網(wǎng)絡(luò)釣魚的攻擊方式與防范對(duì)策

吳澤瓊

（湖北省松滋市教師進(jìn)修學(xué)校）

網(wǎng)絡(luò)釣魚的攻擊方式與防范對(duì)策

吳澤瓊

（湖北省松滋市教師進(jìn)修學(xué)校）

“網(wǎng)絡(luò)釣魚”作為一種網(wǎng)絡(luò)詐騙手段，主要是利用人的心理來實(shí)現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶和口令、社保編號(hào)等內(nèi)容。本文分析了“網(wǎng)絡(luò)釣魚”的常見攻擊手段，并針對(duì)這些手段提出了相應(yīng)的防范策略。

網(wǎng)絡(luò)釣魚；攻擊；防范

1 網(wǎng)絡(luò)釣魚攻擊的方式

1.1 通過修改URL來實(shí)現(xiàn)欺騙攻擊

1.1.1 域名欺騙

釣魚者提供的鏈接地址，一般都是仿冒銀行、購物等知名網(wǎng)站，人們對(duì)這些網(wǎng)站的網(wǎng)址都比較熟悉，所以釣魚者會(huì)使用看起來非常相似的域名，以達(dá)到以假亂真的目的。例如：工商銀行的真正網(wǎng)址是www.icbc. com，而www.1cbc.com就是用數(shù)字1來仿冒小寫字母i。網(wǎng)民稍不注意，就會(huì)誤認(rèn)為這些鏈接指向的是合法網(wǎng)站，從而點(diǎn)擊鏈接訪問這些網(wǎng)站。

1.1.2 IP地址欺騙

IP地址欺騙主要是利用一串十進(jìn)制格式數(shù)字，通過不知所云的數(shù)字麻痹用戶，如假定www.hack.cn的IP地址202.106.185.75，換算成十進(jìn)制后就是3395991883，對(duì)于URL：www.XXX.cn＠3395991883實(shí)際訪問的網(wǎng)址應(yīng)該是www.hack.net。

1.1.3 鏈接文字欺騙

鏈接文字本身與實(shí)際網(wǎng)址不相同，通過鏈接文字迷惑用戶。

1.1.4 Unicode編碼欺騙

利用Unicode編碼的安全漏洞，在URL中使用“%20%30”這樣的數(shù)據(jù)，使人們看不出它真正的內(nèi)容。

1.2 利用社會(huì)工程學(xué)原理

社會(huì)工程學(xué)是網(wǎng)絡(luò)釣魚者常用的一種手段，它是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法。通過社會(huì)工程學(xué)技術(shù)愚弄用戶，通常通過在知名電子商務(wù)網(wǎng)站發(fā)布虛假商品信息，以所謂“超低價(jià)”、“走私貨”、“慈善義賣”、“免稅”等名義出售，或在釣魚郵件的內(nèi)容中包含類似“您中獎(jiǎng)了”、“需要驗(yàn)證您的賬戶，請(qǐng)快速處理，否則賬戶會(huì)被凍結(jié)”等迫切需要用戶“更新”或“核實(shí)”的數(shù)據(jù)信息。收信人或網(wǎng)頁瀏覽者看到此類信息后，通常都會(huì)因緊張、好奇或者貪婪等心理，對(duì)其提出的要求做出回復(fù)，從而將個(gè)人賬號(hào)、口令等敏感信息輕易泄露。

2 實(shí)現(xiàn)技術(shù)

2.1 BHO技術(shù)

BHO，Browser Help Objects是用于微軟IE網(wǎng)頁瀏覽器的一個(gè)插件，由DLL模塊設(shè)計(jì)以提供額外的功能，通過修改注冊(cè)表項(xiàng)Browser Helper Objects的鍵值，讓IE把BHO作為一個(gè)進(jìn)程中的服務(wù)啟動(dòng)，通過IWebBrowser2接口，BHO可以控制并收到來自IE瀏覽器的事件。因此，通過BHO就可以在用戶瀏覽網(wǎng)頁時(shí)獲取到頁面是否存在INPUT信息，只對(duì)那些有輸入框的頁面提取并進(jìn)行分析，那些沒有任何輸入框的網(wǎng)頁，則直接把它們過濾掉，并且可以方便地獲得用戶瀏覽網(wǎng)頁的網(wǎng)址URL，域名Domain，標(biāo)題Title，作為是否為釣魚網(wǎng)站的判斷依據(jù)。

2.2 網(wǎng)頁輸入框檢查

釣魚網(wǎng)站主要是誘惑用戶輸入敏感信息，因而一定會(huì)在頁面中設(shè)置輸入框。用戶瀏覽網(wǎng)頁時(shí)BHO會(huì)針對(duì)有無輸入框的網(wǎng)頁進(jìn)行過濾，即通過嵌入在IE中的BHO插件，獲取到頁面是否存在INPUT信息，然后只將那些有輸入框的頁面提取并對(duì)其進(jìn)行分析，而對(duì)那些沒有任何輸入框的網(wǎng)頁，系統(tǒng)則會(huì)直接過濾掉，這樣可以大大減少系統(tǒng)的檢測(cè)量，降低用戶訪問等待時(shí)間。

2.3 域名和標(biāo)題匹配檢查

有相當(dāng)一部分釣魚者，利用網(wǎng)民不注意看域名domain信息和標(biāo)題title信息是否一致，來誘騙網(wǎng)民進(jìn)入非法站點(diǎn)卻令其渾然不知，故針對(duì)提取到有輸入框的頁面，先進(jìn)行第一步最為敏感的對(duì)比。將網(wǎng)頁的域domain和標(biāo)題title跟BHO鏈接小型的XML數(shù)據(jù)庫匹配，判斷是否一致，一旦發(fā)現(xiàn)不能匹配，實(shí)時(shí)給用戶一個(gè)警告，讓用戶得到最直接、最快速的第一步安全防范。在此所提到的小型的XML數(shù)據(jù)庫可存放知名網(wǎng)站（容易被釣魚者利用的網(wǎng)站，如銀行，淘寶等）的域名和標(biāo)題，作為比對(duì)對(duì)象。

2.4 黑白名單匹配檢查

黑白名單這一理念幾乎用在所有的安全軟件當(dāng)中，而且也是一個(gè)最基本的安全防范措施。因此，如果BHO數(shù)據(jù)庫中沒有匹配成功，則在黑白名單中進(jìn)行更深一步的查找處理。為此可在數(shù)據(jù)庫中預(yù)設(shè)白名單和黑名單，白名單保存更多合法網(wǎng)站的網(wǎng)址URL和域名domain。在匹配的過程中，先檢索黑名單中被用戶自定義禁止訪問的站點(diǎn)是否匹配，然后再檢索白名單。除了在黑白名單中預(yù)設(shè)網(wǎng)址，還可允許用戶自定義的添加用戶覺得合法的站點(diǎn)以及用戶想禁止訪問的站點(diǎn)，即禁止對(duì)所有黑名單、允許對(duì)所有白名單中的網(wǎng)頁訪問，讓用戶使用起來更靈活、快捷。

2.5 域名備案查詢

從很大程度上來講，一個(gè)合法正規(guī)的網(wǎng)站都需要去域名備案中心注冊(cè)相應(yīng)的域名權(quán)限和備案號(hào)，而釣魚網(wǎng)站一般都不會(huì)注冊(cè)，這也是釣魚網(wǎng)站存活時(shí)間短的原因之一，所以域名備案信息查詢也是反釣魚的一種有利手段。若在黑白名單中沒有檢索匹配成功，則將該網(wǎng)頁對(duì)應(yīng)的域名信息傳送至域名備案中心進(jìn)行查詢，返回查詢結(jié)果（有無注冊(cè)，有無備案號(hào)），判斷該網(wǎng)頁是否合法，及時(shí)確認(rèn)消息并更新到數(shù)據(jù)庫。

2.6 圖像特征識(shí)別

為達(dá)到誘騙的目的，很多釣魚網(wǎng)制作得跟真正的網(wǎng)上銀行、證券交易平臺(tái)等合法網(wǎng)站驚人的相似，而圖像識(shí)別就能很好的解決，使得檢測(cè)釣魚網(wǎng)效率更高，減小了監(jiān)控時(shí)出現(xiàn)誤判和漏判的概率。因此在黑白名單中沒有匹配成功的網(wǎng)址URL，可將其對(duì)應(yīng)該加載后的網(wǎng)頁（一般都是賬號(hào)密碼輸入頁面）進(jìn)行一次截圖，計(jì)算該圖片的特征值，并與數(shù)據(jù)庫中現(xiàn)存知名網(wǎng)站的賬號(hào)密碼輸入頁面比對(duì)，通過兩張圖片相似度及其域名是否一致來判斷該網(wǎng)頁是否為釣魚網(wǎng)頁。

總之：網(wǎng)絡(luò)釣魚之所以如此猖獗，其主要原因就是利用了人們疏于防范的心理。只要我們做到細(xì)心檢查網(wǎng)址、忽視網(wǎng)絡(luò)中獎(jiǎng)消息、謹(jǐn)慎對(duì)待電子郵件、自覺杜絕不良網(wǎng)站以及做好安全防護(hù)，保護(hù)好自己的敏感信息，讓網(wǎng)絡(luò)釣魚者徹底消失。

[1]趙躍華，胡向濤.網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)及防御框架設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究，2013，30（6）.

[2]徐磊.10類新型網(wǎng)絡(luò)釣魚攻擊及防衛(wèi)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2015，41（22）.

TP393.0

A

1004-7344（2016）24-0270-01

2016-8-14