| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
钓的就是你!
——如何防范“网络钓鱼”等网上诈骗盗窃活动 “网络钓鱼”是通过欺骗性的电子邮件、网页欺诈用户,诱使用户泄漏重要信息的诈骗方式。一般而言,“网络钓鱼”属于黑客攻击方式中的社会工程学方法,更多的依靠欺骗手段来达到目的。与传统的黑客攻击手段相比,它更难防范,而攻击的目的也更加明确的针对用户的财务数据或者虚拟财产,因此危害也更大。 目前,网上一些利用“网络钓鱼”手法,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕,防止上当受骗。 “网络钓鱼”的主要手法 一是发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。 如今年2月份发现的一种骗取美邦银行(Smith Barney)用户的账号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口(如图1)遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。如图1所示。 当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登录界面,如图2所示。 而用户一旦输入了自己的账号密码,这些信息就会被黑客窃取。 二是建立假冒网上银行、网上证券网站,骗取用户账号、密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。 如曾出现过的某假冒银行网站,网址为http://www.1cbc.com.cn,而真正银行网站是http://www.icbc.com.cn,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。 又如2004年7月发现的某假公司网站(网址为http://www.1enovo.com),而真正网站为 http://www.lenovo.com,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问。如图3所示。 一旦访问该网站,首先生成弹出窗口,上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站主页面在后台即通过多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转向到真正网站主页,用户在毫无觉察中就感染了病毒。如图4所示。 病毒程序执行后,将下载该网站上的另一个病毒程序bbs5.exe,用来窃取用户的传奇账号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。 三是利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年,罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户,然后转移钱款的案件。 除少数不法分子自己建立电子商务网站外,大部分人采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,以走私货充行货,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。 四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。 如去年网上出现的盗取某银行个人网上银行账号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。 又如2004年3月陈某盗窃银行储户资金一案,陈通过其个人网页向访问者的计算机种植木马,进而窃取访问者的银行帐户和密码,再通过电子银行转帐实施盗窃行为。 再以某市新华书店网站(http://www.**xhsd.com)被植入“QQ大盗”木马病毒(Trojan/PSW.QQRobber.14.b)为例。当进入该网站后,页面显示并无可疑之处,如图5所示。 但主页代码却在后台以隐藏方式打开另一个恶意网页http://www.dfxhsd.com/icyfox.htm(Exploit.MhtRedir),后者利用IE浏览器的MHT文件下载执行漏洞,在用户不知情中下载恶意CHM文件http://www.dfxhsd.com/icyfox.js并运行内嵌其中的木马程序(Trojan/PSW.QQRobber.14.b)。木马程序运行后,将把自身复制到系统文件夹。同时添加注册表项,在Windows启动时,木马得以自动运行,并将盗取用户QQ账号、密码甚至身份信息。 五是利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登录该银行网上银行网站,尝试破解弱口令,并屡屡得手。 实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。 如何防范“网络钓鱼” 针对以上不法分子通常采取的网络欺诈手法,广大网上电子金融、电子商务用户可采取如下防范措施: (一)针对电子邮件欺诈,广大网民如收到有如下特点的邮件就要提高警惕,不要轻易打开和听信:一是伪造发件人信息,如ABC@abcbank.com;二是问候语或开场白往往模仿被假冒单位的口吻和语气,如“亲爱的用户”;三是邮件内容多为传递紧迫的信息,如以账户状态将影响到正常使用或宣称正在通过网站更新账号资料信息等;四是索取个人信息,要求用户提供密码、账号等信息。还有一类邮件是以超低价或海关查没品等为诱饵诱骗消费者。 (二)针对假冒网上银行、网上证券网站的情况,广大网上电子金融、电子商务用户在进行网上交易时要注意做到以下几点:一是核对网址,看是否与真正网址一致;二是选妥和保管好密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字混合密码,尽量避免在不同系统使用同一密码;三是做好交易记录,对网上银行、网上证券等平台办理的转账和支付等业务做好记录,定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与有关单位联系;四是管好数字证书,避免在公用的计算机上使用网上交易系统;五是对异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行卡、证券交易卡挂失;六是通过正确的程序登录支付网关,通过正式公布的网站进入,不要通过搜索引擎找到的网址或其他不明网站的链接进入。 (三)针对虚假电子商务信息的情况,广大网民应掌握以下诈骗信息特点,不要上当:一是虚假购物、拍卖网站看上去都比较“正规”,有公司名称、地址、联系电话、联系人、电子邮箱等,有的还留有互联网信息服务备案编号和信用资质等;二是交易方式单一,消费者只能通过银行汇款的方式购买,且收款人均为个人,而非公司,订货方法一律采用先付款后发货的方式;三是诈取消费者款项的手法如出一辙,当消费者汇出第一笔款后,骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用,否则不会发货,也不退款,一些消费者迫于第一笔款已汇出,抱着侥幸心理继续再汇;四是在进行网络交易前,要对交易网站和交易对方的资质进行全面了解。 (四)其他网络安全防范措施。一是安装防火墙和防病毒软件,并经常升级;二是注意经常给系统打补丁,堵塞软件漏洞;三是禁止浏览器运行JavaScript和ActiveX代码;四是不要上一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件,不要打开msn或者QQ上传送过来的不明文件等;五是提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;尽量避免在网吧等公共场所使用网上电子商务服务。 江民杀毒软件KV2005AAA版 江民杀毒软件KV2005AAA应用了驱动级编程技术、系统级深度防护技术、立体联动防杀技术等三大创新技术,并具有八大新鲜亮点。 其中,“隐私保护监视”功能更可有效地防止网络钓鱼事件的发生。如果用户不小心中了钓鱼者的“圈套”,一些隐私信息即将向外发送,只要用户之前做好相应的设置,比如信用卡号、QQ、邮箱、游戏账号等私密信息为保护状态,那么在木马、黑客盗取私密信息并向外传输时,KV2005可有效扫截,用法十分简便。 另外,该软件内嵌的“江民木马一扫光”也是针对木马研发的木马病毒行为阻断器。它提取木马病毒添加和修改的注册表键值,建立独立的病毒键值特征库,动态监视所有修改注册表的行为,对该行为与病毒键值特征库进行比照,对与病毒特征对应的病毒行为进行阻断,不在病毒键值特征库的行为,则发出警报,提示用户系统注册表被修改,由用户决定是否放行。对流行的木马病毒修改注册表的行为进行阻断,禁止木马修改注册表相关键值。彻底解决“隐形大盗”等隐形木马病毒运行时无法查杀的技术难题。江民木马一扫光软件除了自身会动态升级的木马键值库外,还增加了用户手工添加木马键值的功能。 金山毒霸2005 金山公司最新推出的金山毒霸2005安全组合装能很有效地防范网络木马钓鱼攻击。例如,在网络木马钓鱼中有一种很常见的手法“跨站脚本”攻击,就是攻击者利用合法网站服务器程序上的漏洞,在站点的某些网页中插入危险的Html代码,窃取用户信息。这种攻击的危险之处在于,即使是一些比较正规的网站,也有可能被人动了手脚。而当用户的浏览器安装了金山毒霸2005的网页防火墙时,基于行为识别的毒霸网页防火墙就会抢先拦截危险的html脚本运行。 从金山毒霸6增强版开始,金山毒霸系列产品就很大的增强了对网络木马的防治和查杀力度。在最新版的金山毒霸2005安全组合装中集成了新一代的木马专杀工具金山木马专杀2005,它拥有超过20000种木马的的木马特征库,可以扫描检查并完全查杀远程控制型木马、盗取密码型木马、下载型木马、进程注入型木马以及反弹端口型木马等,而且,其每日升级查杀各类木马、黑客程序多达200 余种。另外,钓鱼的最终目标在于将木马窥视到的用户账户、密码信息反馈给黑客,因此,金山毒霸2005提供了对用户重要私密数据的保护功能。一旦木马或间谍软件试图通过邮件盗取这些数据,它会报警并提示用户,确保重要数据不会外泄。这个功能支持被各种格式编码后的邮件,可以更加广泛地拦截木马程序。 方正熊猫钛金版2005 方正熊猫钛金2005杀毒软件,融合个人防火墙技术可自动阻塞和锁定黑客攻击,切实保护用户免于遭受间谍软件、拨号器或网络钓鱼的攻击。 方正熊猫钛金版2005可以快速检测和清除病毒,可查杀病毒种类总数达90000种;另外,该产品还可自动修复病毒对您操作系统的损坏。入侵防护TruPrevent技术的贴身保护,可以额外防护未知病毒和入侵。防间谍程序,防盗拨和防护黑客的防火墙保护这些集成在钛金版2005中的防火墙技术可自动阻断黑客攻击。钛金版2005可切实保护用户远离黑客攻击,如间谍程序(此类程序偷窥用户的Internet习惯以发送垃圾邮件或窃取机密信息)、拨号器(此类程序重定向调制解调器连接到高额收费号码)和网络钓鱼式攻击(发送邮件借此骗取用户帐号信息)。其安装后即可遗忘技术可以仔细检查进出您计算机的信息,保证完全无毒。当用户每次连接到Internet时,方正熊猫钛金2005可以快速、自动地实现增量更新,不需要用户的干预。 趋势科技IWSS 与TMASE 趋势科技已经开发出能提供 7 天 24 小时服务的产品,随时保护使用者免受网络犯罪的威胁。目前有两种侦测方法,一种是采特征比对的方式,另一种是经验式扫瞄技术。 PhishTrap 目前用在 Interscan Web Security Suite (IWSS) 2.0 版中,是全新开发、专门用来主动阻止使用者存取恶意网站的技术,为一个使用者可开启的选项。具备PhishTrap技术的产品能主动防止使用者存取恶意的网站,避免从被阻绝的恶意网站下载恶意程序,这些程序从病毒到网络钓鱼网页都有,而网络钓鱼网页通常还包含复杂的 script 程序,可以避开 HTTP 内容过滤器的扫瞄。IWSS 2.0 就包含了一个特征数据库,来提供网络钓鱼方面的保护。而 Trend Micro AntiSpam Engine(TMASE 3.0) 则同时内建特征比对与经验式扫瞄,目前已用在PC-cillin 2004、Interscan Virus Wall for SMB、Client/Server/Messaging Suite for SMB 等产品,能够侦测任何的网络钓鱼活动。这两种都是提供实时扫瞄的方法,因此能对抗这些日渐升高的威胁。这项技术会利用经验式扫瞄与特征比对方法,扫瞄电子邮件中所可能隐藏的恶意内容,譬如垃圾邮件或是网络钓鱼邮件。采用 TMASE 3.0 的产品都能透过 API 将电子邮件交由 TMASE来决定该邮件是正常邮件、垃圾邮件或是网络钓鱼邮件。在这版本以前,TMASE会将网络钓鱼邮件当成垃圾邮件处理。 |
||||||||||||||||||||||||
