[psac]

全球釣魚犯罪多，每天600億電子信箱

據美國世界日報報導，全球網路每天有600億封電子郵件寄出，其中大多是垃圾郵件。此外，面對無數竊取名字、密碼等敏感資料的「釣魚」(以假電子郵件套取密碼)犯罪，許多網路用戶沒有妥善自保。

　　據報導，歐洲最大電話公司德國電信執行長裡克25日在柏林一項網路保全會議透露每天的全球電子郵件數目。微軟公司執行長巴默說：「而且其中相當大部分是垃圾郵件。」

　　德國內政部長蕭柏表示，「釣魚」現象愈來愈猖獗，網路理財者尤其要留意。據介紹，2005年，全球「釣魚」案較前一年增加了300%。美國一家網路保全公司統計，2005年「釣魚」者達八百萬人次。根據國際估計，網路用戶有5%受騙，在全球造成無法計數的經濟損害。

　　據德國聯邦調查局(BKA)介紹，釣魚集團使用「特洛伊木馬」程序拿到網路理財用戶的名字和密碼等敏感資料。「特洛伊木馬」程序像病毒般自我傳送，以電子郵件滲透電腦，將重要資料回傳給「釣客」。





實戰講解防範網路釣魚技術大全
網路釣魚(Phishing)一詞，是「Fishing」和「Phone」的綜合體，由於黑客始祖起初是以電話作案，所以用「Ph」來取代「F」，創造了」Phishing」,Phishing 發音與 Fishing相同。 「網路釣魚」就其本身來說，稱不上是一種獨立的攻擊手段，更多的只是詐騙方法，就像現實社會中的一些詐騙一樣。
　　攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，誘騙訪問者提供一些個人訊息，如信用卡號、賬戶用和密碼、社保編號等內容（通常主要是那些和財務，帳號有關的訊息，以獲取不正當利益），受騙者往往會洩露自己的財務資料。
　　詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，因此來說，網路釣魚的受害者往往也都是那些和電子商務有關的服務商和使用者。
　　一、網路釣魚工作原理圖
　　現在網路釣魚的技術手段越來越複雜，比如隱藏在圖片中的惡意程式碼、鍵盤記錄程序，當然還有和合法網站外觀完全一樣的虛假網站，這些虛假網站甚至連瀏覽器下方的鎖形安全標記都能顯示出來。網路釣魚的手段越來越狡猾，這裡首先介紹一下網路釣魚的工作流程。通常有五個階段：

圖1 網路釣魚的工作原理
1. 釣魚者入侵初級伺服器，竊取用戶的名字和郵件位址
早期的網路釣魚者利用垃圾郵件將受害者引向偽造的網際網路站點，這些站點由他們自己設計，看上去和合法的商業網站極其相似。很多人都曾收到過來自網路釣魚者的所謂「緊急郵件」，他們自稱是某個購物網站的客戶代表，威脅說如果用戶不登入他們所提供的某個偽造的網站並提供自己的個人訊息，這位用戶在購物網站的帳號就有可能被封掉，當然很多用戶都能識破這種騙局。現在網路釣魚者往往通過遠端攻擊一些防護薄弱的伺服器，獲取客戶名稱的資料庫。然後通過釣魚郵件投送給明確的目標。
　　2. 釣魚者傳送有針對性質的郵件
　　現在釣魚者傳送的釣魚郵件不是隨機的垃圾郵件。他們在郵件中會寫出用戶名稱，而不是以往的「尊敬的客戶」之類。這樣就更加有欺騙性，容易獲取客戶的信任。這種針對性很強的攻擊更加有效地利用了社會工程學原理。
　　很多用戶已經能夠識破普通的以垃圾郵件形式出現的釣魚郵件，但是他們仍然可能上這種郵件的當，因為他們往往沒有料到這種郵件會專門針對自己公司或者組織。根據來自IBM全球安全指南(Global Security Index)的報告，被截獲的釣魚事件從2005年一月份的56起爆炸性地增長到了六月份的60萬起。
　　3. 受害用戶訪問假冒網址
　　受害用戶被釣魚郵件啟始訪問假冒網址。主要手段是
　　（1）IP位址欺騙。主要是利用一串十進制格式，通過不知所云的數位麻痺用戶，例如IP位址202.106.185.75，將這個IP位址換算成十進制後就是3395991883，Ping這個數位後，我們會發現，居然可以Ping通，這就是十進制IP位址的解析，它們是等價的。
　　（2）連接文字欺騙。我們知道，連接文字本身並不要求與實際網址相同，那麼你可不能只看連接的文字，而應該多注意一下瀏覽器狀態列的實際網址了。如果該網頁遮閉了在狀態列提示的實際網址，你還可以在連接上按右鍵，檢視連接的「內容」。
　　（3）Unicode編碼欺騙。Unicode編碼有安全性的漏洞，這種編碼本身也給識別網址帶來了不便，面對「％21％32」這樣的天書，很少有人能看出它真正的內容。
　　4. 受害用戶提供秘密和用戶訊息被釣魚者取得
　　一旦受害用戶被釣魚郵件啟始訪問假冒網址，釣魚者可以通過技術手段讓不知情的用戶輸入了自己的「User Name」和「Password」，然後，通過表單機制，讓用戶輸入姓名、城市等一般訊息。填寫完畢。他現在要用戶填寫的是信用卡訊息和密碼。一旦獲得用戶的帳戶訊息，攻擊者就會找個理由來欺騙用戶說「您的訊息更新成功！」，讓用戶感覺很「心滿意足」。
　　這是比較一般的一種欺騙方式，有些攻擊者甚至編造公司訊息和認證標誌，其隱蔽性更強。一般來說，預設值情況下我們所使用的HTTP傳輸協定是沒有任何加密措施的。不過，現在所有的消息全部都是以明文形式在網路上傳送的，惡意的攻擊者可以通過安裝監聽程序來獲得我們和伺服器之間的通訊內容。
　　5. 釣魚者使用受害用戶的身份進入其他網路伺服器
　　下面釣魚者就會使用受害用戶的身份進入其他網路伺服器（比如購物網站）進行消費或者在網路上傳送反動、黃色訊息。
　　二、Linux用戶對網路釣魚的防範
　　Linux用戶訪問網際網路的兩個主要工具是瀏覽器和電子郵件。下面就從這兩個方面作起。
　　1.電子郵件防範網路釣魚的設定
　　Linux下電子郵件軟體很多，其中Mozilla基金會的雷鳥（Thunderbird）是比較常用和安全的。
　　（1）昇級電子郵件軟體雷鳥到1.1以上。
　　首先建議您將電子郵件軟體雷鳥（Thunderbird）到1.1以上，在雷鳥 1.1 版本中實現的新功能包括實現了防止網釣（phishing）攻擊警告系統。在新的Thunderbird 功能裡，當使用者點選電子郵件裡疑似網釣的URL （網址）時，偵測器會在網頁開啟之前以對話視窗提醒使用者，Gemal 寫道。當網址內有數位型的IP位址而不是用域名名（domain name），或者URL 和文字鏈結裡所顯示的網路位址不一樣時，偵測器就會啟動。見面見圖2。

圖2 1.1版本以上的雷鳥可以防範網路釣魚
另外也可以通過一個SPF插件防範網路釣魚，下載連接：http://taubz.for.net/code/spf/thunderbird-sve.tgz 。安裝SPF插件後當用戶點擊網路釣魚郵件中的連接時，雷鳥的SPF插件將檢測這一位址或者連接文字與實際位址不相符時都將發出警告，並彈出警告對話視窗提醒用戶。工作介面見圖3。

圖3 使用SPF插件防範網路釣魚
（2）關閉雷鳥的預覽面板
　　許多網路釣魚郵件只需要在電子郵件收發程序的預覽面板中顯示就能侵入你的電腦。因此我們建議用戶關閉收件匣的預覽面板。在Mozilla 雷鳥中，開啟「Layout 」 ->，清除「「Messages pane」複選框(或者使用「F8」快捷鍵關閉預覽面板)，見圖4。

圖4 關閉雷鳥的預覽面板
（3）以純文本方式閱讀電子郵件
　　許多網路釣魚郵件都是通過HTML程式碼來達到其不可告人的目的，因此如果你以純文本方式閱讀這些郵件就會讓它們無計可施。在Mozilla 雷鳥中，選項「view」 ->「Message body As」 -> 「Plain text」複選框。見圖5。

圖5 以純文本方式閱讀雷鳥電子郵件
（4）不要把字串Unicode編碼
　　Unicode編碼有安全性的漏洞，這種編碼本身也給識別網址帶來了不便，所以不要把雷鳥的字串集設定為Unicode編碼。
　　2.瀏覽器防範網路釣魚的設定
　　（1）增強火狐（Firefox）的安全性。
　　火狐是Linux下最佳瀏覽器，當然火狐也存在一些安全隱患。丹麥安全產品開發商Secunia於7月30日公開了Web瀏覽器「Mozilla」與「Mozilla Firefox」的安全漏洞。
　　如果惡意使用安全漏洞，可以偽裝位址欄、工作列、SSL對話視窗等用戶介面。可偽裝的不僅是位址欄，還有工作列、表示進行SSL通信的加密標記等，甚至可以偽裝點擊加密標記後所顯示的數位簽章。
　　Secunia提出的對策是「不要點擊不可靠的網站連接」，「不要隨便輸入個人訊息」，一定要記住：眼見不一定為實。昇級到最新版本可以消除這些安全隱患。另外，將java script設為無效也可防止偽裝。另外網路釣魚者在用戶輸入資料後，還可以通過巧妙的java script指令碼來迷惑用戶。
　　仿冒的站點提供了很多銀行的連接，這樣就給人以可信的感覺，實際上也是一種社會工程學的暗示。用戶輸入帳號訊息後，釣魚者可能就在後面竊喜了，因為，網站早已通過巧妙的指令碼設計，使用戶相信自己的資料確實得到了更新。要想對網站禁用java script，必須下載並安裝插件NoScript，它由Giorgio Maone開發。
　　三．Windows用戶對網路釣魚的防範
　　Windows用戶訪問網際網路的兩個主要工具是瀏覽器和電子郵件。下面就從這兩個方面作起。
　　1.電子郵件防範網路釣魚的設定
Windows下電子郵件軟體很多，其中Mozilla基金會的雷鳥（Thunderbird）和Outlook 2003以及Outlook Express 6是比較常用。雷鳥設定方法檢視前文，這裡介紹後兩者。
　　（1）關閉預覽面板
　　一些釣魚郵件只需要在電子郵件收發程序的預覽面板中顯示就能侵入你的電腦。因此我們建議用戶關閉收件匣的預覽面板。在微軟Outlook2003，開啟表單「視圖」，清除「自動預覽」複選框。在Outlook Express6中，開啟「視圖->佈局」，清除「顯示預覽面板」複選框。
　　（2）以純文本方式閱讀電子郵件
　　許多惡意郵件都是通過HTML程式碼達到其不可告人的目的，因此如果你以純文本方式閱讀這些郵件就會讓它們無計可施。在Outlook 2003中，開啟「工具->選項->設定->電子郵件選項」，選「以純文本方式顯示所有電子郵件」複選框。在Outlook Express 6種，開啟「工具->選項->閱讀」，選「明文閱讀所有訊息」複選框。見圖6。

圖6 以純文本方式閱讀電子郵件
（3）小心處理電子郵件連接
　　釣魚者攻擊電腦的一條重要渠道是通過電子郵件。為了減小因為電子郵件而感染病毒的風險，在可疑電子郵件中不要點擊連接，郵件中顯示的文字往往會掩蓋真實的Web位址。正確的做法是，在瀏覽器的位址欄中手動式輸入URL，或者到網站的首頁，然後再找到需要瀏覽的頁面。
　　（4）不要把字串Unicode編碼
　　Unicode編碼有安全性的漏洞，這種編碼本身也給識別網址帶來了不便，所以不要把字串集設定為Unicode編碼。
　　2. IE瀏覽器防範網路釣魚的設定
　　（1）增強IE的安全性
　　將IE的安全等級設定為「中級」時，對ActiveX控件、小程序以及指令碼的監控過於寬鬆。一些Web套用，比如在線購物的表單程序以及安全掃瞄程序需要ActiveX以及java script才能正常執行，但是開啟這些功能也為惡意程式碼和黑客開啟了方便之門。要想讓IE更加安全，在IE中開啟「工具->Internet選項->安全->自訂等級」，在「安全性設定」對話視窗下方展開下拉列表選項「高」，然後按下「重置」按鈕。
　　但是將IE安全等級設定為「高」之後，瀏覽器在訪問網站時會不斷彈出警告視窗。解決這個問題的方法是，將需要經常訪問的網站增加到IE的「受信任的站點」列表中：選項指令「工具->Internet選項->安全」，按下「受信任的站點」圖示，然後按下「站點」按鈕。
　　輸入網站位址，按下「增加」按鈕。如果需要增加更多網站可以重複該操作。注意要清除「對該區域中的所有站點要求伺服器驗證(https」複選框。完成設定後，按下兩次「確定」按鈕。
　　（2）安裝Netcraft Toolbar
2004年網際網路服務廠商Netcraft已經發怖了它自己的IE安全工具插件。這款插件能夠說明 IE 用戶免受釣魚式欺詐攻擊。Netcraft Toolbar能夠封殺由其他用戶報告的釣魚式欺詐網站。
Netcraft去年12月份發怖了的Netcraft Toolbar 目前，被發現和封殺的釣魚式欺詐攻擊網站達到了7000多個。除了封殺釣魚式攻擊網站外，Netcraft Toolbar還包括能夠說明 用戶在上網時更注重安全的其它功能。
例如它能夠對網站的危險性「打分」，顯示有關網站的訪問量和網站所在國家的訊息。 Netcraft Toolbar還能夠根據使用的字串「誘捕」可疑的網站，強制顯示瀏覽器的導航按鈕，打擊企圖隱藏這些按鈕的彈出式視窗。
　　用戶可以免費從官方網址是：http://www.netcraft.com/的網站上下載這款工具條。下載連接：http://dlc.pconline.com.cn/filedown.jsp?id=56955&dltypeid=1 ，Netcraft Toolbar安裝文件是：NetcraftToolbar.msi。Netcraft Toolbar工作介面見圖7。

圖7 IE瀏覽器的 Netcraft Toolbar工作介面 　
（3）禁用WSH
　　針對改寫和重指向威脅，這種手段利用了Windows指令碼，不需要用戶點擊電子郵件中的連接，只要郵件一開啟，一段指令碼就會被執行。這些程式碼將會改寫受感染電腦的主機文件。如果修改成功，當用戶登入網路銀行時，他實際上會被指向偽造的網站。這個偽造的網站會收集用戶輸入的帳號、密碼以及其他個人訊息。所以禁用WSH是一種選項。
　　（4）昇級IE版本到7.0
IE7中內嵌的釣魚欺詐過濾器主要是為了保護用戶遠離釣魚欺詐網站，保護隱私，並且整個程序做到透明和靈活。微軟會提供選項用或是不用的自由，所有發往反欺詐伺服器的請求都將使用SSL進行加密。這就是釣魚欺詐過濾器的設計原則。
　　IE7採用向反釣魚欺詐伺服器既時查詢的方式，而不是像一些反間諜軟體那樣定時下載一份站點列表文件，選項既時查詢的原因有二，一是它能比使用靜態站點列表方式提供更好的保護；二是可以避免給網路增加過重的負載。欺詐過濾器確實可以定時下載一份已知為安全的站點列表，但釣魚欺詐攻擊可以在24～48個小時內轉移到新的位址，這比發怖站點列表要更快。
另外如果要求用戶不斷地下載站點列表還要考慮網路負載因素，目前可能用於發動釣魚欺詐攻擊的電腦數量要遠遠超過間諜軟體的數量，每小時都去下載新的黑名單列表將會嚴疊影響網路的正常流量。 IE7是利用以下經過欺詐過濾器的資料的，
　　● 如果你不親自啟動這項功能，過濾器將不會連線到反欺詐伺服器，不會檢查任何站點；
　　● 只有當一個站點不在IE所下載的「已知為安全」的站點列表裡時，過濾器才會對其進行檢查；
　　● 像URL中的查詢字串串等潛在的敏感資料在被送到反欺詐伺服器進行檢查之前將被全部移除。其他和網路瀏覽相關的資料如http cookies等不會被送到微軟那裡;
　　● 通過使用加密的SSL連接，URL將被安全地送到伺服器中以保護隱私訊息。
　　（5）其他
開啟Windows的自動更新功能，在Windows XP中，開啟「開始->控制台->安全性設定(在分類視圖中)->自動更新」。在Windows 2000 中，開啟「開始->設定->控制台->自動更新」。不管是哪個版本的Windows作業系統，確保選「自動更新(推薦)」選項。另外，你還可以讓Windows開始下載更新文件的時候通知你，或者進行手動式更新。
　　Windows XP Service Pack 2中最受歡迎的新功能就是Windows安全中心，當電腦中的防火牆或反病毒軟體沒有開啟或者沒有及時更新時，安全中心會提出警告。Windows XP原有的的防火牆只能抵禦一些外來的入侵行為，但是無法預防一些可疑的對外連接。我們推薦用戶關閉Windows XP原有的的防火牆，安裝Zone Labs的ZoneAlarm或者其他第三方防火牆工具，這樣才能有效地同時預防這兩種安全威脅。
　　3.定期對Windows體檢
無論是網路管理員還是個人用戶都應該經常到你所安裝的系統發行商的主頁上去找最新的修正檔。推薦使用微軟發怖的MBSA1.2來實現全方面檢查Windows系統和應用軟體的漏洞。Microsoft Baseline Security Analyzer（MBSA）工具允許用戶掃瞄一台或多台關於 Windows 作業系統的電腦，以發現一般的安全方面的組態錯誤。
MBSA 將掃瞄關於 Windows 的電腦，並檢查作業系統和已安裝的其他元件（如 IIS和 SQL Server），以發現安全方面的組態錯誤，並及時通過推薦的安全更新進行修補。首先要把Windows 2000的瀏覽器昇級到IE5.01以上，並且安裝MSXML Parser 3.0以上版本（下載連接：http://download.microsoft.com/download/d/9/8/d9886528-6438-4828-9094-697103203a32/msxml3usa.msi ）這是因為MBSA檢查報告儲存於格式是XML，所以需要使用微軟的MSXML解析器讀取XML我的文件。
　　http://download.microsoft.com/download/d/7/5/d757ff81-4f97-4a6d-a9d8-edea72363aa8/MBSASetup-en.msi 最新版本1.23361.2。 安裝MBSA1.2後在桌面上找到該工具的建立捷逕。以不同顏色的符號，顯示系統漏洞。如：綠色的「√」圖示表示該項目已經通過檢測。紅顏色的「×」表明不安全的因素，黃顏色的「×」表明MBSA無法驗證其安全性，二者（紅色或黃色）的圖示表示該項目沒有通過檢測，即存在漏洞或安全隱患。
　　藍色的「*」圖示表示該項目雖然通過了檢測但可以進行最佳化，或者是由於某種原因MBSA跳過了其中的某項檢測。白色的「i」圖示表示該項目雖然沒有通過檢測，但問題不很嚴重，只要進行簡單的修改即可。
　　對於第一個系統漏洞「Password test」的詳細情況，點擊「Result Details」可以看到它的詳細解釋。下麵點擊「How to correct this」可以得到如何修補這個漏洞的方法和建議以及下載修正檔的網址。
　　MBSA 是面向 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 系統的安全評估工具，MBSA1.2不但能為我們找到系統需要的修正檔,並且介紹給我們如何去做。
　　總結：
　　網路釣魚之所以如此猖獗並且能夠頻頻得手，最大的原因就是利用了人們疏於防範的心理以及「貪小便宜」和「貪圖便利」的弱點。網路釣魚投下足夠吸引獵物上鉤的「美味魚餌」或恐嚇，或誘惑，用戶的防線在這些因素的干擾下徹底崩潰而咬住了引上鉤。
　　這是任何軟體也無法解決的，因為毒在心，而非工具軟體。當然這些騙術也涉及了一些技術手段，但是社會工程學的影響卻成了最大的干擾。