吳澤瓊

（湖北省松滋市教師進修學(xué)校）

網(wǎng)絡(luò)釣魚的攻擊方式與防范對策

吳澤瓊

（湖北省松滋市教師進修學(xué)校）

“網(wǎng)絡(luò)釣魚”作為一種網(wǎng)絡(luò)詐騙手段，主要是利用人的心理來實現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務(wù)數(shù)據(jù)，如信用卡號、賬戶和口令、社保編號等內(nèi)容。本文分析了“網(wǎng)絡(luò)釣魚”的常見攻擊手段，并針對這些手段提出了相應(yīng)的防范策略。

網(wǎng)絡(luò)釣魚；攻擊；防范

1 網(wǎng)絡(luò)釣魚攻擊的方式

1.1 通過修改URL來實現(xiàn)欺騙攻擊

1.1.1 域名欺騙

釣魚者提供的鏈接地址，一般都是仿冒銀行、購物等知名網(wǎng)站，人們對這些網(wǎng)站的網(wǎng)址都比較熟悉，所以釣魚者會使用看起來非常相似的域名，以達到以假亂真的目的。例如：工商銀行的真正網(wǎng)址是www.icbc. com，而www.1cbc.com就是用數(shù)字1來仿冒小寫字母i。網(wǎng)民稍不注意，就會誤認為這些鏈接指向的是合法網(wǎng)站，從而點擊鏈接訪問這些網(wǎng)站。

1.1.2 IP地址欺騙

IP地址欺騙主要是利用一串十進制格式數(shù)字，通過不知所云的數(shù)字麻痹用戶，如假定www.hack.cn的IP地址202.106.185.75，換算成十進制后就是3395991883，對于URL：www.XXX.cn＠3395991883實際訪問的網(wǎng)址應(yīng)該是www.hack.net。

1.1.3 鏈接文字欺騙

鏈接文字本身與實際網(wǎng)址不相同，通過鏈接文字迷惑用戶。

1.1.4 Unicode編碼欺騙

利用Unicode編碼的安全漏洞，在URL中使用“%20%30”這樣的數(shù)據(jù)，使人們看不出它真正的內(nèi)容。

1.2 利用社會工程學(xué)原理

社會工程學(xué)是網(wǎng)絡(luò)釣魚者常用的一種手段，它是一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法。通過社會工程學(xué)技術(shù)愚弄用戶，通常通過在知名電子商務(wù)網(wǎng)站發(fā)布虛假商品信息，以所謂“超低價”、“走私貨”、“慈善義賣”、“免稅”等名義出售，或在釣魚郵件的內(nèi)容中包含類似“您中獎了”、“需要驗證您的賬戶，請快速處理，否則賬戶會被凍結(jié)”等迫切需要用戶“更新”或“核實”的數(shù)據(jù)信息。收信人或網(wǎng)頁瀏覽者看到此類信息后，通常都會因緊張、好奇或者貪婪等心理，對其提出的要求做出回復(fù)，從而將個人賬號、口令等敏感信息輕易泄露。

2 實現(xiàn)技術(shù)

2.1 BHO技術(shù)

BHO，Browser Help Objects是用于微軟IE網(wǎng)頁瀏覽器的一個插件，由DLL模塊設(shè)計以提供額外的功能，通過修改注冊表項Browser Helper Objects的鍵值，讓IE把BHO作為一個進程中的服務(wù)啟動，通過IWebBrowser2接口，BHO可以控制并收到來自IE瀏覽器的事件。因此，通過BHO就可以在用戶瀏覽網(wǎng)頁時獲取到頁面是否存在INPUT信息，只對那些有輸入框的頁面提取并進行分析，那些沒有任何輸入框的網(wǎng)頁，則直接把它們過濾掉，并且可以方便地獲得用戶瀏覽網(wǎng)頁的網(wǎng)址URL，域名Domain，標題Title，作為是否為釣魚網(wǎng)站的判斷依據(jù)。

2.2 網(wǎng)頁輸入框檢查

釣魚網(wǎng)站主要是誘惑用戶輸入敏感信息，因而一定會在頁面中設(shè)置輸入框。用戶瀏覽網(wǎng)頁時BHO會針對有無輸入框的網(wǎng)頁進行過濾，即通過嵌入在IE中的BHO插件，獲取到頁面是否存在INPUT信息，然后只將那些有輸入框的頁面提取并對其進行分析，而對那些沒有任何輸入框的網(wǎng)頁，系統(tǒng)則會直接過濾掉，這樣可以大大減少系統(tǒng)的檢測量，降低用戶訪問等待時間。

2.3 域名和標題匹配檢查

有相當一部分釣魚者，利用網(wǎng)民不注意看域名domain信息和標題title信息是否一致，來誘騙網(wǎng)民進入非法站點卻令其渾然不知，故針對提取到有輸入框的頁面，先進行第一步最為敏感的對比。將網(wǎng)頁的域domain和標題title跟BHO鏈接小型的XML數(shù)據(jù)庫匹配，判斷是否一致，一旦發(fā)現(xiàn)不能匹配，實時給用戶一個警告，讓用戶得到最直接、最快速的第一步安全防范。在此所提到的小型的XML數(shù)據(jù)庫可存放知名網(wǎng)站（容易被釣魚者利用的網(wǎng)站，如銀行，淘寶等）的域名和標題，作為比對對象。

2.4 黑白名單匹配檢查

黑白名單這一理念幾乎用在所有的安全軟件當中，而且也是一個最基本的安全防范措施。因此，如果BHO數(shù)據(jù)庫中沒有匹配成功，則在黑白名單中進行更深一步的查找處理。為此可在數(shù)據(jù)庫中預(yù)設(shè)白名單和黑名單，白名單保存更多合法網(wǎng)站的網(wǎng)址URL和域名domain。在匹配的過程中，先檢索黑名單中被用戶自定義禁止訪問的站點是否匹配，然后再檢索白名單。除了在黑白名單中預(yù)設(shè)網(wǎng)址，還可允許用戶自定義的添加用戶覺得合法的站點以及用戶想禁止訪問的站點，即禁止對所有黑名單、允許對所有白名單中的網(wǎng)頁訪問，讓用戶使用起來更靈活、快捷。

2.5 域名備案查詢

從很大程度上來講，一個合法正規(guī)的網(wǎng)站都需要去域名備案中心注冊相應(yīng)的域名權(quán)限和備案號，而釣魚網(wǎng)站一般都不會注冊，這也是釣魚網(wǎng)站存活時間短的原因之一，所以域名備案信息查詢也是反釣魚的一種有利手段。若在黑白名單中沒有檢索匹配成功，則將該網(wǎng)頁對應(yīng)的域名信息傳送至域名備案中心進行查詢，返回查詢結(jié)果（有無注冊，有無備案號），判斷該網(wǎng)頁是否合法，及時確認消息并更新到數(shù)據(jù)庫。

2.6 圖像特征識別

為達到誘騙的目的，很多釣魚網(wǎng)制作得跟真正的網(wǎng)上銀行、證券交易平臺等合法網(wǎng)站驚人的相似，而圖像識別就能很好的解決，使得檢測釣魚網(wǎng)效率更高，減小了監(jiān)控時出現(xiàn)誤判和漏判的概率。因此在黑白名單中沒有匹配成功的網(wǎng)址URL，可將其對應(yīng)該加載后的網(wǎng)頁（一般都是賬號密碼輸入頁面）進行一次截圖，計算該圖片的特征值，并與數(shù)據(jù)庫中現(xiàn)存知名網(wǎng)站的賬號密碼輸入頁面比對，通過兩張圖片相似度及其域名是否一致來判斷該網(wǎng)頁是否為釣魚網(wǎng)頁。

總之：網(wǎng)絡(luò)釣魚之所以如此猖獗，其主要原因就是利用了人們疏于防范的心理。只要我們做到細心檢查網(wǎng)址、忽視網(wǎng)絡(luò)中獎消息、謹慎對待電子郵件、自覺杜絕不良網(wǎng)站以及做好安全防護，保護好自己的敏感信息，讓網(wǎng)絡(luò)釣魚者徹底消失。

[1]趙躍華，胡向濤.網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)及防御框架設(shè)計[J].計算機應(yīng)用研究，2013，30（6）.

[2]徐磊.10類新型網(wǎng)絡(luò)釣魚攻擊及防衛(wèi)[J].計算機與網(wǎng)絡(luò)，2015，41（22）.

TP393.0

A

1004-7344（2016）24-0270-01

2016-8-14