2007NO.34学术论坛SCIENCE&TECHNOLOOYINFORMAT心N网络钓鱼及其防范对策研究刘晓波(南京信息工程大学210001)摘要:通过网络仿冒进行金融欺诈活动是当前的安全热点问题之一,越来越引起人们的重视。本文对网络钓鱼的特点、手段等问题进行了分析,并对其相应的防范对策作了一些探讨。提出了将数字证书存放在USBKey中的基于PKI的证书机制的解决方案。关键词:网络钓鱼数字证书双因素认证中图分类号:TP393文献标识码:A文章编号:1672-3791(2007)12(a卜0185-021网络钓鱼概述1,网络钓鱼的概念网络钓鱼(Phishing)的攻击方式,近来在电子商务交易中时常可见,它是“Fishing\"和2网络钓鱼的常用手段2.1建立假冒网址和网页伪造网站通常与垃圾邮件的手法结合运用,注册和真实网站十分相似的网址,让用户难以辨别。如曾出现过的某假冒银行网站,网址为http://www.1cbc.com.cn,而真正银行网站是http://www.icbc.com.cn,网络钓鱼者利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。另外,用户可能不知道一些网址是否带有国家域名,例如假设一个真实网站的网址是马程序,利用间谍或木马程序监看用户的账号和密码,甚至随时监控用户的URL浏览记录,观察并掌握其登录行为,以窃取更多的机密资料。如在被感染的机器上根植“击键信息收\"Phone”的综合词。由于黑客的始祖起初是通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,以获取收信人在此网站上输入的个人敏感信息,如信用卡号、用户名、口令和社保编号等内容。通常这个攻击过程不易引起受害者的警觉。在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。以电话作案,所以用“Ph”来取代“F\",创造了‘`Phishing”这个词汇。最典型的网络钓鱼1.2网络钓鱼现状及危害最近一年以来,网络钓鱼在美、英等国家变得非常猖撅,数量急剧攀升,已经对该地区开展电子商务的企业造成严重的威胁。目前中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位。然而与此同时,中国用户没有举报仿冒网站的意识,通常发现后也没有采取必要的补漏洞和木马清除等措施,结果出现同一主机被多次利用的情况。金融机构、信用卡发行商、零售商等电子商务参与各方,都可能成为黑客的对象。网络钓鱼不仅损害了业务,而且使消费者参与电子商务的信心动摇,使电子商务的发展面临严峻的挑战。目前,网络钓鱼已经成为中国信息安全领域的新课题。网上交易时,木马程序即以键盘记录的方式获取用户账号和密码。又如2004年网上出现的盗取某银行个人网上银行帐号和密码的木马TrojHidWebmon及其变种,它甚至可以盗取用户数字证书。再如木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。网络钓鱼者通过对照图片中鼠标的点击位置,就很有可能破译出www.abc.xxx.cn,而仿冒网站使用用户的账号和密码,从而突破软键盘密码保护\"www.abc.xxx\",很多人也无法PIl断。技术,严重威胁股民网上证券交易安全。此类假冒网站通常利用一些“竟价排名”代理商对发布人身份审核不严的漏洞,2.3利用用户弱口令等漏洞破解、摘测用户花钱把自己排在搜索引擎的显著位置,坐等用账号和密码有的网络钓鱼者还利用用户贪图方便,设户上钩,用户稍不留意就可能通过搜索引擎点击进入到假冒网站。例如,2004年12月,江置口令过于简单的漏洞,对银行密码进行破三名网络钓鱼者从网上民反病毒研究中心监测到,一个假冒证券公司解。如2004年10月,然后登陆该银行网上“首放”(www.shoufan.com)的网站通过竟搜寻某银行储蓄卡卡号,价排名的形式被排在搜索引擎的显要位置,该银行网站,尝试破解弱口令,并屡屡得手。2.4跨站攻击网站网名与真首放证券网站网址(www.跨站攻击是指网络钓鱼者在远程Web页shoufang.com.cn)相似,用户通过搜索引擎点击进入后会感染“证券大盗”病毒,该病毒面的HTML代码中插入具有恶意目的的数能盗取用户的证券交易号码,从而操纵用户的据,使得用户认为该页面是可信赖的,但是当浏览器下载该页面时,嵌人其中的脚本将在用账号进行证券买卖。网络钓鱼者如采用这种户端解释执行。网络钓鱼者利用一段特殊的手段,普通用户将很难识破。跨站攻击脚本代码让用户进入正常网站时,弹2.2利用木马和黑客技术等手段窃取用户信息出一个此网站不存在的网页对话框,它要求用网络钓鱼者的手法越来越高明,通过发送户输入密码或者把用户引入伪造的站点,因为邮件或在网站中隐藏木马等方式大肆传播木们再将其转换到展开图坐标系中去。开图也就很容易画了,这里就不再赘述。集器\"(Keyloggers),当感染木马的用户进行C12二才-I'C6一2c6R。再将(7)代入(6),得面N与直角锥管交点2R一C6xSK、的z坐标值:ZA2R+灰‘由此可知矩形锥管与直角锥管相贯线上的点K的z坐标值的范围,}x-}由图I可知:tanoK二七:品。设叭为),‘包含K点的直角锥的素线与直角锥管下端面参考文献[I]汤永贵.饭金工展开计算手册tm],冶金工业出版社.的交点。则素线EWK的长度为:面‘::,。LZk,,ZK,1面I:ZII任2LERK=声‘+(2RcosJ,)'EK的长度为:犬‘Z展开图必交于一点M,且LAIEA=y,这样K、、点在展开图坐标系中的坐标也就确定了。1州凡八r=o,1,2,…,m=(、HK=-Elf,',siny,i'K二tE:A一EW,cosy。:‘二“K2+m面I与直角锥管的相贯线就可以画出来了。一一(8)。把(8)代入(3),求出凡值,再将戈、其他两面与直角锥管相贯线的画法与此,则对面I有:面W:z1vE间的2坐标值皆m..卜才卜K‘,1|孔川,。将上述各段区等分LEA=寸XX+,,吴+(:、一S)2由于直角锥管的展开图已经画出。现以E为圆心,以E叽为半径作圆,与直角锥管的Zk代入(2)中,以求出Yk,这样,面I与直角锥管相贯线上的点K的坐标值就有了。下面我相同。有了相贯线上各点的坐标,矩形锥管的展科技资讯SCI任NCE&TEC日NOLOGYINFORMATfON185TECHNOLOGYINFORMATION这些对话框是用户在进入正常网站时看到的,他们自然不会怀疑它的真实性,然而正是这种心理欺骗使得网络钓鱼者再次有机可乘。这种“木马程序+假冒网站”的组合,看起来越来越“完美”,也越来越,’可信”。其中最令安全专家忧心的是,网络钓鱼者使javascript将浏览器网址所显示的地址换掉,让呈现出来的网址与假冒公司的官方网址完全相同。2,5社会工程学陷阱社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。较为常见的形式有以下两种:2.5.1发送电子邮件,以虚假信息引诱用户中圈套网络钓鱼者以垃圾邮件的形式大量发送欺诈性邮件,内容多以中奖、顾问、对帐、“安全通知”、“服务升级”等等,并提供注册网上银行的URL链接。由于心理作用,人们收到银行这类影响力很大的商务邮件时几乎都会紧张,很多人都不曾怀疑信件的真实性,更会下意识地根据要求打开邮件里面指定的URL进行操作,从而落人了网络钓鱼者精心伪造的陷阱网站。而这个所谓的注册网上银行页面,伪造得与真正的银行页面完全一致,但是它的功能却是把账号和密码发送到了幕后的网络钓鱼者的手上,然后网络钓鱼者登录上真正的网络银行修改密码,并把银行账户里的存款转移掉。2.5.2利用虚拟电子商务进行诈骗此类犯罪活动往往利用人们贪图小便宜的心理实施诈骗。他们通常建立电子商务网站,或是在“易趣”、“淘宝”、“阿里巴巴”等比较知名、大型的电子商务网站上发布虚假的商品销售信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,以走私货充行货,或是承诺免费赠送一些物品以及发送一些“美女”如何如何的信息等等。这些带有诱惑性的信息往往能够让一些人失去理智,最终落入网络钓鱼者早已设好的陷阱。实际上,网络钓鱼者经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ,msn进行各种各样的“网络钓鱼”不法活动。3网络钓鱼的防范对策保护用户免受“钓鱼”侵害的防范对策主要分为技术和人两个方面。3.1技术方面随着网络钓鱼技术的不断提高,曾经作为最主要的安全防范手段,如安装反病毒软件和网络防火墙。及时给操作系统和应用系统打补丁,堵住软件漏洞等,这些已经不能满足人们反网络钓鱼的需求。采用传统的身份认证技术同样也不能有效防治防止钓鱼攻击,如最常见的使用用户名加口令的方式,非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;采用指纹、声音、手迹、虹膜等生物特征识别技术,虽然具有很好的安全性和有效186科技资讯SCIENCE&TECHNOLOGYINFORMATION性,但实现的技术复杂,技术不成熟,实施成本昂贵,在应用推广中不具有现实意义。防范网络钓鱼的有效方法是一种基于PKI的证书机制,它能做到网上真实身份的认证和抗否认的数字签名,及数据的完整性和保密性。当前国内外最安全的证书机制及其发展趋势是将证书存放在USBKey中。3.1.1基于PKI证书的强认证方式PKI证书机制利用CA公钥,实现了双向认证过程。当用户登录网络银服务器时,网络银服务器首先利用事先已装好的CA公钥验证用户的真实身份和检查用户证书的有效性,同时,用户也要利用CA公钥验证银行网站是否是自己的真实开户行、检查银行证书的有效性等。因为网上银行的网站和客户的浏览器都申请安装了第三方CA所签发的证书,井安装了CA根证书的公钥。这样当客户通过SSL协议通道登录访问网络银服务器时,客户端与网络银服务器之间就进行了双方认证。虽然这种严格的操作过程要付出一定的系统开销作代价,但它对用户来说是透明地和无缝地操作,可彻底杜绝网上钓鱼事件的发生。所以成为目前网上银行、电子商务最安全的保证,也是国内外最安全的网上银行认证方法。3.1.2基干数字证书与USBKey相结合的认证方式USBKey认证方式可大大减少黑客“特洛伊木马”的攻击。当前国内外最安全的认证证书机制及其发展趋势是将数字证书存放在USBKey中。USBKey是一种USB接口的硬件设备,可以将其称为“安全电子钥匙”,它内置单片机或智能卡芯片,可以存储用户的私钥或数字证书以及密码算法。将证书存放在中,由于采用了软硬件相结合的认证模式,每USBKey个USBKey硬件都具有用户PIN码,使其很好地解决了安全性与易用性之间的矛盾,具有私钥不出卡,黑客程序窃取不到、保障数字证书和私钥无法被黑客复制等优点,使银行可以大大减少受黑客“特洛伊木马”的攻击的次数,确保网上银行账户资金的安全。安全可靠,便于携带、使用方便、成本低廉,且具有PKI体系完善的数据保护机制等优点,使USBKey存储数字证书的认证方式已经成为目前主要的认证模式。PKI证书与USBKey相结合可以做到双因素认证。使用USBKey存储数字证书的认证方式还可以作到双因素认证。双因素是密码学的一个概念,以理论上来说,身份认证有三个要素:一是:需要使用者记忆的身份认证内容,例如密码和身份证号码等等。二是:使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。三是:使用者本身拥有的唯一特征,例如指纹,瞳孔,声音等等。一般使用者只使用了第一个要素,它是不安全的方式,而将第一及第二种要素结合则成为现在更安全的认证作法,也就是所谓的“双因素认证”。其可结合用户拥有的认证设备以及其已知的信息两个因素同时使用,就跟利用自动柜员机提款相似:使用者必需利用提款卡(认证设备),再输人个人识别号码(已知—学术论坛信息),才能提取其账户的款项。每一个USBKey都具有硬件PIN码保护,PIN码和硬件构成了用户使用USBKey的两个必要因素,即所谓“双因素认证”。双因素认证用户只有同时取得了USBKey和用户PIN码,才可以登录网上银行系统。即使用户的PIN码被泄漏,只要用户持有的USBKey不被盗取,合法用户的身份就不会被仿冒;如果用户的USBKey遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。双因素认证中有强因子或弱因子之分,一般口令或USBKey的PIN都属于弱因子,而证书和指纹等属于强因子认证。强/弱因子相结合,可以大大减少网上钓鱼的攻击。目前,双因素认证已成为网上银行和电子商务安全的最佳选择。3.2人的方面然而,单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的。人的因素仍然是网络安全管理的决定因素,网络安全最薄弱的环节也并不是系统漏洞,而是人的漏洞。个人用户要避免成为网络钓鱼的受害者,一定要加强安全防范意识,在访问重要的网站时,尽量选择直接输人网址登录,避免采用搜索引擎的链接或点击邮件中的链接进入相关网站;要养成良好的使用习惯,不要轻易登录访问陌生网站、黄色网站和有黑客嫌疑的网站,拒绝下载安装不明来历的软件,拒绝可疑的邮件,及时退出交易程序,做好交易记录及时核对等等。同时提高电子商务企业的网络安全意识,加大整体防范网络入侵和攻击的能力,并在此基础上形成一支高素质的网络安全管理专业队伍,及时准确地应对各式各样的网络安全事件,才能从根本上解决我们面临的网络钓鱼的威胁和困扰。参考文献[1]TangShaohua,WeiGang.ID-baseddigitalmultisignaturescheme[J].Jour-nalofCircuits,Systems,andComputers,1999,9(3&4):223一227[2]CNCERT/CC,\"2005年CNCERT/CC网络安全工作报告”[EB/OL].http://www.cert.org.cn/,2006-02-27.[3]PhishingActivityTrendsReport.Anti-PhishingWorkingGroup.http://www.antiphishing.org.[4]虞正伟,宫路.网上银行犯罪特点分析及其对策【J].江苏警官学院报,2004(5).[5l孔维广.Phishing攻击的技术分析与防范措施【J].武汉科技学院学报,2006(3):19.[6]陈睿.网络钓鱼犯罪分析【Jl.网络安全技术[7]杜跃进与应用,.在线身份窃取攻击【2005(8):70-73.J].网络安全技[8l戴宗坤术与应用,.信息系统安全2005,8.[M].北京:电子工业出版社,2002,11.