钓鱼网站原理及防范第三次修改.docx
《钓鱼网站原理及防范第三次修改.docx》由会员分享,可在线阅读,更多相关《钓鱼网站原理及防范第三次修改.docx(18页珍藏版)》请在冰豆网上搜索。
钓鱼网站原理及防范第三次修改
湖南水利水电职业技术学院
HunanTechnicalCollegeofWaterResourcesandHydroPower
毕业论文
钓鱼网站的原理及防范
指导老师曾阳
姓名宋博群
所属专业计算机网络技术
班级08级计算机网络二班
论文题目:
年级:
院系:
学生姓名:
指导教师:
年月
经济管理系编
摘要3
第一章引言4
1.1钓鱼网站的概念4
1.1.2钓鱼网站的基本概念4
1.1.3钓鱼网站的技术分析4
第二章钓鱼网站的现状分析5
2.1国内外钓鱼网站的现状5
2.2反钓鱼网站联盟的治理状况6
第三章钓鱼网站的基本原理概括………………………………………………10
3.1钓鱼网站的基本原理………………………………………………………..…..11
第四章钓鱼网站识别与防范的措施12
4.1常见钓鱼网站攻击方法12
4.1.1钓鱼者入侵初级服务器,窃取用户的名字和邮件地址……………………12
4.1.2钓鱼者发送有针对性的邮件………………………………………………….12
4.1.3钓鱼者利用钓鱼网站攻击实例………………………………………………..13
4.1.4全球钓鱼网站攻击方式分布…………………………………………………..14
4.1.5钓鱼网站攻击对象分布………………………………………………………..14
4.2“钓鱼网站”的防范措施15
4.2.1网购的注意事项………………………………………………………………16
第五章结束语17
致谢18
参考文献19
钓鱼网站的原理与防范
作者:
宋博群
指导老师:
曾阳
摘要
信息技术是一把双刃剑,他在给人们带来文明,推进历史进步的同时,也给产生了许多负面的影响,出现了很多计算机犯罪的问题,特别是,近几年出现的“钓鱼网站”,更具有隐蔽性,危害性极大,严重影响了网络空间的社会安全,影响了信息社会的正常发展,针对上述问题,在认真了解研究“钓鱼网站”原理的基础上,对“钓鱼网站”攻击原理和攻击手段进行分类和分析,并作出一套相关的具体防范措施。
关键词:
钓鱼网站、攻击手段、原理基础。
防范措施
第一章引言
随着经济社会建设和社会发展进程的加快,我国信息产业的发展迅速,但是信息安全却不容乐观,当前信息安全的主要形势是:
信息安全的发展严重滞后于经济与社会发展,以及信息化建设的步伐,无法为经济建设,社会发展和信息化建设提供有力保障。
1.1钓鱼网站的概述
1.1.1钓鱼网站的基本概念
随着人们越来越多地依靠互联网工作,生活和娱乐,互联网咋片已经成为一个越来越大的威胁。
互联网诈骗有很多种方式,其中通过钓鱼网站来欺骗方式是一种发展很快的欺诈行为。
钓鱼网站(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了“Phishing”。
钓鱼网站是通过copy来自银行或其他知名机构的网站,达到相似度100%,意图使用户视觉错觉,输入重要的个人信息或者银行卡信息等等,造成用户的经济损失。
这些个人信息对黑客们具有非常大的吸引力,便于他们假冒用户本人进行欺诈,交易。
获得经济效益。
1.1.2钓鱼网站的技术分析
钓鱼网站设计技术含量不高,目前,“钓鱼网站”主要集中在两方面:
一种是模仿腾讯,建行等假冒获奖网站,主要特征以中奖为诱饵,欺骗网民填写身份信息,银行账户,另一种是模仿淘宝等交易网站,骗取网民的账户,在安全技术人员眼里,“钓鱼网站”没有太多技术含量,主要是利用人们的心理来实现诈骗。
因为“钓鱼网站”大多都是以大奖来诱惑消费者,因此消费者要对网络中奖活动提高防范意识,同时,网民一定要重视个人信息的保护,保护个人身份证,银行卡等等。
第二章钓鱼网站的现状分析
现在,钓鱼网站持有者通过大量散发诱骗邮件,冒充成一个可信的组织机构(通常是那些钓鱼者所期望的已经被受害者所信任的机构),去引诱尽可能的终端客户,这些欺骗性的邮件中包含一个容易混淆的链接,指向的正是钓鱼网站。
许多用户中招,大量用户信息流入网络,部分的利益受到不同程度影响。
2.1国内外钓鱼网站的现状
欺骗别人给出口令或其他敏感信息的方法在客户界已经有一个悠长的历史,传统上,这种行为一般以社会工程的方式进行。
在二十世纪九十年代,随着互联网所链接的主机系统和用户量的飞速增长,攻击者开始将这过程自动化,从而攻击数量巨大的互联网用户群体,互联网无国界,“钓鱼网站”一直潜伏在我们身边。
国际上的“网络钓鱼”的分布情况,如图上所示
图1世界钓鱼网站制作分布图
2.2反钓鱼网站联盟的治理状况
2008年7月至2009年10月22日,中国反钓鱼网站联盟共认定并处理了8342个进行网络钓鱼的网站。
图2联盟反应的“钓鱼网站”比例
举报网站最多的联盟成员是腾讯,淘宝和工商银行。
网民直接举报的钓鱼网站数量逐渐增加
图3“钓鱼网站”处理情况
与中国证监会等行业主管机构协同工作,针对证劵行业,开展反钓鱼工作。
在12321网络不良和垃圾信息举报受理中心和瑞星的协作下,收集用户对钓鱼网站的举报。
从2009年6月开始,每月定期向社会发布钓鱼网站处理情况。
通过第三方网站认证
提高数据传输安全性,机密性和完整性。
为网站提供权威认证,提升网站服务水平
使网民能够辨别网站真伪,有效防范钓鱼网站。
提升互联网可信度,净化互联网环境。
图4
信息网络安全问题带来的损失中,网民最担心网上银行账号和个人资料,被盗的比例高达42.1%
图5
3.38亿网民中,有1.1亿网民半年内遭遇账户或密码被盗
图6
图7
用户选择网上支付时,链接到仿冒的银行网上支付页面以窃取用户银行卡信息。
此类钓鱼网站数量仅占联盟收到举报的10%,但是由于钓鱼手段隐蔽,在检测中难度很大,很难被发现。
第三章钓鱼网站的基本原理概括
3.1钓鱼网站的基本原理
现在钓鱼网站的技术手段越来越复杂,比如隐蔽在图片中的恶意代码,键盘记录程序,当然还有跟合法网站外观99%相同的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来
尽管钓鱼网站手段越来越狡猾,但它们的攻击原理和过程基本相同,如图:
图8钓鱼网站的攻击原理
下面是一个简单钓鱼网站的上传及工具流程:
钓鱼者可通过声请一个免费的域名空间,如图:
获得系统自动分配的域名及FTP上传地址,如图:
图95944域名空间
免费域名空间创建后,将钓鱼程序包上传至FTP中(选用图中FlashFxp软件),上传成功后,用IE浏览器登录所创建的域名
进入管理后台,输入管理员账号密码(默认admin),登录后,显示在面前的是刚输入的账号密码等信息。
如图:
这是一个简单的钓鱼网站的上传过程,可以说没有什么技术含量,总体就是通过邮件等方式传播钓鱼网站,用户进入后,视觉错误的认为是合法商业站点,在钓鱼网站输入用户重要信息,成功后信息会被后台记录,钓鱼者轻松获得这些信息牟利。
理解这些原理,则可以做出属于自己的钓鱼网站。
第四章钓鱼网站识别与防范的措施
4.1常见钓鱼网站攻击方法
发送电子邮件,以虚假信息引诱用户中圈套
建立假冒网上银行,骗取用户帐号密码实施盗窃
利用虚假的电子商务进行诈骗
利用木马和黑客技术等手段窃取用户信息
利用用户弱口令等漏洞破解、猜测用户帐号和密码。
利用手机短信进行诈骗。
4.1.1钓鱼者入侵初级服务器,窃取用户的名字和邮件地址
早期的网络钓鱼者利用垃圾邮件将受害者引向伪造的互联网站点,这些站点由他们自己设计,看上去和合法的商业网站及其相似。
很多人都曾收到过来自网络钓鱼者发送的所谓“紧急邮件”,他们自称是某个购物网站的客户代表,威胁说如果用户不登陆他们提供的某个伪造的网站并提供自己的个人信息,这位用户在购物网站的账号就有可能被封掉,当然很多用户都能识破这种骗局,现在网络钓鱼往往通过远程攻击一些防范薄弱的服务器,获取客户名称的数据库,然后通过钓鱼邮件投送给明确的目标。
4.1.2钓鱼者发送有针对性的邮件
随着年底节日的日益临近,垃圾邮件发送者们大力推销圣诞新年礼品及其他产品,这使得产品类垃圾邮件的数量上升了30%。
虽然我们预测到了这一增长,但令我们吃惊的是,11月份垃圾邮件整体发送数量却在急剧下降,这种情况在以往同期是很罕见的。
垃圾邮件总数的下降也导致了垃圾邮件占邮件发送总量比例的下降。
11月,垃圾邮件数量占邮件发送总量的84.31%,较之于10月份的86.61%有所下降。
这是自2009年1月以来垃圾邮件比例最低的一个月,当时因为McColo关闭,垃圾邮件发送水平正在逐渐恢复。
虽然这个月的垃圾邮件数量减少,但是钓鱼攻击的总数却上升了37%。
这种变化的主要原因是自动工具包生成的钓鱼攻击及特殊钓鱼网站数量的上升。
使用自动工具包而创建的钓鱼网站猛增了90%,其原因是假冒美国一知名银行而发动的钓鱼攻击的出现。
此外,特殊URL的攻击数量增长了18%,含有IP域名的钓鱼网站(如http:
//255.255.255.255)的数量增长了约41%。
11月份,Web托管服务占钓鱼攻击总数的12%,比上个月增长了15%。
非英语类钓鱼网站的数量也增长了10%,其中,法语和葡萄牙语类所占的比例最高。
与10月份相比,葡萄牙语类钓鱼网站的数量超过了意大利语,原因是针对巴西的葡萄牙语社交网站攻击数量的上升。
4.1.32011年垃圾邮件及钓鱼攻击趋势预测
2010年已接近尾声,该是我们做一些有关2011年垃圾邮件和钓鱼攻击方面预测的时候了。
赛门铁克预计2010年的三个主要趋势将会持续到2011年。
◆以当前事件和新闻作为邮件主题
2010年,我们经历了灾难性地震、足球世界杯、汽车召回和墨西哥湾漏油事件。
除了使用这些真实的新闻和事件以外,垃圾邮件发送者们将继续使用虚假新闻和事件来引起人们的关注。
◆利用社交网络
随着社交网络的不断发展,赛门铁克预测,垃圾邮件发送者和钓鱼者们将继续利用知名社交网络品牌来发动威胁窃取个人身份和信息的特殊攻击。
◆数量少但目标高度明确的攻击将继续增长
2010年,我们观察到,垃圾邮件发送和钓鱼攻击的手段越来越成熟,并更具欺骗性。
2011年,这些目标高度明确的攻击将会继续增长。
4.1.4全球钓鱼钓鱼攻击方式分布
图10钓鱼网站攻击方式比例图
4.1.5钓鱼网站攻击对象分布
图11钓鱼网站攻击对象分布
4.2“钓鱼网站”防范措施
就之前简单的钓鱼网站域名创建,很清晰的看出所创建的域名跟真实的官网域名有差别,用户可以通过这简单的识别方法识别出钓鱼网站。
政府,商业机构可以加强宣传,向公众普及钓鱼网站防范知识,定期向社会,工管部门汇报工作。
增加钓鱼网站举报和信息收集渠道。
首先要承认骗术是不断花样翻新,技术是不断改进,所以根本上要靠网民提高安全意识,我在此建议:
1,永远不要相信天上会有馅饼,并且还沉甸甸不偏不倚砸自己头上。
2,需要提交敏感信息如身份证,手机号,银行卡等信息时,反复查看页面内容,页面网址是否与官网的一致。
3,在线购买时绝不要接受对方发送的任何文件。
4,觉得有疑虑的链接,可以问问旁边朋友,或者请专业人士鉴定。
4.2.1网购的注意事项
随着年底节日的日益临近,用户必须当心自己的网上活动。
以下是一些应注意的事项:
◆垃圾邮件发送者喜欢使用与节日相关的主题。
赛门铁克观察到许多垃圾邮件信息中利用节日作为诱饵,从虚假的网上购买药品、礼品卡、电子贺卡等,另外还有年末汽车清仓促销活动。
◆我们一般会看到以节日为主题的垃圾邮件信息,尤其是那些包含附件类恶意软件或恶意软件链接的贺卡。
◆据我们观察,钓鱼攻击也使用了节日主题,其所包含的链接将用户指向一个假冒银行或在线零售网站。
用户应确保自己运行最新版本的操作系统以及带有最新综合安全套件的浏览器。
不要:
◆不要打开未知的电子邮件附件。
。
◆不要填写邮件中要求提供个人信息、财务信息或密码的表格。
知名公司不可能通过电子邮件形式要求你提供自己的个人详情。
如果有疑问,请通过独立的、可信的渠道联系该公司,如通过核实的电话号码,或将已知的网络地址输入到新的浏览窗口(不要点击邮件中链接,或复制粘贴邮件中的链接)。
第五章结束语
在毕业论文写作过程中,我通过翻阅大量科技资料,在指导老师曾老师的指导下,学习各种与“钓鱼网站”相关的计算机理论知识,对三年大学所学的知识有了更深入的认识和理解,并综合应用这些知识解决新兴的“钓鱼网站”问题。
通过整个论文写作的锻炼,我也更直观的感受到了理论和实践之间存在的差距,我将从以下几个方面来总结自己的毕业论文:
首先,我针对当前的信息化建设的形式作了个概述,随着世界科学技术的迅猛发展和信息技术的广泛应用,我国国民的信息化建设进程全面加快,网络信息系统的基础性,全局性作用日益增加,互联网的迅速发展以及电子商务为代表的网络应用日趋普及,网络信息安全日渐凸显,特别像“钓鱼网站”之类的新兴的,并具隐蔽性和欺骗性的犯罪越来越多,迫切要求国民加强信息安全保障工作。
其次,我通过对“钓鱼网站”简单,经典案例具体分析,从中得出钓鱼网站的原理,通过对大量资料的查找和翻阅,我逐渐总结出了Dreamwear工具copy网站,域名创建,FTP上传,数据库管理等一系列钓鱼网站操作流程,并对它们的原理及缺点做出了详细地介绍,并在文章中提出了自己的看法。
最后,本文只是针对当前比较典型的“钓鱼网站”原理进行了分析,而随着信息技术和网络不断发展,“钓鱼网站”的结果也会不断复杂,其破坏性也将更加巨大,我论文的后续工作还应继续研究,更全的对其原理中某些细节进行完善,并且有针对性的防范措施。
为了完成这篇论文,我付出了巨大的努力,通过查阅大量的文献资料对“钓鱼网站”的现状及安全防范的措施有了比较全面的了解,而且使我对大学3年所学的专业知识作了较为全面的梳理,同时通过与指导老师曾老师的反复讨论,学到了很多课本上没有的知识,懂得了怎样讲书本的理论知识运用到实践。
致谢
大学三年是我人生中最关键的三年,在即将结束三年生涯的时候,在我脑海里浮现出了许许多多的曾经给与我关怀的面孔。
首先,我要衷心地感谢我的老师曾阳老师,本文是在曾老师的悉心指导和关心下完成的,曾老师治学严谨,诲人不倦,对我们的指导一丝不苟,在我的论文写作过程中,曾老师付出了很多的心血,他及时的为我解决各种难题提供帮助,从他身上我们学到了很多优良品质,相信这些品质会使我们终生收益。
感谢我三年所有的指导老师,没有他们的教诲和指导,我就不可能学业有成,也不可能有这篇论文的诞生。
感谢身边所有的同学,和他们一起学习,一起讨论,一起玩耍,终生难忘。
再一次对所有曾给予我帮助的人表示衷心的感谢!
参考文献
(1),陈睿.网络钓鱼犯罪分析[J],网络安全技术与应用,2005
(2),杜跃进.在线身份窃取攻击[J].网络安全技术与应用,2005
(3),CNCERT/CC,2009年CNCERT/CC网络安全工作报告.
(
(4),人民日报,钓鱼网站的牟利模式和传播途径;
(
(5),屈延文,软件行为学[M],北京:
电子工业出版社,2004
(6),周刚,宋小宁,网络犯罪及其侦查和防范[I],公安理论实践.2000