发布时间:2024-05-13 09:40:44 作者:佚名 点击量:
关于网络钓鱼,其实现在有两种理解,第一种就是最原本的,内容如下。摘自百度百科[1]
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。
最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。网络钓鱼是一种在线身份盗窃方式
这种钓鱼呢是最原本的网络钓鱼的意思, 而且我相信很多人都经历过甚至上过当。就比如我自己就被钓过鱼:
曾经小学还在玩DNF的时候看到频道里面有人发“腾讯感恩回馈活动,登陆https://xxxx 即可领取稀有宠物一只”。于是进入此网页,长得很像腾讯和DNF的域名,网站带着腾讯和DNF的logo,乍一看没问题,于是输入账号密码登陆点击领取宠物(那个时候还没有QQ/TIM客户端一键登录的操作)。然后登陆DNF看看自己宠物到账没有,进去一看号被洗个精光。
这就是最原本的钓鱼,是一种非法的盗取他人信息以及财产的方式。
从这引申出来还有一个叫做“钓鱼执法”的概念。摘自维基百科[2]
钓鱼执法(entrapment),又称钓鱼式执法、倒钩(执法)或执法圈套,指的是行政执法部门有意隐蔽身份,采取手段,候待甚至引诱被执法人做出违法行为,而后将其抓捕的执法形式。因其为执法而引诱犯罪,纵容犯罪的出发点,有执法而违法的争议。
而现在论坛、自媒体等信息传递形式发达后,钓鱼有了新的意思。简单点说就是用带有噱头、劲爆消息、不实消息等内容吸引人评论或做其他操作。而且通常来说,上钩者会被钓鱼的人或者其他看穿是钓鱼消息的人嘲笑或者同情。
举个很简单的列子,下面这张图就是在钓鱼:
[图片]
钓鱼式攻击是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称来自于风行的社交网站、拍卖网站、网络银行、电子支付网站、或网络管理者,以此来诱骗受害人的轻信。网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。
网钓技术最早于1987年问世,而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼的变种之一,大概是受到“飞客”一词影响,意味着放线钓鱼以“钓”取受害人财务资料和密码。
网钓技术早在1987年,以论文与演示稿的方式描述交付给Interex系统下的国际惠普用户组。第一次提到“网钓”这个术语是在1996年1月2日于alt.online-service.America-online Usenet新闻组,虽然该术语可能在黑客杂志2600书面版本上更早出现。
网钓的历史与现状
网钓技术早在1987年,以论文与演示稿的方式描述交付给Interex系统下的国际惠普用户组。第一次提到“网钓”这个术语是在1996年1月2日于alt.online-service.America-online Usenet新闻组,虽然该术语可能在黑客杂志2600书面版本上更早出现。
早期在AOL的网钓
美国在线的网钓与交换盗版软件的warez社区密切相关。自从AOL于1995年底采取手段防止利用算法产生的伪造信用卡号来开立账号后,AOL破解者便诉诸网钓以获取合法账号。
网钓者可能乔装成AOL的工作人员,并对可能的受害者发送即时通信,询问此人揭露其密码。为了引诱受害者让出其个人敏感资料,通信内容不可避免的有类似“确认您的账号”或者“核对您的账单信息”。一旦发现受害人的密码,攻击者可以获取并利用受害人的账户进行诈欺之用或发送垃圾邮件。网钓和warez两者在AOL一般需要自行开发应用程序,像AOHell即是一例。由于在AOL上网钓变得如此普遍,该公司在其所有即时通信上加了一行声明:“不会有任何AOL员工会询问您的密码或者账单信息。”。
1997年年后,AOL注意到网钓与Warez并更加紧缩其政策施行,以强迫盗版软件与AOL服务器绝缘。AOL另一方面开发一种可立即停用与网钓挂勾账号的系统,这常常在受害人可回应之前就达成了。在AOL的warez后台关闭导致大部分网钓者离开该服务,许多网钓者通常是年轻十几岁的青少年,他们长大后就戒除了这种坏习惯。
从AOL到金融机构的转型
捕获的AOL账户信息可能导致网钓攻击者滥用信用卡信息,而且这些黑客认识到,攻击在线支付系统是可行的。第一次已知直接尝试对付支付系统的攻击是在2001年6月,影响系统为E-gold,该事件发生后紧跟在九一一袭击事件之后不久的“后911身份检查”。当时的这两个攻击都被视为失败之作,不过现在可将它们看作是对付油水更多主流银行的早期实验。到了2004年,网钓被认为是经济犯罪完全工业化的一部分:专业化在全球市场出现,它提供了找钱的基本组件,而这组件被拼装成最后完美的攻击。
近来网钓的攻击
从2004年10月到2005年6月网钓报告的图表显示网钓有增加的趋势
网钓者目标是针对银行和在线支付服务的客户。理应来自于美国国税局电子邮件,已被用来收集来自美国纳税人的敏感资料。虽然第一次这样的例子被不分青皂白的寄送,其目的是期望某些收到的客户会泄漏其银行或者服务资料,而最近的研究表明网钓攻击可能会基本上确定潜在受害者会使用哪些银行,并根据结果递送假冒电子邮件。有针对性的网钓版本已被称为鱼叉网钓。最近几个网钓攻击已经具体指向高层管理人员,以及其他企业大户,而术语“鲸钓”一辞被创造出来描述这类型的攻击。
社交网站是网钓攻击的目标,因为在这些网站的个人资料明细可以用于身份盗窃;2006年年底一个电脑蠕虫接管MySpace上的网页,并修改链接以导引该网站的网民到设计好窃取登录信息的网站。实验表明,针对社交网站的网钓成功率超过70%。
几乎有一半的网钓窃贼于2006年被确认是透过位于圣彼得堡的俄罗斯商业网络集团所操控。
随着2008年比特币及其他加密货币的兴起,许多区块链与加密货币亦成为了钓鱼集团的目标,有黑客于Steemit平台表示他使用非常简单的钓鱼网站毫无难度地于于一天盗取了价值8000美元的比特币。
2018年,开发http://EOS.IO区块链的公司block.one遭受钓鱼集团攻击,黑客入侵block.one使用的Zendesk电邮系统,并使用该系统冒认公司客服而向所有客户发出钓鱼电邮。当用户打开电邮内的超链接,便会访问一个截取用户加密货币钱包密钥的页面,黑客会透过密钥打开加密货币钱包及盗取用户的数字资产。
同年,http://EOS.IO区块链上的空投代币亦多次遭受钓鱼攻击,比如EOS Black曾遭受攻击,黑客集团模仿EOS Black网站原型制作相似度相当高的钓鱼网站,网站要求用户输入密钥以领取空投代币,黑客透过密钥可以导取用户的数字资产。
网钓技术
链接操控
大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于一封电子邮件中的链接似乎属于真正合法的组织。拼写错误的网址或使用子网域是网钓所使用的常见伎俩。在下面的网址例子里,www。您的銀行。範例。com,网址似乎将带您到“您的银行”网站的“示例”子网域;实际上这个网址指向了“示例”网站的“您的银行”子网域。另一种常见的伎俩是使锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。下面的链接示例:诚实,似乎将您导引到条目“诚实”,点进后实际上它将带你到条目“谎言”。
另一种老方法是使用含有'@'符号的欺骗链接。原本这是用来作为一种包括用户名和密码的自动登录方式。例如,链接http://www。xxx。com@members。tripod。com/可能欺骗偶然访问的网民,让他认为这将打开www。xxx。com上的一个网页,而它实际上导引浏览器指向members。tripod。com上的某页,以用户名www。xxx。com。该页面会正常开启,不管给定的用户名为何。这种网址在Internet Explorer中被禁用,而Mozilla Firefox与Opera会显示警告消息,并让用户选择继续到该站浏览或取消。
还有一个已发现的问题在网页浏览器如何处理国际化域名,这可能使外观相同的网址,连到不同的、可能是恶意的网站上。尽管人尽皆知该称之为的IDN欺骗或者同形异义字攻击的漏洞,网钓者冒着类似的风险利用信誉良好网站上的域名转址服务来掩饰其恶意网址。
过滤器规避
网钓者使用图像代替文字,使反网钓过滤器更难侦测网钓电子邮件中常用的文字。
网站伪造
一旦受害者访问网钓网站,欺骗并没有到此结束。一些网钓诈骗使用JavaScript命令以改变地址栏。这由放一个合法网址的地址栏图片以盖住地址栏,或者关闭原来的地址栏并重开一个新的合法的URL达成。
攻击者甚至可以利用在信誉卓著网站自己的脚本漏洞对付受害者。这一类型攻击的问题尤其特别严重,因为它们导引用户直接在他们自己的银行或服务的网页登录,在这里从网络地址到安全证书的一切似乎是正确的。而实际上,链接到该网站是经过摆弄来进行攻击,但它没有专业知识要发现是非常困难的。这样的漏洞于2006年曾被用来对付PayPal。
还有一种由RSA信息安全公司发现的万用中间人网钓包,它提供了一个简单易用的界面让网钓者以令人信服地重制网站,并捕捉用户进入假网站的登录细节。
为了避免被反网钓技术扫描到网钓有关的文字,网钓者已经开始利用Flash构建网站。这些看起来很像真正的网站,但把文字隐藏在多媒体对象中。
电话网钓
并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。一旦电话号码被拨通,该系统便提示用户键入他们的账号和密码。话钓 有时使用假冒来电ID显示,使外观类似于来自一个值得信赖的组织。
WIFI免费热点网钓
网络黑客在公共场所设置一个假Wi-Fi热点,引人来连在线网,一旦用户用个人电脑或手机,登录了黑客设置的假Wi-Fi热点,那么个人资料和所有隐私,都会因此落入黑客手中。你在网络上的一举一动,完全逃不出黑客的眼睛,更恶劣的黑客,还会在别人的电脑里安装间谍软件,如影随形。
隐蔽重定向漏洞
主条目:隐蔽重定向漏洞
2014年5月,新加坡南洋理工大学壹位名叫王晶的物理和数学科学学院博士生,发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"]。
攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。
黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,壹旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。
网钓的例子
PayPal网钓
一个PayPal网钓邮件的抓图
在PayPal网钓示例里,电子邮件里的拼写错误以及非PayPal网域链接的存在都是线索,指出这是一个网钓的企图。另一种网钓法是无个人问候的赠品,尽管显示的个人资料并不保证其正当性。一个合法的PayPal通信总是以用户的真实姓名问候,而非一个普通的问候如:“敬启者”、“亲爱的用户”。其他的信息欺诈的迹象像是简单不过的字拼写错误、文法拙劣、以及威胁收信人若不遵照信息指示办理的话会遭账号停用的处分。
请注意,许多网络网钓电子邮件会如同来自PayPal的一封真正的电子邮件般包括一则永不将您的密码泄漏以防网钓攻击的重大警告。这些警告用户网钓攻击的可能性,并提供链接到帮助如何避免或识别此种攻击的网站的种种,是使得该网钓电子邮件如此虚伪以便欺骗。在这个例子里,网钓电子邮件警告用户,PayPal绝对不会要求您提供敏感信息。该信件言而有信不问您敏感信息,反而邀请用户点击一个链接,以“确认”其账户;这一步将导引这些受害人进一步访问网钓网站,其设计看起来与PayPal网站很像。而在那里会问这些受害人的个人机密信息。
RapidShare网钓
在RapidShare的网页主机,网钓是相当寻常以获得高级账号的手段,从而移除下载速度限制、上传自动删除、下载前等候、以及下载间的时间间隔。
网钓者使用在warez站张贴到文件的链接以获得RapidShare高级账户。然而,利用链接别名工具如TinyURL,他们可以伪装成实际上真正网页托管在别的地方的网址,而这网页与RapidShare的“免费用户或高级用户 ”页看来很像。如果受害人选择免费用户,网钓者只是将它们传递给真正的RapidShare网站。但是,如果他们选择的高级账户,那么网钓网站的将在他们进行下载之前登记其登录信息。到此阶段,网钓者已从受害者偷走了高级账户信息。
钓来的RapidShare账户通常拿来转卖,售价比RapidShare的高级账户便宜。
鉴别一个RapidShare网钓网页的最简单方式是使用Mozilla Firefox,右击别名页,并选择“This Frame”>“Show only this frame”。这将揭露真正的网页,您可以看到网址将不是rapidshare。com。
网钓造成的损失
网钓所造成的损害范围从拒绝访问电子邮件到钜大财务损失都有。这种形式的身份盗窃正在普及,因为给信任的人方便往往泄露个人信息给网钓者,这些信息包括信用卡号码、社会安全号码、身份证号码、和母亲婚前姓名。也有人担心身份窃贼仅仅透过访问公开纪录就可以添加此类信息到它们获取的知识库中。一旦这信息被获取了,网钓者可能会利用个人资料明细以受害者姓名创造假账号。然后他们可以毁掉受害者的信用,或者甚至让受害人无法访问自己的账户。
据估计,从2004年5月和2005年5月,大约120万电脑用户在美国遭受网钓所造成的损失,总计约92900万美元。随着为美国企业的客户成为受害者,该国企业估计每年损失20亿美元。2007年网钓攻击升级。截至2007年8月前在美国360万成年人于12个月内失去32亿美元。在英国,网络银行诈骗的损失—大多来自网钓—几乎增加了一倍从2004年1220万英镑到2005年2320英镑,而在2005年,每20个电脑用户中就有一个声称因网钓造成的财务损失。
英国银行机构APACS采取的立场是:“客户还必须采取合理的预防措施...,如此对罪犯而言他们才不会好欺负。”同样,2006年9月当第一次大量的网钓攻击登陆爱尔兰银行业界时,爱尔兰银行起初拒绝补偿客户所遭受的损失),虽然会补偿损失的金额上限定调为1万1300英镑还算不错。
反网钓
打击网钓攻击有许多不同的技术,包括设立专门的技术和立法以防范网钓。
社会回响
打击网钓的策略之一,是试着培养人们识别网钓,并教导怎样处理这些问题。教育可以是有效的,尤其是训练提供直接的反馈。一个被称为叉网钓—利用网络网钓电子邮件针对特定的公司—的较新网钓手法,已被用来迷惑在社会各个角落的人士,包括西点军校。在2004年6月叉网钓的一次实验中,收到假电子邮件的500名西点军校学员中有80%被骗并泄露个人信息。
人们可以采取措施以避免网钓的企图,以稍稍修改其浏览习惯的方式。当接触某要求您“核对身份”的信件或账号时,明智之举是与该信件明显来源公司联系以检查该电子邮件是否合法。另外,个人所知道地址是该公司的真正的网站,可透过在浏览器网址栏输入拜访,而不是盲目相信任何涉嫌诈骗邮件里的超链接。
几乎所有从公司到其客户的合法电子邮件都起码包含一项信息是网钓者手头没有的。有些公司,例如PayPal,总是在其电子邮件中以客户用户名称呼其客户,依此类推,如果一封电邮的收件人是以通用格式称呼很可能是企图在网钓。从银行和信用卡公司来的电子邮件往往包括账户号码的部分。然而,最近的研究显示,大众通常不区分账号头几个数字和尾几个数字,这是一个很严重的问题,因为头几个数字通常一个金融机构的所有客户都相同。人们可以接受训练来当如果邮件不包含任何具体的个人信息时提高他们的怀疑。不过,在2006年年初,网钓企图利用个性化的信息,这使得列明个人信息保证邮件是合法的假设不安全。此外,另一项最近的研究报告推断列明个人信息并不显著的影响网钓攻击的成功率,这表明大多数人并不注意这些细节。
一个行业和执法机构组成的反网钓工作组建议,随着人们越来越认识到网钓者所使用的社会工程学技俩,传统的网钓欺诈技术可能在未来过时。他们预测,网址嫁接和其他利用流氓软件将变成窃取信息的常见工具。
技术对策
反网钓措施已经实现将其功能内嵌于浏览器,作为浏览器的扩展或工具栏,以及网站的登录程序的一部分。下面是一些解决问题的主要方法。
协助识别合法网站
大多数网钓盯上的网站都是保全站点,这意味着的SSL强加密用于服务器身份验证,并用来标示在该网站的网址。理论上,利用SSL认证来保证网站到客户端是可能的,并且这个过去是SSL第二版设计要求之一以及能在认证后保证保密浏览。不过实际上,这点很容易欺骗。
表面上的缺陷是浏览器的保全用户界面 不足以应付今日强大的威胁。透过TLS与证书进行保全认证有三部分:显示连线在授权模式下、显示用户连到哪个站、以及显示管理机构说它确实是这个站点。所有这三个都需齐备才能授权,并且需要被/送交用户确认。
安全连线:从1990年代中期到2000年代中期安全浏览的标准显示是个锁头,而这很容易被用户忽略。Mozilla于2005年使用黄底的网址栏使得安全连线较容易辨认。不幸的是,这个发明后来被撤销,导因于EV证书:它代以对某些高价的证书显示绿色,而其他的证书显示蓝色 。
哪个站:用户应该确认在浏览器的网址栏的域名是实际上他们要访问的地方。网址可能是过度复杂而不容易从语法上分析。用户通常不知道或者不会鉴别他们想要链接的正确网址,故鉴定真伪与否变得无意义。有意义的服务器认证条件是让服务器的标识符对用户有意义;而许多电子商务网站变更其网域名成为他们整体网站组合的其中之一 ,这种手段让困惑的几率增大。而一些反网钓工具条仅显示访问过网站域名的做法是不够的。
另一种替代方法是Firefox的宠物名附加组件,这让用户键入他们自己的网站标签,因此他们可以在以后再度访问该站时认出。如果站点没有被认出,则软件会警告用户或彻底阻拦该站点。这代表了以用户为中心的服务器身份管理。某些人建议用户选定的图像会比宠物名效果要好。
随着EV证书的出现,浏览器一般以绿底白字显示机构名称,这让用户更加容易识别并且与用户期望一致。不幸的是,浏览器供应商选择仅限定EV证书可独享这突出的显示,其他种证书就留待用户自己自求多福了。
谁是管理机构:浏览器需要指出用户要求连到对象的管理机构是谁。在保全等级最低的阶段,不指名管理机构,因此就用户而言浏览器就是管理机构。浏览器供应商透过控制可接受的授权证书根名单来承担这个责任。这是目前的标准做法。
这里的问题是不管浏览器供营商如何企图控制质量,市面上CA质量良莠不齐亦不实施检查。亦不是所有签署CA的公司行号获取该证书仅是为了认证电子商务组织的同一个模型和概念而已。制造证书是颁给只用来递送信用卡与电子邮件送达确认的低交易额证书;这两者的用途都容易受到诈骗罪犯的扭曲。由此引申,一个高交易额的网站可能容易受到另一个可提供的CA认证蒙混。这种情况可能会在CA位于世界的另一端,并且对高交易额电子商务站不熟悉,或者用户根本就不关心这件事。因为CA只负责保障它自己的客户,并不会管其他CA的客户,故这个漏洞在该模型是根深蒂固的。
对此漏洞的解决方案是浏览器应该显示,并且用户应该熟悉管理机构之名。这把CA当作是种品牌呈现,并且让用户知悉在其所在国家和区段之内可联系到少数几个CA。品牌的使用亦对CA供应商至关重要,借此刺激它们改进证书的审核:因为用户将知悉品牌差异并要求高交易额站点具备周延的检查。
本解决方案首度于早期IE7版本上实现。在当其显示EV证书时,发布的CA会被显示在网址区域。然而这只是个孤立的案例。CA烙上浏览器面板仍存在阻力,导致只有上面所提最低最简单的保全等级可选:浏览器是用户交易的管理机构。
安全浏览的保全模型基础漏洞
改进保全用户界面的试验为用户带来便利,但是它也暴露了安全模型里的基本缺陷。过去在安全浏览中沿用之SSL认证失效的根本原因有许多种,它们之间纵横交错。
在威胁之前的保全:由于安全浏览发生在任何威胁出现之前,保全显示在早期浏览器的“房地产战争”里被牺牲掉了。网景浏览器的原始设计有个站点名称暨其CA名称的突出显示。用户现在常常习惯根本不检查保全信息。
点击通过综合症:然而,浏览器对设置错误站点的警告继续,它并未被降低等级。如果证书本身有错,则浏览器一般都会弹出窗口警告用户。就是因为设置错误太过寻常,用户学会绕过警告。目前,用户习惯同样的忽略所有警告,导致点击通过综合症。例如,Firefox 3有个点击4次以加入例外网站的程序,但是研究显示老练的用户会忽略有中间人攻击的真正情况。即使在今天,因为绝大多数的警告是错误设置而非真正的中间人攻击,要避免点击通过综合症是相当困难。
缺乏兴趣:另一个潜在因素是缺乏虚拟主机的支持。具体起因是缺乏对在传输层安全网络服务器之服务器名指示的支持,以及获取证书费用和不便。结果是证书使用是太过罕见以至于除了特殊情况外它什么事都不能做。这导因对TLS认证普遍知识与资源缺乏,反过来意味着由浏览器供营商升级他们安全性用户界面的过程将是又慢又死气沉沉。
横向联系:浏览器的安全模型包括许多参与者如:用户、浏览器供营商、开发商、证书管理机构、审计员、网络服务器供营商、电子商务站点、立法者和安全标准委员会。介于不同制定安全模型小组间缺乏往来沟通。也就是说,虽然对认证的理解在IETF委员会协议水平是很够深的,这个信息并不表示传达得到用户界面小组。网络服务器供应商并不会优先修正服务器名指示:它们不把这个问题当成保全修正,反而视其为新功能而推迟。实际上,所有的参与者碰到网钓出事时皆诿过给其他参与者,因此自我本身不会被排上优先修正行列。
这情况随着一个包含浏览器供应商、审计员、以及证书管理机构的团体:CAB论坛推出有了一点改善。但是该团体并不是以开放的态度开始,因此导致其结果受到主要大户商业利益的影响,而且缺乏对所有参与者平等对待。即使在今天,CAB论坛并不开放,而且它不为小型证书管理机构、终端用户、电子商务站主等等弱势族群喉舌。
标准高压屏蔽:供营商对标准负责,导致当谈到安全时就是谈论其外包的结果。虽然有许多安全性用户界面的改进,当中有有许多好的实验,因为他们不是标准,或者与标准间相抵触而未被采用。威胁模型可能在一个月内自我更新;安全标准调整需要大约10年。
令人敬畏的CA模型:浏览器供营商使用的CA控制机制本质上并没有更新;而威胁模型却常常翻修。对CA质量控管过程不足以对保护用户量身订做、以及针对实际与当前的威胁做出因应。在更新途中审计过程是迫切需要的。最近EV指南较详细地提供了当前模型,并且创建了一个好基准,但是并没有推动任何本质上急需进行的改变。
浏览器提醒用户欺诈网站
还有一种打击网钓的流行作法是保持一份已知的网钓网站名单,并随时更新。微软的IE7的浏览器、Mozilla Firefox 2.0、和Opera都包含这种类型的反网钓措施。Firefox 2中使用Google反网钓软件。Opera 9.1使用来自PhishTank和GeoTrust的黑名单,以及即时来自GeoTrust的白名单。这个办法的某些软件实现会发送访问过的网址到中央服务器以供检查,这种方式引起了个人隐私的关注。据Mozilla基金会在2006年年底报告援引一项由某独立软件测试公司的研究指出,Firefox 2被认为比Internet Explorer 7发现诈欺性网站更为有效。
在2006年年中一种方法被倡议实施。该方法涉及切换到一种特殊的DNS服务,筛选掉已知的网钓网域:这将与任何浏览器兼容,而且它使用类似利用Hosts文件来阻止网络广告的原理来达成目标。
为了减轻网钓网站透过内嵌受害人网站的图像藉以冒充的问题,一些网站站主改变了图像发送消息给访客,某个网站可能是骗人的。图像可能移动成新的文件名并且原来的被永久取代,或者一台服务器能侦测到的某图像在正常浏览情况下是不会被请求到,进而提交警告的图像。
增加密码登录
美国银行的网站是众多要求用户选择的个人图像、并在任何要求输入密码的场合显示该用户选定图片的网站之一。该银行在线服务的用户被指示在只有当他们看到他们选择的图像才输入密码。然而,最近的一项研究表明仅有少数用户在图像不出现时不会键入他们的密码。此外,此功能对其他攻击较脆弱,如2005年年底斯堪的纳维亚诺尔迪亚银行案,与2006年的花旗银行案。
保全外壳是一种相关的技术,涉及到使用用户选定的图片覆盖上登录窗体作为一种视觉提示以表明该窗体是否合法。然而,不像以网站为主的图像体系,图像本身是只在用户和浏览器之间共享,而不是用户和网站间共享。该体系还依赖于相互认证协议,这使得它更不容易受到来自侵袭只认证用户体系的攻击。
消除网钓邮件
专门的垃圾邮件过滤器可以减少一些网钓电子邮件到达收件人的收件箱。这些方法依赖于机器学习和自然语言处理办法来分类网钓电子邮件。
监测和移除
有几家公司提供银行和其他可能受到网钓诈骗的组织全天候的服务、监测、分析和协助关闭网钓网站。个人可以透过检举网钓到志愿者和产业集团,如PhishTank以做出贡献。
法律对策
在2004年1月26日,美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉。被告是个美国加州少年,据说他设计建造了一个网页看起来像美国在线网站,并用它来窃取信用卡资料。其他国家援引了这一判例追踪并逮捕了网钓者。网钓大户瓦尔迪尔·保罗·迪·阿尔梅达在巴西被捕。他领导一个最大的网钓犯罪帮派,在两年之间做案估计偷走约1800万美元到3700万美元之间。英国当局在2005年6月收押两名男子以其在一项网钓欺诈活动扮演的脚色,而这宗案子与美国特勤处《防火墙行动》 有关。2006年8人在日本被逮捕,日本警方怀疑他们透过假造雅虎日本网站网钓进行欺诈,保释赔款1亿日元。2006年美国联邦调查局逮捕行动继续,以代号《保卡人行动》 在美国与欧洲扣押了一个16人的帮派。
在美国,参议员派崔克·莱希在2005年3月1日向美国国会提审2005反网钓法案。这项法案,如果它已成为法律,将向创建虚假网站、发送虚假电子邮件以诈欺消费者的罪犯求处罚款高达25万美元并且可监禁长达5年。英国在2006年以《2006年欺诈罪法令》强化了其打击仿冒欺诈的法律武器,该法令采用一般欺诈罪,可求刑监禁多达10年,并禁止开发或意图欺诈下拥有网钓软件包。
许多公司也加入全力打击网钓的行列。2005年3月31日,微软向美国华盛顿西部地方法院提交117起官司。这起诉讼指控“无名氏”的被告非法获取的密码信息和机密信息。2005年3月微软和澳大利亚政府间合作,向执法人员教学如何打击各种网络犯罪,包括网钓。在2006年3月,微软宣布计划进一步在美国境外地区起诉100案件,随后该公司信守承诺,截至2006年11月之前,共起诉了129件混合刑事和民事行动的犯罪案件。美国在线亦加强其打击网钓的努力,在2006年早期根据维吉尼亚计算机犯罪法2005年修订版起诉三起共求偿1800万美元,而Earthlink已加入帮助确定6名男子在康涅狄格州的案子,这6名人士稍后被控以网钓欺诈。
2007年1月,杰弗瑞·布雷特·高汀被陪审团援引的2003年反垃圾邮件法将其定罪为加州第一位依此法被定罪的被告。他被判犯下对美国在线的用户发送成千上万的电子邮件,并乔装成AOL的会计部门以催促客户提交个人和信用卡资料的罪行。面对反垃圾邮件法的101年关押以及其他数十个包括诈欺、未经授权使用信用卡、滥用AOL的商标,这部分他被判处70个月监禁。因为没有出席较早的听证会,高汀已被拘留,并立即开始入监服刑。
现在网络钓鱼,一点都不稀奇,古人早就会,不过那时赋予的是纯洁的爱情 ,是表达真诚的爱,没有丝毫恶意。看看魏文帝曹丕的钓鱼诗。
后来成了引君入瓮,比如官员的钓鱼执法以及后来以图财为目的“仙人跳' ,但尚无没有恶作剧,也不像现在这样普遍,甚至出现了钓鱼党。
最初钓鱼是人类生产生活的重要组成部分,随着生产力提高和剩余产品的出现,钓鱼剥离出分支休闲钓鱼,休闲钓鱼不但令人们休养身心,愉悦情趣,还孕育了以钓竿命名,歌颂爱情的文学题材:
“钓竿”:汉乐府饶歌名,晋鼓吹曲亦有'钓竿"。《乐府古题要解》说:“有伯常子避仇河滨为渔者,其妻思之而为“钓竿歌”,每至河侧辄歌之。后司马相如作"钓竿"诗,遂传以为乐曲。若刘孝威‘钓舟画彩鹢,但称纶钓嬉游而已。”于是就有了《钓竿行》。《乐府诗集》卷十八列其为<鼓吹曲辞>,遂传为乐曲。
《钓竿行》颇受人们喜爱,就连皇帝也沉湎其中。三国时期,文采风流的魏文帝曹丕,也忙里偷闲,写了一首“钓竿行”:
东越河济水 遥望大海涯
钓竿何珊珊, 鱼尾何蓰蓰,
行路之好者, 芳饵欲何为?
这是首爱情诗。开头两句“东越河济水,遥望大海涯。”
写出了少女越过滔滔黄河,跨过宽宽的济水,向东遥望大海,思念那里她心爱的人。 她不顾路远疲顿,一心一意地奔向爱人,表达专一之情。
然而,少女急于探望大海之滨爱人的心情,路人哪里知道啊?所以路遇男子依旧用民间惯用,象征求爱的“钓竿何珊珊,鱼尾何蓰蓰”,来暗示对少女的爱慕。
《诗经·卫风》有“笤筵竹竿,以钓于淇”,《相和歌辞.白头吟》有“竹竿何袅袅,鱼尾何徒蓰”,都是写男女爱情的。古代民谣钓鱼常是男女求偶的隐语。纵有挑逗之意,却无非分之举。对此,这个少女也清楚地知道路人对自己的爱慕之情,窈窕淑女 君子好逑嘛,所以她也不甚介意。
因而才有了下句:“行路之好者,芳饵欲何为。”
这是少女对爱慕她的路人委婉而明白地申明:
你即使有芳饵,我也决不会上钩。回答得率真恳切,从而反衬出了少女对爱人的专一不二。少女的直爽、开朗和天真活泼的性格,纯洁的内心世界也从短短的诗句中流露出来。诗的语言简明、朴实,情深而感人,毫无雕琢。特别是采用乐府旧题,又活用民歌词语,适当恰切,一气呵成。表达了爱情的专一,歌颂赞美了坚贞的爱情与高尚的情操。
联系我们
contact us地址:广东省广州市天河区88号
电话:400-123-4567
点击图标在线留言,我们会及时回复