APP下载

网络钓鱼攻击分析和防范探讨

2022-03-02陆向艳

数字通信世界 2022年1期
关键词:网址攻击者邮件

陆向艳,刘 峻

(1.广西大学计算机与电子信息学院,广西 南宁 530004;2.广西师范大学多源信息挖掘与安全重点实验室,广西 桂林 54100)

0 引言

网络钓鱼攻击是指攻击者通过邮件、QQ、论坛、微博等媒介向被攻击者发布诱导性链接,诱导用户点击进入钓鱼网站,从而实现窃取用户个人隐私信息和诈骗用户财产的违法行为。网络钓鱼攻击严重损害了网络用户的个人利益。国家计算机网络应急技术处理协调中心(CNCERT/CC)于2021年7月发布的《2020年中国互联网网络安全报告》显示,2020年以“ETC在线认证”为标题的钓鱼网站数量在2020年8月达到峰值5.6万余个,不法分子通过此类钓鱼网站诱骗用户提交账号、密码等个人隐私信息实施经济诈骗。此外检测发现大量的以“统一企业执照信息管理系统”“核酸检测”“新冠疫苗预约”等为标题的钓鱼网站对网络用户进行诱导,非法获取用户姓名、住址、身份证号、手机号等个人隐私信息[1]。钓鱼网站通过非法途径实施网络犯罪[2],使网络环境遭受污染和破坏,影响极为恶劣。本文探讨了网络钓鱼攻击的方法、方式、检测技术、危害和预防措施。

1 网络钓鱼攻击方法

网络钓鱼攻击一般包括创建钓鱼网站、URL伪装、诱导访问、信息窃取和登录真实网站五个步骤(如图1所示)。

图1 网络钓鱼攻击步骤

1.1 创建钓鱼网站

为了达到诱骗目的,攻击者首先创建钓鱼网站[3]。钓鱼网站的页面与真实网站页面几乎完全一致,钓鱼网站制作可以用网站制作软件模仿出和真实网站相似的页面,也可以直接将真实网站网页保存后再进行简单修改而成。钓鱼网站制作完毕以后,需将网站放到互联网上让用户来访问,攻击者一般采取购买网站空间的方法实现,为了隐藏自己或逃避调查追踪,攻击者往往会选择境外服务器来安放钓鱼网站。

1.2 URL伪装

除了页面和真实网站页面相似,钓鱼网站的URL与真实网站的URL也很相似[4],经常是一两个字符的差别,只要用户稍微不仔细观察就可以蒙混过关。比如,京东的网址是www.jd.com,钓鱼网址的网址是www.jd.c0m,这两个网址只有一个字符不同,而且不相同的字符“o”和“0”极其相似;华夏银行的网址是www.hxb.com.cn,钓鱼网站的网址是www.hx.com.cn;这两个网址是后者比前者少一个字符;北京高速公路ETC网址是www.bjetc.cn,钓鱼网址是www.bjetc.com.cn,钓鱼网址比真实网址多一级域名.com,如果用户不注意观察也不容易被发现。

1.3 诱导访问

网络钓鱼攻击是一种社会工程学攻击,多数是利用网民的好奇或让利消费心理等诱导用户访问钓鱼网站,诱导访问的主要方法有:通过电子邮件或垃圾短信发送诱导性链接吸引用户点击,比如赠送大礼包、打折、信用卡消费等;通过QQ、微信等社交媒体发送迷惑性信息,如交友或投资交流等虚假链接吸引用户点击;入侵网站将网页挂在上面,导致用户不经意间点击;在其他网站上投放广告、提升排名等方式吸引用户点击进入钓鱼网站。

1.4 信息窃取

信息窃取是钓鱼攻击的核心内容。信息窃取的一种方式是通过模仿真实网站实现。仿真型钓鱼网站和真实网站在用户打开主页后,都要进行登录验证,这个过程是攻击者窃取信息的关键过程。攻击者在网站页面制作后在登录验证页面编写信息窃取代码或对原来复制的真实网站代码进行修改,在登录验证过程中真实网站是将用户输入的用户名、银行账户、密码等信息传送到后台数据库进行正确性比对,而攻击者将这部分代码修改成将这些信息传送到攻击者指定的后台数据库或生成邮件发送到指定邮箱。信息窃取的另一种方式通过充当代理型网站来实现。代理型网站充当用户和真实网站的中间人,转发用户向真实网站发出的请求和真实网站给用户返回的响应,所以在代理过程中可以窃取用户和真实网站交互的信息,这种方式也需要编写相应的代码将截获的信息发送到指定数据库或邮箱。

1.5 登录真实网站

在获得用户访问真实网站的用户名、密码等隐私信息之后,攻击者使用用户的真实身份登录真实网站,对用户合法权利进行非法侵害。

2 网络钓鱼攻击方式

网络钓鱼攻击方式主要有邮件攻击、域欺骗和鱼叉式攻击等方式。

2.1 邮件攻击

攻击者向目标用户发送具有诱惑性或误导性邮件,邮件往往携带钓鱼网站链接或者木马程序下载链接等,如果用户不注意辨识就会点击链接进入钓鱼网站或下载木马程序,木马程序一旦运行,则可监视用户键盘输入的敏感信息并实现盗取。

2.2 域欺骗

域欺骗是攻击者利用用户计算机漏洞,通过恶意代码修改用户计算机中存储的关于DNS信息的文件,将用户要访问的网站地址替换成钓鱼网站地址。用户在浏览器中输入合法的网站地址后就被重定向成钓鱼网站地址,若在这个过程中,用户未察觉,则攻击成功。

2.3 鱼叉式攻击

鱼叉式攻击是一种选择性攻击,攻击者选择特定被攻击者进行攻击以实现攻击行为利益最大化。比如选择特定组织中的职位较低的职员进行攻击,伪装成他们的上级领导给他们发邮件进行诱骗;或者选择某个领域的知名企业的部门负责人或主要领导作为攻击目标,因为他们掌握更加有价值的敏感数据,比如更高级别的访问权限等,通过官方网站、新闻网站及社交媒体等网络途径获得他们的姓名、职务、年龄和邮件地址等个人信息,然后发送特定邮件给他们的,诱导他们打开欺骗链接,以便实施钓鱼攻击。

3 网络钓鱼攻击的危害

3.1 使网络用户财产遭严重损失

钓鱼网站经常是伪装成银行、电子商务网站或其他交易型网站,在用户未察觉的情况下窃取其提交的账号和密码信息等,然后转卖获利或利用这些信息诈骗用户财产。目前,网络钓鱼事件频繁发生,钓鱼网址和电话往往是临时或虚拟的,追查比较困难,导致被攻击者财产遭受严重损失。

3.2 使用户选择网络交易的意愿下降

在利益的驱动下,网络钓鱼攻击频繁发生,攻击者利用各种机会对用户进行伪装和诱骗,使用户稍不注意就受到攻击,结果造成用户对网络交易的意愿下降,降低了人们进行网络交易的信心,而银行和电子商务商家等也不得不加大网络钓鱼防范措施使交易成本提高,网络钓鱼对网络交易产生极大的消极影响。

3.3 使网民个人隐私信息遭受泄露

在电子政务广泛应用的背景下,有钓鱼网站以相关社会热点及工作文件为诱饵,向国家重要单位邮箱账户投递钓鱼邮件,诱导受害人点击仿冒该单位邮件服务提供商或邮件服务系统的虚假页面链接,从而盗取受害人的个人隐私信息并将其贩卖从中牟利,使网民个人隐私信息遭受泄露,严重损害了网民的个人隐私安全。

4 网络钓鱼攻击检测技术

网络钓鱼攻击使用户经济利益和隐私信息面临挑战,因此网络钓鱼攻击检测技术成为当前的研究热点。当前网络钓鱼攻击检测方法主要有黑白名单检测[4-5]、内容相似度检测[6]和基于特征分类的检测[7-8]等。

4.1 黑白名单检测

黑白名单检测是一种基于URL检测的技术,将事先检测到的钓鱼网址的URL存放到黑名单中,合法的URL则放到白名单中,在用户访问一个URL地址之前先将该URL地址与黑名单进行比对,不匹配则为合法URL,否则为钓鱼网址,禁止用户访问。黑白名单检测的准确性依赖于事先检测到黑名单,对于钓鱼网站地址频繁更新的情况难以适应。

4.2 内容相似度的检测

基于内容相似度的检测方法是将钓鱼网站和真实网站进行内容相似度计算,内容包括URL、HTML网页框架、文本和图像外观等,应用相关相似度算法进行相似度计算来确定被检测网站是否为钓鱼网站。

4.3 基于特征分类的检测

基于特征分类的检测方法是先收集一定数量的合法网站和钓鱼网站数据,对这些数据进行特征提取,特征包括URL特征,文本特征、图像特征等,然后应用特定的机器学习算法或深度学习算法进行特征训练,得到分类器,最后用得到的分类器对网站进行分类检测。

5 网络钓鱼攻击的预防

网络钓鱼攻击的发生使网络用户的个人隐私和财产遭受严重损失,防范网络钓鱼攻击显得非常重要。

5.1 个人防护

从个人用户角度要预防网络钓鱼攻击,一是不要点击来源不明的邮件和短信,不轻易相信论坛、博客、微博等媒体收到的抽奖、中奖或加好友等虚假链接,上网时需要输入个人隐私信息时要谨慎确认;二是在计算机和手机上安装具备防钓鱼攻击功能的安全软件。

5.2 构建URL公共数据库

个人识别钓鱼网址往往比较困难,一种比较经济有效的方法是构建URL数据库,由特定组织机构构建一个钓鱼网站URL公共数据库,为其他网站提供钓鱼网址查询服务。该数据库负责发现和收集钓鱼网址,并不断更新URL公共数据库。在用户访问某个网站前,先在URL公共数据库中查询是否有该网站的网址,若有则提示该网址有钓鱼风险暂停访问,否则可以继续访问。

5.3 Web安全防护技术

Web安全防护技术是通过对网页代码进行文本分析来确定是否是钓鱼网页。方法是先提取钓鱼网页代码文本特征,再用统计学或机器学习、深度学习等方法进行统计分析或分类,根据统计分析或分类结果来确定是否为钓鱼网页。

6 结束语

网络钓鱼攻击是一种社会工程学攻击,这种攻击利用网民的好奇或让利消费心理等诱导用户访问钓鱼网站,从而窃取用户银行账号和密码等敏感信息,使网民经济利益遭受严重损失。本文探讨了网络钓鱼攻击攻击的方法、方式、检测技术、危害和防范措施,旨在为预防网络钓鱼攻击提供参考。■

猜你喜欢

网址攻击者邮件
启 示
基于贝叶斯博弈的防御资源调配模型研究
基于James的院内邮件管理系统的实现
本刊网址变更通知
来自朋友的邮件
火眼金睛快速显示链接的网址
正面迎接批判
一封邮件引发的梅赛德斯反弹
正面迎接批判
短网址服务系统的实现及相关技术研究