釣魚式攻擊

釣魚式攻擊

釣魚式攻擊是一種企圖從電子通訊中,通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐欺過程。這些通信都聲稱(自己)來自社交網站拍賣網站\網路銀行、電子支付網站\或網路管理者,以此來誘騙受害人的輕信。網釣通常是通過e-mail或者即時通訊進行。它常常導引用戶到URL與界面外觀與真正網站幾無二致的假冒網站輸入個人數據。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。

歷史與現狀

網釣技術早在在1987年,以論文與簡報的方式描述交付給 Interex 系統下的國際惠普用戶組。第一次提到“網釣”這個術語是在1996年1月2日於 alt.online-service.America-online Usenet 新聞組,雖然該術語可能在黑客雜誌2600書面版本上更早出現。

早期網釣

美國線上(AOL)的網釣與交換盜版軟體的 warez 社群密切相關。自從AOL於1995年底採取手段防止利用算法產生的偽造信用卡號來開立帳號後,AOL破解者便訴諸網釣以取得合法帳號。

網釣者可能喬裝成AOL的工作人員,並對可能的受害者傳送即時通訊,詢問此人揭露其密碼。為 了引誘受害者讓出其個人敏感數據,通信內容不可避免的有類似“確認您的帳號”(verify your account)或者“核對您的帳單地址”(confirm billing information)。一旦發現受害人的密碼,攻擊者可以獲取並利用受害人的帳戶進行詐欺之用或傳送垃圾郵件。網釣和 warez 兩者在AOL一般需要自行開發應用程式,像AOHell即 是一例。由於在AOL上網釣變得如此普遍,該公司在其所有即時通訊上加了一行聲明:“不會有任何AOL員工會詢問您的密碼或者帳單信息。(No one working at AOL will ask for your password or billing information)”。

1997年年後,AOL 注意到網釣與 Warez 並更加緊縮其政策施行,以強迫盜版軟體與AOL伺服器絕緣。AOL另一方面開發一種可迅速停用與網釣掛勾帳號的系統,這常常在受害人可回應之前就達成了。 在AOL的warez後台關閉導致大部分網釣者離開該服務,許多網釣者 — 通常是年輕十幾歲的青少年 — 長大後就戒除了這種壞習慣 。

AOL轉型

捕獲的AOL帳戶信息可能導致網釣攻擊者濫用信用卡信息,而且這些黑客認識到,攻擊的線上支付系統是可行的。第一次已知直接嘗試對付支付系統的攻擊是在2001年6月,影響系統為E-gold,該事件發生後緊跟在九一一襲擊事件之後不久的“後911身分檢查”。 當時的這兩個攻擊都被視為失敗之作,不過現在可將它們看作是對付油水更多主流銀行的早期實驗。到了2004年,網釣被認為是經濟犯罪完全工業化的一部分:專業化在全球市場出現,它提供了找錢的基本組件,而這組件被拼裝成最後完美的攻擊。

網釣攻擊

網釣報告的圖表顯示網釣有增加的趨勢 網釣報告的圖表顯示網釣有增加的趨勢

網釣者目標是針對銀行和線上支付服務的客戶。理應來自於美國國內稅收服務(Internal Revenue service)電子郵件,已被用來收集來自美國納稅人的敏感數據。雖然第一次這樣的例子被不分青皂白的寄送,其目的是期望某些收到的客戶會泄漏其銀行或者服務數據,而最近的研究表明網釣攻擊可能會基本上確定潛在受害者會使用哪些銀行,並根據結果遞送假冒電子郵件。有針對性的網釣版本已被稱為魚叉網釣(spear phishing)。最近幾個網釣攻擊已經具體指向高層管理人員,以及其他企業大戶,而術語“鯨釣”(whaling)一辭被創造出來描述這類型的攻擊。

社交網站是網釣攻擊的目標,因為在這些網站的個人數據明細可以用於身份盜竊;2006年年底一個計算機蠕蟲接管MySpace上的網頁,並修改連結以導引該網站的網民到設計好竊取註冊表信息的網站。實驗表明,針對社交網站的網釣成功率超過70%。

幾乎有一半的網釣竊賊於2006年被確認是通過位於聖彼得堡的俄羅斯商業網路集團所操控 。

術語

點擊通過綜合症

然而,瀏覽器對設定錯誤站點的警告繼續,它並未被降低等級。如果證書本身有錯(像域名匹配錯誤、過期等等),則瀏覽器一般都會彈出視窗警告用戶。就是因為設定錯誤太過尋常,用戶學會繞過警告。目前,用戶習慣同樣的忽略所有警告,導致點擊通過綜合症。例如, Firefox 3 有個點擊4次以加入例外網站的程式,但是研究顯示老練的用戶會忽略有中間人攻擊(Man-In-The-Middle,簡稱MITM) 的真正情況。即使在今天,因為絕大多數的警告是錯誤設定而非真正的中間人攻擊,要避免點擊通過綜合症是相當困難。

缺乏興趣

另一個潛在因素是缺乏虛擬主機的支持。具體起因是缺乏對在傳輸層安全(Transport Layer Security,簡稱/下稱TLS)網路伺服器之伺服器名指示(Server Name Indication,簡稱/下稱SNI)的支持,以及獲取證書費用和不便。結果是證書使用是太過罕見以至於除了特殊情況外它什麼事都不能做。這導因對TLS認證普遍知識與資源缺乏,反過來意味著由瀏覽器供營商升級他們安全性用戶界面的過程將是又慢又死氣沉沉。

橫向聯繫

瀏覽器的安全模型包括許多參與者如:用戶、瀏覽器供營商、開發商、證書管理機構、審計員、網路伺服器供營商、電子商務站 點、立法者(即 FDIC)和安全標準委員會。介於不同制定安全模型小組間缺乏往來溝通。也就是說,雖然對認證的理解在IETF委員會協定水平是很夠深的,這個信息並不表 示傳達得到用戶界面小組。網路伺服器供應商並不會優先修正伺服器名指示(TLS/SNI):它們不把這個問題當成保全修正,反而視其為新功能而推遲。實際上,所有的參與者碰到網釣出事時皆諉過給其他參與者,因此自我本身不會被排上優先修正行列。

這事務隨著一個包含瀏覽器供應商、審計員、以及證書管理機構的團體: CAB 論壇推出有了一點改善。但是該團體並不是以開放的態度開始,因此導致其結果受到主要大戶商業利益的影響,而且缺乏對所有參與者平等對待。即使在今天, CAB 論壇並不開放,而且它不為小型證書管理機構、終端用戶、電子商務站主等等弱勢族群喉舌。

標準高壓封鎖

供營商對標準負責,導致當談到安全時就是談論其外包的結果。雖然有許多安全性用戶界面的改進,當中有有許多好的實驗,因為他們不是標準,或者與標準間相牴觸而未被採用。威脅模型可能在一個月內自我更新;安全標準調整需要大約10年。

令人敬畏的CA模型

瀏覽器供營商使用的 CA 控制機制本質上並沒有更新;而威脅模型卻常常翻修。對 CA 品質控管過程不足以對保護用戶量身訂做、以及針對實際與當前的威脅做出因應。在更新途中審計過程是迫切需要的。最近 EV 指南較詳細地提供了當前模型,並且建立了一個好基準,但是並沒有推動任何本質上急需進行的改變 。

網釣技術

連結操控

大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的連結(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或 使用子網域是網釣所使用的常見伎倆。在下面的網址例子裡,http://www.您的銀行.範例.com/,網址似乎將帶您到“您的銀行”網站的“示例” 子網域;實際上這個網址指向了“示例”網站的“您的銀行”(即網釣)子網域。另一種常見的伎倆是使錨文本連結似乎是合法的,實際上連結導引到網釣攻擊站點。

另一種老方法是使用含有 '@' 符號的欺騙連結。原本這是用來作為一種包括用戶名和密碼(與標準對比)的自動登入方式。例如,可能欺騙偶然造訪的網民,讓他認為這將打開上的一個網頁,而它實際上導引瀏覽器指向上的某頁,以用戶名該頁面會正常開啟,不管給定的用戶名為何。這種網址在 Internet Explorer 中被禁用,而 Mozilla Firefox 與 Opera 會顯示警告訊息,並讓用戶選擇繼續到該站瀏覽或取消。

還有一個已發現的問題在網頁瀏覽器如何處理國際化域名 (International Domain Names,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。儘管人盡皆知該稱之為的IDN欺騙 或者同形異義字攻擊的漏洞,網釣者冒著類似的風險利用信譽良好網站上的網域名稱轉址服務來掩飾其惡意網址 。

過濾器規避

網釣者使用圖像代替文本,使反網釣過濾器更難偵測網釣電子郵件中常用的文本。

網站偽造

一旦受害者訪問網釣網站,欺騙並沒有到此退出。一些網釣詐欺使用 JavaScript 命令以改變地址欄。這由放一個合法網址的地址欄圖片以蓋住地址欄,或者關閉原來的地址欄並重開一個新的合法的URL達成。

攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站腳本)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這裡從網路地址到安全證書的一切似乎是正確的。而實際上,連結到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞於2006年曾被用來對付PayPal。

還有一種由RSA信息安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的界面讓網釣者以令人信服地重製網站,並捕捉用戶進入假網站的註冊表細節。

為了避免被反網釣技術掃描到網釣有關的文本,網釣者已經開始利用 Flash 構建網站。 這些看起來很像真正的網站,但把文本隱藏在多媒體對象中。

電話網釣

並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文 Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織 。

熱點網釣

網路黑客在公共場所設定一個假Wi-Fi熱點,引人來連線上網,一旦用戶用個人電腦或手機,登錄了黑客設定的假Wi-Fi熱點,那么個人數據和所有隱私,都會因此落入黑客手中。你在網路上的一舉一動,完全逃不出黑客的眼睛,更惡劣的黑客,還會在別人的電腦里安裝間諜軟體,如影隨形。

隱蔽漏洞

2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的"隱蔽重定向漏洞"(英語:Covert Redirect)。

攻擊者創建一個使用真實站點地址的彈出式登錄視窗——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。

黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站連結引誘用戶登錄釣魚網站,壹旦用戶訪問釣魚網站並成功登入授權,黑客即可讀取其在網站上存儲的私密信息。

網釣例子

PayPal

一個 PayPal 網釣郵件的抓圖 一個 PayPal 網釣郵件的抓圖

在 PayPal 網釣示例里(見右),電子郵件里的拼寫錯誤以及非 PayPal 網域連結的存在(顯示在狀態欄紅 色框裡)都是線索,指出這是一個網釣的企圖。另一種網釣法是無個人問候的贈品,儘管顯示的個人數據並不保證其正當性。一個合法的PayPal通信總是以用 戶的真實姓名問候,而非一個普通的問候如: “敬啟者”、“親愛的用戶”(Dear Accountholder)。其他的信息欺詐的跡象像是簡單不過的字拼寫錯誤、文法拙劣、以及威脅收信人若不遵照信息指示辦理的話會遭帳號停用的處分。

請注意,許多網路網釣電子郵件會如同來自PayPal的一封真正的電子郵件般包括一則永不將您的密碼泄漏以防網釣攻擊的重大警告。這些警告用戶網釣 攻擊的可能性,並提供連結到說明如何避免或辨識此種攻擊的網站的種種,是使得該網釣電子郵件如此虛偽以便欺騙。在這個例子裡,網釣電子郵件警告用 戶,PayPal絕對不會要求您提供敏感信息。該信件言而有信不問您敏感信息,反而邀請用戶點擊一個連結,以“確認”其帳戶;這一步將導引這些受害人進一 步造訪網釣網站,其設計看起來與PayPal網站很像。而在那裡會問這些受害人的個人機密信息。

RapidShare

在RapidShare的網頁主機,網釣是相當尋常以獲得高級帳號手段,從而移除下載速度限制、上傳自動刪除、下載前等候、以及下載間的時間間隔。

網釣者使用在warez站張貼到檔案的連結以獲得RapidShare高級帳戶。然而,利用連結別名工具如TinyURL, 他們可以偽裝成實際上真正網頁暫存在別的地方的網址,而這網頁與RapidShare的“免費用戶或高級用戶 (free user or premium user)”頁看來很像。如果受害人選擇免費用戶,網釣者只是將它們傳遞給真正的RapidShare網站。但是,如果他們選擇的高級帳戶,那么網釣網站 的將在他們進行下載之前登記其登入信息。到此階段,網釣者已從受害者偷走了高級帳戶信息。

釣來的RapidShare帳戶通常拿來轉賣,售價比RapidShare的高級帳戶便宜。

鑑別一個RapidShare網釣網頁的最簡單方式是使用 Mozilla Firefox,右擊別名頁,並選擇“This Frame” > “Show only this frame”。這將揭露真正的網頁,您可以看到網址不是.

損失

網釣所造成的損害範圍從拒絕訪問電子郵件到巨大財務損失都有。這種形式的身份盜竊正在普及,因為給信任的人方便往往泄露個人信息給網釣者,這些信息包括信用卡號碼、社會安全號碼 (美國)、身分證號碼 (台灣)、和母親婚前姓名。也有人擔心身份竊賊僅僅通過訪問公開紀錄就可以添加此類信息到它們取得的知識庫中。一旦這信息被取得了,網釣者可能會利用個人數據明細以受害者姓名創造假帳號。然後他們可以毀掉受害者的信用,或者甚至讓受害人無法訪問自己的帳戶。

據估計,從2004年5月和2005年5月,大約120萬計算機用戶在美國遭受網釣所造成的損失,總計約92900萬美元。隨著為美國企業的客戶成為受害者,該國企業估計每年損失20億美元。 2007年網釣攻擊升級。截至2007年8月前在美國360萬成年人於12個月內失去32億美元。在英國,網路銀行詐欺的損失 — 大多來自網釣 — 幾乎增加了一倍從2004年1220萬英鎊到2005年2320英鎊,而在2005年,每20個計算機用戶中就有一個聲稱因網釣造成的財務損失。

英國銀行機構APACS採取的立場是:“客戶還必須採取合理的預防措施... ,如此對罪犯而言他們才不會好欺負。”同樣,2006年9月當第一次大量的網釣攻擊登入愛爾蘭銀行業界時,愛爾蘭銀行起初拒絕補償客戶所遭受的損失(而且它仍然堅持認為,它的政策不應如此),雖然會補償損失的金額上限定調為1萬1300英鎊還算不錯。

社會迴響

打擊網釣攻擊有許多不同的技術,包括設立專門的技術和立法以防範網釣。

打擊網釣的策略之一,是試著培養人們辨識網釣,並教導怎樣處理這些問題。教育可以是有效的,尤其是訓練提供直接的回饋。一個被稱為叉網釣 — 利用網路網釣電子郵件針對特定的公司 — 的較新網釣手法,已被用來迷惑在社會各個角落的人士,包括西點軍校。 在2004年6月叉網釣的一次實驗中,收到假電子郵件的500名西點軍校學員中有80%被騙並泄露個人信息。

人們可以採取措施以避免網釣的企圖,以稍稍修改其瀏覽習慣的方式。當接觸某要求您“核對身分”(或任何其他網釣所使用的信件要旨)的信件或帳號時, 明智之舉是與該信件明顯來源公司聯絡以檢查該電子郵件是否合法。另外,個人所知道地址是該公司的真正的網站,可通過在瀏覽器網址欄輸入拜訪,而不是盲目相 信任何涉嫌詐欺郵件里的超級連結。

幾乎所有從公司到其客戶的合法電子郵件都起碼包含一項信息是網釣者手頭沒有的。有些公司,例如 PayPal,總是在其電子郵件中以客戶使用者名稱稱呼其客戶,依此類推,如果一封電郵的收件人是以通用格式稱呼(如 “親愛的 PayPal 客戶” )很可能是企圖在網釣。從銀行和信用卡公司來的電子郵件往往包括賬戶號碼的部分。然而,最近的研究顯 示,大眾通常不區分帳號頭幾個數字和尾幾個數字,這是一個很嚴重的問題,因為頭幾個數字通常一個金融機構的所有客戶都相同。人們可以接受訓練來當如果郵件 不包含任何具體的個人信息時提高他們的懷疑。不過,在2006年年初,網釣企圖利用個人化的信息,這使得列明個人信息保證郵件是合法的假設不安全。 此外,另一項最近的研究報告推斷列明個人信息並不顯著的影響網釣攻擊的成功率,這表明大多數人並不注意這些細節。

一個行業和執法機構組成的反網釣工作組(Anti-Phishing Working Group,簡稱APWG)建議,隨著人們越來越認識到網釣者所使用的社會工程學伎倆,傳統的網釣欺詐技術可能在未來過時。他們預測,網址嫁接和其他利用流氓軟體將變成竊取信息的常見工具 。

技術對策

反網釣措施已經實現將其功能內嵌於瀏覽器,作為瀏覽器的擴展或工具列,以及網站的註冊表程式的一部分。下面是一些解決問題的主要方法。

協助辨識

大多數網釣盯上的網站都是保全站點,這意味著的SSL強加密用於伺服器身份驗證,並用來標示在該網站的網址。理論上,利用SSL認證來保證網站到用戶端是可能的,並且這個過去是SSL第二版設計要求之一以及能在認證後保證保密瀏覽。不過實際上,這點很容易欺騙。

表面上的缺陷是瀏覽器的保全用戶界面 (UI) 不足以應付今日強大的威脅。通過TLS與證書進行保全認證有三部分:顯示連線在授權模式下、顯示使用者連到哪個站、以及顯示管理機構說它確實是這個站點。所有這三個都需齊備才能授權,並且需要被/送交用戶確認。

安全連線:從1990年代中期到2000年代中期安全瀏覽的標準顯示是個鎖頭,而這很容易被用戶忽略。Mozilla於2005年使 用黃底的網址欄使得安全連線較容易辨認。不幸的是,這個發明後來被撤銷,導因於EV證書:它代以對某些高價的證書顯示綠色,而其他的證書顯示藍色 (譯按:Mozilla Firefox 3.x版非EV證書的安全瀏覽網站皆顯示藍色)。

哪個站:用戶應該確認在瀏覽器的網址欄的網域名稱是實際上他們要訪問的地方。網址可能是過度複雜而不容易從語法上分析。用戶通常不知道或者不會鑑別他們想要連結的正確網址,故鑑定真偽與否變得無意義。有 意義的伺服器認證條件是讓伺服器的識別碼對用戶有意義;而許多電子商務網站變更其網域名成為他們整體網站組合的其中之一 (譯按:極端例子像 化妝零售部A.百貨B.行銷公司C.電視台這樣子網域的架構),這種手段讓困惑的機率增大。而一些反網釣工具條僅顯示訪問過網站域名的做法是不夠的。

另一種替代方法是 Firefox 的 寵物名(petname) 附加元件,這讓用戶鍵入他們自己的網站標籤,因此他們可以在以後再度造訪該站時認出。如果站點沒有被認出,則軟體會警告用戶或徹底阻攔該站點。這代表了以用戶為中心的伺服器身份管理。某些人建議用戶選定的圖像會比寵物名效果要好。

隨著 EV 證書的出現,瀏覽器一般以綠底白字顯示機構名稱,這讓用戶更加容易辨識並且與用戶期望一致。不幸的是,瀏覽器供應商選擇僅限定EV證書可獨享這突出的顯示,其他種證書就留待用戶自己自求多福了。

誰是管理機構:瀏覽器需要指出用戶要求連到對象的管理機構是誰。在保全等級最低的階段,不指名管理機構,因此就用戶而言瀏覽器就是管理機構。瀏覽器供應商通過控制可接受的授權證書(Certification Authorities,簡稱/下稱 CA)根名單來承擔這個責任。這是目前的標準做法。

這裡的問題是不管瀏覽器供營商如何企圖控制質量,市面上 CA 品質良莠不齊亦不實施檢查。亦不是所有簽署 CA 的公司行號取得該證書僅是為了認證電子商務組織的同一個模型和概念而已。製造證書(Certificate Manufacturing) 是頒給只用來遞送信用卡與電子郵件送達確認的低交易額證書;這兩者的用途都容易受到詐欺罪犯的扭曲。由此引申,一個高交易額的網站可能容易受到另一個可提 供的 CA 認證矇混。這種情況可能會在 CA 位於世界的另一端,並且對高交易額電子商務站不熟悉,或者用戶根本就不關心這件事。因為 CA 只負責保障它自己的客戶,並不會管其他 CA 的客戶,故這個漏洞在該模型是根深蒂固的。

對此漏洞的解決方案是瀏覽器應該顯示,並且用戶應該熟悉管理機構之名。這把 CA 當作是種品牌體現,並且讓用戶知悉在其所在國家和區段之內可聯絡到少數幾個 CA。品牌的使用亦對 CA 供應商至關重要,藉此刺激它們改進證書的審核:因為用戶將知悉品牌差異並要求高交易額站點具備周延的檢查。

本解決方案首度於早期 IE7 版本上實現。在當其顯示 EV 證書時,發布的 CA 會被顯示在網址區域。然而這只是個孤立的案例。CA 烙上瀏覽器面板仍存在阻力,導致只有上面所提最低最簡單的保全等級可選:瀏覽器是用戶交易的管理機構。

目前全球通過最高級別的SSL證書來有效防範釣魚攻擊,通過全球可信的CA(GlobalSign)給網站頒發EVSSL證書,激活瀏覽器綠色地址欄,實行256位安全加密,保證客戶和網站之間的通信不被竊聽,並醒目的表明網站自己經過認證之後的身份。

基礎漏洞

改進保全用戶界面的試驗為用戶帶來便利,但是它也暴露了安全模型里的基本缺陷。過去在安全瀏覽中沿用之SSL認證失效的根本原因有許多種,它們之間縱橫交錯。

在威脅之前的保全:由於安全瀏覽發生在任何威脅出現之前,保全顯示在早期瀏覽器的“房地產戰爭”里被犧牲掉了。網景瀏覽器的原始設計有個站點名稱暨其 CA 名稱的突出顯示。用戶現在常常習慣根本不檢查保全信息。

瀏覽器提醒

還有一種打擊網釣的流行作法是保持一份已知的網釣網站名單,並隨時更新。微軟的IE7的瀏覽器、Mozilla Firefox 2.0、和 Opera都包含這種類型的反網釣措施。 Firefox 2中使用 Google 反網釣軟體。Opera 9.1 使用來自 PhishTank 和 GeoTrust的黑名單,以及即時來自 GeoTrust 的白名單。這個辦法的某些軟體實現會傳送訪問過的網址到中央伺服器以供檢查,這種方式引起了個人隱私的關注。據 Mozilla 基金會在2006年年底報告援引一項由某獨立軟體測試公司的研究指出, Firefox 2 被認為比 Internet Explorer 7 發現詐欺性網站更為有效。

在2006年年中一種方法被倡議實施。該方法涉及切換到一種特殊的DNS服務,篩選掉已知的網釣網域:這將與任何瀏覽器兼容,而且它使用類似利用Hosts檔案來阻止網路廣告的原理來達成目標。

為了減輕網釣網站通過內嵌受害人網站的圖像(如商標)藉以冒充的問題,一些網站站主改變了圖像傳送訊息給訪客,某個網站可能是騙人的。圖像可能移動成新的檔名並且原來的被永久取代,或者一台伺服器能偵測到的某圖像在正常瀏覽情況下是不會被請求到,進而送出警告的圖像 。

密碼註冊表

美國銀行的網站是眾多要求用戶選擇的個人圖像、並在任何要求輸入密碼的場合顯示該用戶選定圖片的網站之一。該銀行線上服務的用戶被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而,最近的一項研究表明僅有少數用戶在圖像不出現時不會鍵入他們的密碼。此外,此功能(像其他形式的雙因素認證)對其他攻擊較脆弱,如2005年年底斯堪的納維亞諾爾迪亞銀行案,與2006年的花旗銀行案。

保全外殼是 一種相關的技術,涉及到使用用戶選定的圖片覆蓋上註冊表窗體作為一種視覺提示以表明該窗體是否合法。然而,不像以網站為主的圖像體系,圖像本身是只在用戶 和瀏覽器之間共享,而不是用戶和網站間共享。該體系還依賴於相互認證協定,這使得它更不容易受到來自侵襲只認證用戶體系的攻擊。

消除網釣郵件

專門的垃圾郵件過濾器可以減少一些網釣電子郵件到達收件人的收件箱。這些方法依賴於機器學習和自然語言處理辦法來分類網釣電子郵件。

監測和移除

有幾家公司提供銀行和其他可能受到網釣詐欺的組織全天候的服務、監測、分析和協助關閉網釣網站。個人可以通過檢舉網釣到志願者和產業集團,如 PhishTank 以做出貢獻。

法律對策

在2004年1月26日,美國聯邦貿易委員會提交了涉嫌網釣者的第一次起訴。被告是個美國加州少年,據說他設計建造了一個網頁看起來像美國線上網站,並用它來竊取信用卡數據。其他國家援引了這一判例追蹤並逮捕了網釣者。網釣大戶瓦爾迪爾·保羅·迪·阿爾梅達在巴西被捕。他領導一個最大的網釣犯罪幫派,在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。英國當局在2005年6月收押兩名男子以其在一項網釣欺詐活動扮演的腳色,而這宗案子與美國特勤處《防火牆行動》 (Operation Firewall,目標是當時最大最惡名昭彰的信用卡盜竊網站)有關。2006年8人在日本被逮捕,日本警方懷疑他們通過假造雅虎日本網站網釣進行欺詐,保釋賠款1億日元(87萬美元)。2006年美國聯邦調查局逮捕行動繼續,以代號《保卡人行動》 (CardKeeper) 在美國與歐洲扣押了一個16人的幫派。

在美國,參議員派崔克·萊希(Patrick Leahy)在2005年3月1日向美國國會提審2005反網釣法案。這項法案,如果它已成為法律,將向建立虛假網站、傳送虛假電子郵件以詐欺消費者的罪犯求處罰款高達25萬美金並且可監禁長達5年。英國在2006年以2006詐欺法強化了其打擊仿冒欺詐的法律武器,該法案採用一般欺詐罪,可求刑監禁多達10年,並禁止開發或意圖欺詐下擁有網釣軟體包。

許多公司也加入全力打擊網釣的行列。2005年3月31日,微軟向美國華盛頓西部地方法院提交 117 起官司。這起訴訟指控“無名氏”的被告非法取得的密碼信息和機密信息。2005年3月微軟和澳大利亞政府間合作,向執法人員教學如何打擊各種網路犯罪,包括網釣。在2006年3月,微軟宣布計畫進一步在美國境外地區起訴100案件,隨後該公司信守承諾,截至2006年11月之前,共起訴了129件混合刑事和民事行動的犯罪案件。美國線上亦加強其打擊網釣的努力,在2006年早期根據維吉尼亞計算機犯罪法2005年修訂版起訴三起共求償1800萬美元,而 Earthlink 已加入幫助確定6名男子在康乃狄克州的案子,這6名人士稍後被控以網釣欺詐。

2007年1月,傑弗瑞·布雷特·高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第一位依此法被定罪的被告。他被判犯下對美國線上的用戶傳送成千上萬的電子郵件,並喬裝成AOL的會計部門以催促客戶提交個人和 信用卡數據的罪行。面對反垃圾郵件法的101年關押以及其他數十個包括詐欺、未經授權使用信用卡、濫用AOL的商標,這部分他被判處70個月監禁。因為沒 有出席較早的聽證會,高汀已被拘留,並立即開始入監服刑 。

相關詞條

相關搜尋

熱門詞條

聯絡我們