)慣同樣的忽略所有警告，導(dǎo)致點(diǎn)擊通過綜合癥。真正的中間人攻擊，要避免點(diǎn)擊通過綜合癥是相當(dāng)困難。
2. 缺乏興趣 另一個(gè)潛在因素是缺乏虛擬主機(jī)的支持，具體起因是缺乏對(duì)在傳輸層安全(Transport Layer Security，簡(jiǎn)稱/下稱TLS)網(wǎng)絡(luò)服務(wù)器之服務(wù)器名指示(Server Name Indication，簡(jiǎn)稱/下稱SNI)的支持，以及獲取證書費(fèi)用和不便。結(jié)果是證書使用是太過罕見以至于除了特殊情況外它什么事都不能做。這導(dǎo)因?qū)LS認(rèn)證普遍知識(shí)與資源缺乏，反過來意味著由瀏覽器供營商升級(jí)他們安全性用戶界面的過程將是又慢又死氣沉沉。
3. 橫向聯(lián)系 瀏覽器的安全模型包括許多參與者如：用戶、瀏覽器供營商、開發(fā)商、證書管理機(jī)構(gòu)、審計(jì)員、網(wǎng)絡(luò)服務(wù)器供營商、電子商務(wù)站點(diǎn)、立法者(即FDIC)和安全標(biāo)準(zhǔn)委員會(huì)。介于不同制定安全模型小組間缺乏往來溝通。也就是說，雖然對(duì)認(rèn)證的理解在IETF委員會(huì)協(xié)議水平是很夠深的，這個(gè)信息并不表 示傳達(dá)得到用戶界面小組。網(wǎng)絡(luò)服務(wù)器供應(yīng)商并不會(huì)優(yōu)先修正服務(wù)器名指示(TLS/SNI)：它們不把這個(gè)問題當(dāng)成保全修正，反而視其為新功能而推遲。實(shí)際上，所有的參與者碰到網(wǎng)釣出事時(shí)皆諉過給其他參與者，因此自我本身不會(huì)被排上優(yōu)先修正行列。
4. 標(biāo)準(zhǔn)高壓封鎖 供營商對(duì)標(biāo)準(zhǔn)負(fù)責(zé)，導(dǎo)致當(dāng)談到安全時(shí)就是談?wù)撈渫獍慕Y(jié)果。雖然有許多安全性用戶界面的改進(jìn)，當(dāng)中有有許多好的實(shí)驗(yàn)，因?yàn)樗麄儾皇菢?biāo)準(zhǔn)，或者與標(biāo)準(zhǔn)間相抵觸而未被采用。威脅模型可能在一個(gè)月內(nèi)自我更新;安全標(biāo)準(zhǔn)調(diào)整需要大約10年。
5. CA模型 瀏覽器供營商使用的CA控制機(jī)制本質(zhì)上并沒有更新，而威脅模型卻常常翻修，對(duì)CA品質(zhì)控管過程不足以對(duì)保護(hù)用戶量身訂做、以及針對(duì)實(shí)際與當(dāng)前的威脅做出因應(yīng)，在更新途中審計(jì)過程是迫切需要的，最近EV指南較詳細(xì)地提供了當(dāng)前模型，并且建立了一個(gè)好基準(zhǔn)，但是并沒有推動(dòng)任何本質(zhì)上急需進(jìn)行的改變。

相關(guān)條目[ ]

• 釣魚網(wǎng)站
• 網(wǎng)絡(luò)釣魚
• 蠕蟲病毒

參考來源[ ]

• http://baike.baidu.com/view/598592.htm
• http://alert.rising.com.cn/virus/help/virus_class8.htm