网络钓鱼原理与防范

Your company slogan
3.网络钓鱼防范关键技术（续）
目前国内对网络钓鱼的防范还集中在服务器和用户端，缺乏系统的第 三方防范措施，这也是我国成为全球最大的钓鱼网站主机所在国的重 要原因。因此，急需加强我国第三方网络钓鱼防范研究。
Your company slogan
3.网络钓鱼防范关键技术（续）
Your company slogan
案例（续）
QQ中奖； http://www.1cbc.com.cn； http://www.1enovo.com； http://sina16399.com； http://sina16363.com。
Your company slogan
目
录
1 2
网络钓鱼简介
Your company slogan
1.网络钓鱼简介（续）
网络钓鱼的泛滥给全球网络用户特别是在线金融服务用户造成了严重 的危害。 加剧垃圾邮件的泛滥； 造成巨大的经济损失； 打击了普通用户对于网络金融、电子商务等新兴网络应用的信心，从 而阻碍了这类应用的发展。
Your company slogan
1.5主要技术手段与攻击手段
网络钓鱼犯罪 的主要技术手段：
端口重定向
僵尸网络
通过攻陷的 网站服务器
通过专 用的黑客 程序进行钓鱼
Your company slogan
1.网络钓鱼简介（续）
1.发送电邮， 以虚假信息 引诱用户 2.建立假冒 网上银行网 站，骗取用 户账号密码
网络钓鱼犯罪 的主要攻击手段：
1.网络钓鱼简介（续）
1.4攻击原理
Your company slogan
1.网络钓鱼简介（续）
入侵初级服 务器窃取名 字和邮箱 发送针对性邮 件（社会工程 学原理） 受害用户访 问假冒网站
钓鱼者取得 用户敏感信息
钓鱼者使用 受害用户的身 份进入其他服务器
Your company slogan
1.网络钓鱼简介（续）
3.利用虚假 的电子商 务进行诈骗
4.利用木马和黑客 技术等手段窃取用 户信息后实施盗窃
5.利用用户弱口令 等漏洞破解、猜测 用户账号和密码
Your company slogan
2.网络钓鱼研究现状
网络钓鱼的严重危害已经引起了包括企业和学术机构在内的国际社会 的广泛关注，随着2003年国际反网络钓鱼工作组APWG的成立以及 大批机构和公司的加入，国际社会共同打击网络钓鱼的序幕正式拉开， 相关研究已经成为国际上的热点。
来自百度文库
Your company slogan
案例（续）
而这个所谓的更改密码页面，当然伪造得与真正的银行页面完全一致， 但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者” 手上， 然后“垂钓者”登录上真正的网络银行改了受害者设置的密码， 并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也 会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来的数目 也会变得相当可观了。在金钱的诱惑下， “垂钓者”一次又一次提竿， 殊不知，他自己也是被金钱钓竿钓上的一条鱼。
Your company slogan
1.网络钓鱼简介（续）
1.2特点 成本低：实施成本（电子邮件和假冒网站容易实施）+违法成本（调 查、取证、刑事追究困难）； 集中度高：行业集中（ 98 %以上针对金融服务业）、品牌集中 （80%以上的攻击集中与十几个品牌）、地区集中（中国已经取代 美国成为全球钓鱼网站主机数最多的国家）； 影响范围大：由于低成本高收益，网络钓鱼攻击日益严重。
Your company slogan
2.网络钓鱼研究现状（续）
在防范技术上，Mark Goines所在安全公司采用“报 复’’(retaliatory)策略，通过向Phishing站点发送大量虚假信 息形成DOS攻击(拒绝服务攻击，Denial ofService)效果，从而 阻止它接收有用信息；MarkMoniter采用了实时监视域名注册和可 疑聊天室的方法来查找网络钓鱼站点；Corillian通过分析真实网站 的日志(logs)来分析可能的Phishing行为；Engin Kirda和 Christopher Kruegel学者则采用浏览器插件的形式实时分析用户 提交的是否为敏感信息并给用户及时地预警提示。
Your company slogan
3.网络钓鱼防范关键技术（续）
3.1.2用户端防范 终端用户防范措施包括敏感信息过滤，浏览器插件安装等。但由于用 户的网络安全意识淡薄和防范能力的局限，使得终端用户成为网络钓 鱼的突破口，目前还没有有效的方法确保用户的信息安全。
3.1.3第三方防范 第三方包括政府机构、相关组织(如APWG)以及研究机构等针对网 络钓鱼提出的解决方案。目前最主要的工作是通过收集用户的钓鱼邮 件举报，维护钓鱼网站实时黑名单和检测钓鱼邮件。这一工作有效的 减少了钓鱼网站的生存时间，但也存在严重的问题——滞后性。黑名 单的维护需要经过用户举报、收集整理、验证、发布等一系列步骤， 要耗费大量时间，目前钓鱼网站的平均生存期只有3天，要进一步降 低其生存周期单纯依靠人工维护实时黑名单已经无能为力，只有借助 于自动检测技术。
网络钓鱼研究现状
3
网络钓鱼防范关键技术
4 5
基于服务的网络钓鱼综合防范体系
扩展研究
Your company slogan
1.网络钓鱼简介
1.1定义 网络钓鱼又称网站仿冒或Web Phishing，是指利用假冒网站骗取 用户敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信 用卡详细信息）的行为。 网络钓鱼(Phishing，Phone+Fishing)一词起源于1996年左右， 当时就有黑客利用电子邮件作为诱饵，盗用美国在线(American Online)的帐号和密码。 典型的网络钓鱼攻击通过大量发送声称来自于银行或其他知名机构的 欺骗性垃圾邮件将收信人引诱到一个通过精心设计的与目标组织的网 站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感 信息，通常这个攻击过程不会让受害者警觉。
Your company slogan
2.网络钓鱼研究现状(续)
2.1国外研究情况 2.1.1学术研究 第一，钓鱼行为分析（用户为何会被钓鱼网页所欺骗？）； 第二，电子邮件检测（发现钓鱼邮件的一般特征）； 第三，网络行为检测（模拟用户与网站之间的交互行为来检测）； 第四，敏感信息保护（在用户端建立信息审查机制、浏览器插件）； 第五，网页相似性检测（计算可疑网页与受保护网页间的相似度）； 第六，异常网页检测（检测网页中存在的异常的方法）。
Your company slogan
2.网络钓鱼研究现状（续）
2.2国内研究情况 与国际先进水平相比，国内研究明显滞后，还停留在基本的安全知识 普及阶段，缺乏对网络钓鱼整体深入的研究。刘文印等香港学者则通 过比较网页之间的相似性来判断钓鱼网页，Anthony Y Fu等则使用 图像处理的方法来判断网页的相似性，并进行了大量实验显示出该方 法的有效性，这类方法也是建立在钓鱼网页与真实网页是相似的这一 假设之上的。解放军理工大学的陈娟等通过分析超链接中的异常来检 测网络钓鱼。总的来说，我国的网络钓鱼研究急需加强。
Your company slogan
案例（续）
分析员马上查看信件源代码，很快就找出了其中的猫腻：正如常说的 “说的一套，做的一套” ，这个邮件的作者采用了“看的一套，进的 一套”这种简单的欺骗手法， 入侵者利用 HTML 语言里 URL 标记的 特性， 把它写成了这样： “ 〈A HREF=”http://www.xxxbank.com.cn/account/index.a sp“〉http://www.xxbank.com. cn/account/index.asp 〈/A〉 ” ，由于心理作用，受害者潜意识里都会直接点击那个写着 “http://www.xxbank.com.cn/account/index.asp”的 URL 链接，但这个点击实际上是把他们引向 “http://www.xxxbank.com.cn/account/index.asp”这条 钓竿！
Your company slogan
案例（续）
警察正在分析张经理那台笔记本电脑硬盘里的数据，张经理本人在报 案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录 网络银行的时间，而且系统里也没有感染任何偷盗账号的后门程序， 案件变得有点扑朔迷离起来。一个分析员无意中打开了 Foxmail， 发现最后一封信件是银行发送的，主题为“XX 网络银行关于加强账 户安全的通告” ，分析员预测案件与这封信件有重大关系，马上打开 阅读。这是一封 HTML 网页模板的信件，内容大意为银行为了加强 账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还 给出了设置密码的 URL 链接。
中南财经政法大学 信息与安全工程学院
网络钓鱼 原理与防范
单杰 2011.9.16
案例
南方的早春总是伴着绵绵细雨，难得今天是个晴朗天，某服装公司的张经理 带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后， 便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最 近的一笔生意。秘书见他在这种时候还离不开工作，便劝他： “经理，今天 是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕 钓竿被鱼叼走了？”张经理对秘书笑了笑，看着身前的钓竿缓缓说道： “都 说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会 溜走的。等这笔生意谈妥，我再休息也不迟。 ”说罢又继续低头敲键盘。 生意终于谈妥，客户把货款转入张经理的银行账户，张经理笑了： “这条大 鱼终于被我钓到了。 ”然后他登上网络银行账户查看转账情况。当页面上显 示出账户剩余金额时，张经理心里一紧，接着有了晕眩的感觉：账户里原来 的存款不翼而飞，页面里惟有客户刚刚转入的货款，仿佛在嘲笑着张经理。 张经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。
Your company slogan
2.网络钓鱼研究现状（续）
2.1.2公司机构研究 与此同时产业界和政府也投入了相当的力量来防范网络钓鱼。反网络 钓鱼工作组就是专门为此成立的。它的数千名成员中，包括美国十大 银行中的八家、美国五大互联网服务提供商中的四家、以及众多的IT 企业、国家法律执行机构和立法机构，该机构定期发布全球网络钓鱼 发展报告，并组织了大量相关的讨论和国际会议。美国还成立了“网 络欺诈投诉中心’’专门处理网络钓鱼等网络欺诈行为。各大公司也 都成立了自己的网络钓鱼研究机构，微软在其操作系统中提供了网络 钓鱼报告功能，趋势科技、雅虎、Websense、Google等都相继 推出其网络钓鱼防范工具。
Your company slogan
3.网络钓鱼防范关键技术
3.1网络钓鱼的防范 鉴于网络钓鱼的严重危害，相关公司和研究机构都提出了一些具体的 防范措施，可分为服务器端防范、用户端防范与第三方防范。 3.1.1服务器端防范 指服务提供商包括银行、ISP、商务网站等采取多种措施保护用户数 据的安全。例如申请CA认证，并提醒用户检查证书；采用HTTPS协 议传输敏感数据；在用户客户端安装防范软件；提供口令卡，USB密 码锁等认证方式。 但由于网络钓鱼将用户诱骗至钓鱼网站，因此服务器端的防范措施对 网络钓鱼基本无效。目前服务商能做的也只能是教育用户提高防范意 识。
Your company slogan
1.网络钓鱼简介（续）
金融服务业占钓鱼攻击品牌比重：
100%
90%
80% 70% 60% 50%
2004 2005 2006 2007
Your company slogan
1.网络钓鱼简介（续）
1.3现状及危害 网络钓鱼凭借其简便性、低 成本的特点，对网上金融、 在线交易等应用构成极大威 胁。根据国际反网络钓鱼工 作组(Anti-Phishing Work Group，APWG) 的统计，从2006年10月到 2007年10月间每月收到网 络钓鱼举报两万件以上，平 均每月新增钓鱼网站超过3 万个，与前一年同期相比增 幅分别超过30％和100%。