2005 年熱門話題：釣魚式攻擊深入剖析

　2005 年以來，網(wǎng)絡(luò)騙子給網(wǎng)民們制造了不少麻煩，從中國金融安全網(wǎng)到瑞星防病毒網(wǎng)站，幾乎無一例外的提到了“釣魚式攻擊”這個鬧得沸沸揚揚的名詞。自 2004 年以來，“釣魚式攻擊”已經(jīng)給國內(nèi)用戶造成了很大的損失，或信用卡賬號被盜，或銀行賬戶上的存款不翼而 飛 ， 讓 人 防 不 勝 防 ！

　“ 釣 魚 式 攻 擊 ” 的 英 文 名 Phishing 來 源 于 兩 個 詞 ，Phreaking+Fishing=Phishing，其中“Phreaking”的意思是找尋在電話系統(tǒng)內(nèi)漏洞，不付電話費用；“Fishing”是使用魚餌吸引獵物，也就是通常所講的釣魚。古時，子牙垂釣于秦嶺腳下，其意全不在魚；如今，網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)釣魚者垂釣于網(wǎng)絡(luò)中，誘餌千百種，其行為目的很明確，就是以利為目的，盜取銀行的存款或其他機密信息。

　那么，這些網(wǎng)絡(luò)騙局是如何設(shè)置的呢？作為網(wǎng)絡(luò)用戶，又該如何進(jìn)行有效的防范呢？本文將深入剖析其中的原理，并給出有效的防范方案。

　 一、精心營造的網(wǎng)絡(luò)騙局

　為了揭穿這些騙局，更好的保證金融網(wǎng)絡(luò)的安全，我們首先來看看其中的一些典型原理。

　 1、南轅北轍：改寫 URL

　 對于經(jīng)常上網(wǎng)的用戶來說，下面的地址應(yīng)該不陌生：

　 例 1

　http://www.XXXbank.com&item=q209354@www.test.net/pub/mskb/Q209354.asp

　 例 2

　http://www.XXXbank.com@www.google.com/search?hi=zh-CN&ie=UTF-8&oe=UTF-8&q=asp&Ir=

　 在例 1 中，真正的主機是 www.test.net，而“www.XXXbank.com”在這個 URL 中不過是個“掩耳盜鈴”的假用戶名，服務(wù)器會忽略掉。例2中，“www.XXXbank.com”將被視為Google服務(wù)器上的一個用戶名，實際指向后面的頁面。如果這個地址是具有攻擊性或感染了病毒的網(wǎng)頁，后果可想而知。類似的欺騙手法在“釣魚式攻擊”中應(yīng)用的十分普遍。在釣魚式攻擊者制作的網(wǎng)頁中，還存在如下的地址欺騙：

　 （1）域名欺騙。結(jié)合上述十進(jìn)制 IP 地址，就可以通過如下的 URL 來制造更大的迷惑：www.XXXbank.com＠3633633987/這個網(wǎng)址就達(dá)到了以假亂真的地步，它實際指向Redhat 網(wǎng)站，怎么，你還以為是 www.XXXbank.com 嗎？因為很多的網(wǎng)站都把 HTTP 的ScssionID 放在 URL 中，來代替 Cookie 使用，所以用戶并不會十分留意這個 URL 中的數(shù)字值和“＠”字符。

　 （2）IP 地址欺騙。主要是利用一串十進(jìn)制格式，通過不知所云的數(shù)字麻痹用戶，例如 IP 地址 202.106.185.75，將這個 IP 地址換算成十進(jìn)制后就是 3395991883，Ping 這個數(shù)字后，我們會發(fā)現(xiàn)，居然可以 Ping 通，這就是十進(jìn)制 IP 地址的解析，它們是等價的。

　 （3）鏈接文字欺騙。我們知道，鏈接文字本身并不要求與實際網(wǎng)址相同，那么你可不能只看鏈接的文字，而應(yīng)該多注意一下瀏覽器狀態(tài)欄的實際網(wǎng)址了。如果該網(wǎng)頁屏蔽了在狀態(tài)欄提示的實際網(wǎng)址，你還可以在鏈接上按右鍵，查看鏈接的“屬性”。

　 （4）Unicode 編碼欺騙。Unicode 編碼有安全性的漏洞，這種編碼本身也給識別網(wǎng)址

　帶來了不便，面對“％20％30”這樣的天書，很少有人能看出它真正的內(nèi)容。除了 Unicode 編碼外，以上提到的幾種欺騙手段都是可以察覺的，再發(fā)現(xiàn)可疑網(wǎng)址時，用戶就可以用學(xué)到的這些知識先“過濾”一番了。

　 2、攻心戰(zhàn)術(shù)：社會工程學(xué)欺騙

　 熟練的社會工程學(xué)使用者都擅長進(jìn)行信息收集，很多表面上看起來一點用都沒有的信息都會被這些人利用起來進(jìn)行滲透。類似的社會工程學(xué)原理被釣魚式攻擊者巧妙的用在了垃圾郵件的傳遞中。初次看到 accounts@citibank.com 這個地址，Citibank 的顧客肯定不會有什么懷疑。然后就是等“魚”上鉤了。暫且不問信的來路，這是一個做得很好的社會工程學(xué)騙局。發(fā)送者通過合法的偽裝來騙取受害者的信任。

　 騙局是這樣的：“親愛的**用戶，我們注意到您的賬戶信息已經(jīng)過期了，現(xiàn)在需要更新賬戶信息，如果不及時更改將會導(dǎo)致賬戶信息失效”。我們注意到，在郵件的醒目之處有一行信息：“Please click here to update your billing records”，即“請點擊此處更新你的收費記錄 ” 。

　看 上 去 的 地 址 是 http://www.mycitibank.net/ ， 實 際 上 銀 行 地 址 是http://www.mycitibank.net/ 。

　大 家 注 意 到 ， 這 個 網(wǎng) 絡(luò) 釣 魚 攻 擊 者 使 用 的 是http://www.mycitibank.net/，乍一眼看上去很親切，實際上是仿冒了銀行地址。在愉悅的“沖浪”時刻，當(dāng)用戶看到比真實的頁面還要生動的假冒頁面時，可能就會放松警惕性，甚至還會有一種親切感。下面是一個 2005 年 4 月 7 日公布的一個典型的欺騙郵件。如圖 1 所示。

　圖 1

　 用戶輸入數(shù)據(jù)后，還可以通過巧妙的 Javascript 腳本來迷惑用戶。仿冒的站點提供了很多銀行的連接，這樣就給人以可信的感覺，實際上也是一種社會工程學(xué)的暗示。用戶輸入賬號信息后，釣魚者可能就在后面竊喜了，因為，網(wǎng)站早已通過巧妙的腳本設(shè)計，使用戶相信自己的數(shù)據(jù)確實得到了更新。

　 下面是國內(nèi)發(fā)生的一起網(wǎng)絡(luò)釣魚式攻擊案例。某用戶收到一封電子郵件稱：“最近我們發(fā)現(xiàn)您的工商銀行賬號有異常活動，為了保證您的賬戶安全，我行將于 48 小時內(nèi)凍結(jié)您的賬號，如果您希望繼續(xù)使用，請點擊輸入賬號和密碼激活”。郵件落款為：中國工商銀行客戶服務(wù)中心。隨意輸了一個賬號和密碼，竟顯示激活成功。假工商銀行的網(wǎng)站http://www.1cbc.com.cn 網(wǎng)站和真正的工行網(wǎng)站 http://www.Icbc.com.cn，只有“1”和“I”一字之差。如圖 2 所示。

　圖 2

　 隨著騙術(shù)的不斷“修煉”，有的釣魚攻擊者甚至開始仿冒 IE 地址欄，通過一個其他的連接，即使我們打開的網(wǎng)頁確實是 http://www.Icbc.com.cn 這個地址，我們也不能輕易肯定這就是工商銀行的網(wǎng)站，為什么呢？

　 3、MSN 上空的“幽靈”：彈出窗口和偽造表單

　MSN Messenger 是微軟公司推出的即時消息軟件，平臺無縫結(jié)合加上其優(yōu)秀的性能，使 MSN Messenger 擁有了大量的用戶群。如果我們擁有 hotmail 或者 MSN 的郵件賬號，可直接登錄 MSN Messenger 而無需再申請新的賬號了。看看下面的網(wǎng)站技巧，如果點擊郵件中的鏈接，就會被引誘到偽裝成 MSN 站點的假冒網(wǎng)站。假冒網(wǎng)站會顯示一個與 MSN 背景

　類似的彈出窗口，而假冒網(wǎng)站的真實 URL 則被隱藏起來。在它的上面是一個小窗口，看上去與背景天衣無縫的結(jié)合在一起。如圖 3 所示。

　圖 3

　 這個網(wǎng)頁騙局主要是使用彈出窗口，采用的是 JavaScript 的“window.createPopup()”方法。黑客使用 Popup 窗口的原因就是：支持跨窗口，顯示優(yōu)先級高。即使是 Windows XP SP2，一個網(wǎng)頁也允許出現(xiàn)一個由 window.createPopup()建立的彈出窗口。因此就算是 XP SP2 環(huán)境也有可能被欺詐。代碼中，var mytime=setTimeout(“popshow();”,100);表示設(shè)置窗口停留的時間為 100 秒。彈出的窗口沒有地址欄，也沒有可疑的 URL 地址；而且與背景相連，很容易給人造成一種錯覺。用戶輸入相關(guān)數(shù)據(jù)后，網(wǎng)站就會提示如下界面，是真是假，我們就要睜大眼睛看清楚了。

　 在用戶的實際防范中，雖然將活動腳本設(shè)為無效，就不會打開彈出窗口、可以防止上當(dāng)，但這樣會導(dǎo)致多數(shù)網(wǎng)站無法完整顯示畫面，或無法接收服務(wù)。類似的欺騙方法在很多頁面都曾出現(xiàn)過，對于一般用戶來說，一定要分清其來路。較實用的方法是在彈出的頁面上點擊右鍵，選擇“屬性”選項，就可以看到其真實地址。這樣的騙局大多以銀行、電子商務(wù)、重點企業(yè)用戶等站點為仿冒對象，而且方法也很簡單，因而十分常見。

　 了解了上述原理，我們再來看看釣魚式攻擊者所精心制作的表單。當(dāng)這張表單的Submit 按鈕被點擊后，用戶數(shù)據(jù)即可開始傳輸?shù)街付ǖ姆?wù)器。Form 的 action 屬性表示用戶提交表格時所要啟動的相應(yīng)處理程序。METHOD 屬性表示怎樣將數(shù)據(jù)傳送給 WEB 服務(wù)器，一種是 GET 方法（也是缺省方法），它將數(shù)據(jù)附加在 URL 信息上傳送給 WEB 服務(wù)器；另一種是 POST 方法，它將數(shù)據(jù)獨立成塊地傳送給 WEB 服務(wù)器。如果傳送數(shù)據(jù)量大的話，還可以用 POST 方法。為了加強真實性，許多釣魚式攻擊者常在瀏覽器的狀態(tài)欄上顯示：“www.bank.com”，讓人真假難辨。如果將鼠標(biāo)移到 HTML 鏈接，狀態(tài)欄將顯示鏈接目標(biāo)的URL。

　 4、引羊入牢：典型賬戶陷阱分析

　 2005 年 4 月 7 日，國際反釣魚組織公布了一個典型的案例，我們來分析一下其中的“布局”情況。首先，攻擊者發(fā)了一個欺騙的郵件，聲稱：按照年度計劃，用戶的數(shù)據(jù)庫信息需要進(jìn)行例行更新，并給出了一個“To update your account address”連接地址。由于這封 Email來自 SebastianMareygrossness@comcast-support.biz，因此，一般人不會太懷疑。

　不過，細(xì)心的用戶會發(fā)現(xiàn)，表面上地址是 http://comcast-database.biz/，實際上地址是http://66.113.136.225，如圖 4 所示。很明顯，這個攻擊者對 Comcast 這個公司的用戶信息很感興趣，如果能夠得到這些機密信息，他就可以達(dá)到其不可告人的目的！

　圖 4

　現(xiàn)在，不知情的用戶輸入了自己的“User Name”和“Password”，然后，通過表單機制，提交到了下一步。現(xiàn)在的界面還只是一個例行公事，只是要用戶輸入姓名、城市、電話等一般信息。填寫完畢，攻擊者的廬山真面目就露出來了。他現(xiàn)在要用戶填寫的是信用卡信息和Pin 密碼。實際上，在整個布局中，這也是釣魚式攻擊者最用心營造的地方。如圖 5 所示。

　 圖 5

　 4、引羊入牢：典型賬戶陷阱分析

　 2005 年 4 月 7 日，國際反釣魚組織公布了一個典型的案例，我們來分析一下其中的“布局”情況。首先，攻擊者發(fā)了一個欺騙的郵件，聲稱：按照年度計劃，用戶的數(shù)據(jù)庫信息需要進(jìn)行例行更新，并給出了一個“To update your account address”連接地址。由于這封 Email來自 SebastianMareygrossness@comcast-support.biz，因此，一般人不會太懷疑。

　不過，細(xì)心的用戶會發(fā)現(xiàn)，表面上地址是 http://comcast-database.biz/，實際上地址是http://66.113.136.225，如圖 4 所示。很明顯，這個攻擊者對 Comcast 這個公司的用戶信息很感興趣，如果能夠得到這些機密信息，他就可以達(dá)到其不可告人的目的！

　圖 4

　現(xiàn)在，不知情的用戶輸入了自己的“User Name”和“Password”，然后，通過表單機制，提交到了下一步。現(xiàn)在的界面還只是一個例行公事，只是要用戶輸入姓名、城市、電話等一般信息。填寫完畢，攻擊者的廬山真面目就露出來了。他現(xiàn)在要用戶填寫的是信用卡信息和Pin 密碼。實際上，在整個布局中，這也是釣魚式攻擊者最用心營造的地方。如圖 5 所示。

　圖 5

　一旦獲得用戶的帳戶信息，攻擊者就會找個理由來欺騙用戶說“謝謝！您的信息更新成功！”，讓用戶感覺很“心滿意足”。下面就是他們所玩的一個把戲。如圖 6 所示。

　圖 6

　這是比較常見的一種欺騙方式，有些攻擊者甚至編造公司信息和認(rèn)證標(biāo)志，其隱蔽性更強。一般來說，默認(rèn)情況下我們所使用的 HTTP 協(xié)議是沒有任何加密措施的，如站點http://comcast-database.biz/。不過，現(xiàn)在所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的，惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容。SSL 可以用于在線交易時保護(hù)信用卡號、股票交易明細(xì)、賬戶信息等。當(dāng)具有 SSL 功能的瀏覽器與 WEB 服務(wù)器(Apache、IIS)通信時，它們利用數(shù)字證書確認(rèn)對方的身份。數(shù)字證書是由可信賴的第三方發(fā)放的，并被用于生成公共密鑰。因此，采用了安全服務(wù)器證書的網(wǎng)站都會受 SSL 保護(hù)，其網(wǎng)頁地址都具有“https”前綴，而非標(biāo)準(zhǔn)的“http”前綴。具體的例子可以參考招商銀行的網(wǎng)上銀行大眾版地址：https://www.nj1.cmbchina.com/script/hbyktlogin.htm，打開這個頁面后，雙擊右下角的黃色小鎖就可以看到服務(wù)器的相關(guān)認(rèn)證信息。

　 但是，從目前釣魚式攻擊者的實踐來看，大多沒有這個標(biāo)志，即使有，也可能是仿冒的。這就進(jìn)一步揭穿了他們的把戲。下面，讓我們來看看這個攻擊者仿冒的花旗銀行的頁面吧。在 IE 地址欄上，有一個 https 地址，如圖 7 所示。

　圖 7

　 這個頁面被打開后，自動裝載了一個 Java 程序，并用一個包含合法 URL 的窗口覆蓋

　地址欄的內(nèi)容，查看頁面的屬性后，真實的地址實際上是一個 http 地址，而與 https 根本就沒有關(guān)系。頁面中間的 User ID 和 Password 則等著用戶來“上鉤”。再看地址攔右下角，根本沒有鎖的標(biāo)志。有時候，攻擊者為了能方便的在 https 和 http 之間轉(zhuǎn)化進(jìn)行轉(zhuǎn)換，對相關(guān)代碼適當(dāng)處理即可。如在做電子商務(wù)站點的時候，讓一個 ASP 頁面以 https 開始，可在該 ASP頁面頂部添加一個簡單的轉(zhuǎn)換代碼即可。（未完待續(xù)）

推薦訪問： 熱門話題 剖析 攻擊