作为对消费者和企业都能造成潜在威胁的网络犯罪,钓鱼在过去几年来大肆蔓延,其骗人把戏也是层出不穷。当前低迷的经济形态,更是为钓鱼提供了温床,出现了利用新的社会工程来欺诈不知情的消费者和企业用户的现象。
一、钓鱼无界限
钓鱼——引诱电脑用户提供敏感信息盗取身份和商业数据——对企业和普通消费者都构成极大威胁。在过去十来年,钓鱼不断渗透,在世界各地每日的钓鱼攻击大约为800万次数。
反钓鱼工作组(APWG)报道说,在2008年第二季度,光钓鱼攻击就上升了13%,超过28000次数。它还报道称,在同样的时期内,被感染了电脑密码窃取代码、可用来恶意软件传播的网站就已经突破了9500个——与2007年同期相比,增长了258%.图一显示了钓鱼——鱼叉式网路钓鱼在16个月内的增长情况。
二、提防最新钓鱼阴谋*Spear phishing(鱼叉式网路钓鱼)
鱼叉式网路钓鱼 只针对特定目标进行攻击,通常锁定的对象并非一般个人,而是特定公司、组织成员,比如著名的银行、金融公司及其高管等。
消费者并不是鱼叉式钓鱼攻击的唯一目标。越来越多的企业员工被狡猾的犯罪分子盯上。他们的目标是要获取银行信息、客户数据和其他资料,以资助他们的网络犯罪行径。
根据VeriSign iDefense,鱼叉式钓鱼攻击在2008年4月至五月期间对企业发起的攻击,达到了前所未有的水平。这些攻击的目标主要是高级管理人员和公司其他重要人物。在15个月内,受害者企业用户数量达到了惊人的15000之多。这些受害者包括全球500强公司、政府机构、金融机构和律师事务所。
*商业服务网络钓鱼
除了鱼叉式网络钓鱼之外,钓鱼新阴谋还包括有针对商业服务的钓鱼攻击。比如,利用Yahoo !推出的关系和谷歌的AdWords进行钓鱼。据PhishTank报告称,AdWords用户会受到一封电子邮件,提醒他们账户需要更新。之后,用户就会被要求登陆一个假冒的AdWords界面并提供信用卡信息。由于很多中小型企业依赖在线广告来提供网站流量,他们的市场管理者很容易受到钓鱼者盯上。
*利用经济恫吓发起钓鱼攻击
当前低迷的经济形势,为犯罪分子发起钓鱼攻击提供了便利条件。比如,利用电子邮件假扮成来自某个金融机构需要获取受害者银行卡、存贷款等财务信息,以帮助处理企业破产或者合并、收购等事宜。大量的合并和收购信息,让广大消费者感到迷茫。更糟糕的是,缺乏统一通信,更是让欺诈者有恃无恐。
*混合式钓鱼/恶意软件威胁
为了提高成功率,一些钓鱼攻击会与恶意软件相结合的方式进行。例如,某个潜在的受害者收到发来钓鱼电子贺卡的邮件,通过点击该贺卡,用户就会在不知情的条件下进入一个伪造的网站上,并感染网站上自动下载过来的木马程序。另外,受害者可能会看到一条消息,在查看贺卡的之前需要下载更新软件(比如Flash)。当用户该软件的时候,其实它就是一个键盘记录软件。
基于钓鱼的键盘记录软件,会跟踪用户的每一个上网记录,并监视其中有用的信息,比如在线购物、银行卡账户和密码等敏感信息。
另外一种会让钓鱼攻击者捕获敏感信息的木马,则是重定向。重定向会让用户进入不是其本意的网站。目前,基于钓鱼的键盘记录软件和重定向正大肆流行。
*中间人SSL渗透攻击
2008年,出现了一种新型的可以让犯罪分子欺骗加密会话的恶意软件。这种标准的中间人攻击的变种,可以让罪犯访问网络传输上不受保护的密码和其他敏感信息。
*短信和手机网络钓鱼诈骗
钓鱼攻击者可能会使用短信来取代电子邮件,以冒充某个金融机构并获得机密账户信息。被称为smishing(通过短消息的网络钓鱼攻击),属于一种典型的手机诈骗,它会通知用户银行账户失密或者银行卡被停用,并要求拨打某个电话来恢复银行服务。手机用户一旦登陆网站或者通过自动电话系统,就会被骗取透露银行财务信息和PIN号码。
三、钓鱼对业务的影响
虽然金融行业一直以来都是钓鱼攻击者的主要目标,但是它并不是遭受钓鱼攻击的唯一目标。在线支付、捐赠网站、零售和社交网站也经常成为钓鱼者的猎物。反钓鱼工作组(APWG)报告说,针对手机提供商和制造商的钓鱼攻击也呈极具增长的态势。换句话说,没有哪个行业或者领域能够逃离危险不受攻击。
冒充某个公司的官方网站进行钓鱼攻击,会严重损害公司的品牌形象,并挫伤用户的信任,使得用户不敢轻易登陆官方网站。除此之外,公司还会受到如下影响:
*受客户信任影响,在线收入和点击率都将下降
*客户数据一旦被泄露,公司要承担赔偿
钓鱼攻击还会导致用户不敢轻易进行在线交易,尤其是对他们不信任的人而言。
四、防范钓鱼攻击
虽然没有一劳永逸的方法来对付钓鱼攻击,但是,还是可以利用一些技术来保护你的用户和你的利益。当前的钓鱼技术,主要还是依赖于诱使用户登陆伪造网站获取用户信息。诸如SSL、EVSSL等技术在防范钓鱼和其他形式的网络犯罪方面,还是起着至关重要的作用。
实现安全的最佳做法就是,开启最高级别的加密和认证措施。SSL,Web安全的世界级标准,它可以对利用HTTS协议传输信息进行加密保护。当前的绝大部分操作系统、Web浏览器、Internet应用程序和服务器硬件都内置有对SSL的支持。
为了帮助有效防止钓鱼攻击,并增强用户信任,公司也需要一种可以向用户证明其为合法网站的方法。EV SSL证书可以帮助企业实现这一目的。它是全球领先的数字证书颁发机构和主流的浏览器开发商共同制定的一个新的SSL证书严格身份验证标准,让新一代安全浏览器(如:IE7)能识别出 EV SSL 而在地址栏显示为绿色,让普通消费者能确信正在访问的网站就是通过权威第三方严格身份验证的现实世界的真实实体,从而增强消费者信心,促成更多在线交易。
虽然网络犯罪分子正变得越来越会模仿合法网站,但由于他们没有EV SSL证书,因此在地址栏上 并不能显示出他们的合法信息。
除了利用EV SSL证书技术外,企业还应该对员工和用户就网络行为和如何避免欺诈进行宣传和教育。教导他们如何识别仿冒网站,如:拼写错误、强烈要求用户提供个人信息、伪造域名或者未知链接。
还要教育你的客户和员工,在提供任何个人信息或者其他敏感信息之前如何识别一个有效的、安全网站:
*查看绿色地址栏
*确保URL为HTTPS
*查看安全数字证书
为了消除钓鱼攻击带来的恐惧,教导员工和客户是树立必要的信任的关键组成部分。通过帮助客户理解如何确认他们是否登陆合法网站,企业可以获得更多的在线交易和用户访问,并扩大知名度和整体销量。
总结
网络钓鱼会继续演变成新的花样,它们试图利用人们固有的同情心、信任或者好奇心,来开展一轮又一轮的钓鱼活动。因此,保护企业品牌和客户需要企业付出不懈的努力。利用最高级别的安全防范措施和EV SSL证书教导和保护你的客户,可以让客户对企业的在线服务充满信心。