反钓鱼解决方案.docx

1、反钓鱼解决方案银行业金融机构反钓鱼整体解决方案一. 概述互联网技术的高速发展，电子商务平台的大规模应用和推广，以及黑客攻击驱动力的变化，这些都促使安全威胁也有了一些新的转变。作为一种主要基于互联网传播和实施的新兴攻击方式，“钓鱼攻击”（Phishing Attack）正呈逐年上升之势，这不仅让广大用户遭受到财产和经济损失，也让金融证券机构、电子商务公司的声誉和形象受到了影响。据中国反钓鱼网站联盟（APAC）发布的统计数据，仅2011年3月，APAC处理的钓鱼网站达3,988个，其中以针对支付交易类和金融证券类的钓鱼网站居多，占比超过85%以上。截至2011年3月份，APAC累计认定并处理钓鱼网

2、站共43,842个。来自2010年中国网络购物安全报告的分析：2010年，包括钓鱼攻击、恶意代码在内的安全威胁，给国内网购用户带来了超过150亿的损失。如何及时、准确地发现钓鱼网站，并予以有效的控制和阻断，不仅是互联网用户关注的问题，同时也是金融证券机构、电子商务公司亟待解决的问题。该文档将给出“反钓鱼”的一些思路和整体方案建议，希望能给有意构建“反钓鱼”体系的机构，带来一些启示。二. 钓鱼攻击的现状和防护需求三. 钓鱼攻击已成为最为严重的互联网威胁之一关于钓鱼攻击 (Phishing Attack)，国际反钓鱼网站工作组APWG（Anti-Phishing Working Group）的定义

3、如下：一种利用社会工程和技术诡计，针对客户个人身份数据和金融账号进行盗窃的犯罪机制。钓鱼攻击一般把自己伪装成信誉卓越的机构以骗取用户的信任，主要基于搜索引擎、电子邮件，或垃圾短信等渠道传播和实施。首先将用户引诱到通过精心设计的，与目标组织的网站非常相似的钓鱼网站上，通过恶意代码窃取包括账号、密码等在内的个人敏感信息。攻击者则最终得以假冒受害者，进行欺诈性金融交易。钓鱼攻击技术最早于1987年问世，首度使用“网络钓鱼”这个术语则是在1996年，是由“Fishing”和“Phone”综合而成（最早的钓鱼攻击通过电话作案），意味着放线钓鱼以“钓”取受害人的财务数据和密码。最早的钓鱼攻击是针对“美国在

4、线”（AOL）发生的，通过引诱骗取受害者的账号、密码后，攻击者可实施欺诈，交换盗版软件，或是发送垃圾邮件。随后，攻击者认识到钓鱼攻击面向支付系统是同样可行的，他们开始向各类金融机构开始渗透。被钓鱼者所青睐的目标机构包括很多著名的银行、信用卡公司和涉及日常性支付行为的知名互联网商务网站（如eBay和PayPal等），其主要目的是受到经济利益的驱使。钓鱼攻击是一种利用社会工程技术来愚弄用户的实例，凭恃现行网络安全技术的低亲和度。其攻击手段种类繁多，攻击技术也在不断提高，更关键的是它利用了信息安全防御体系中最薄弱环节人的弱点，令人防不胜。钓鱼攻击越来越频繁地出现在我们身边，所带来的经济损失也超过了传

5、统恶意代码攻击，甚至已经成为经济犯罪工业化的一部分。2010年中国网络购物安全报告显示，2010年国内网民进行网上购物时，面临的安全威胁主要包括钓鱼网站、新型交易劫持木马，以及传统盗号木马等，其中遭受过钓鱼攻击的占比72%，远远超过其它类型的威胁。为了避免更多的用户成为钓鱼攻击的受害者，保障他们的合法权利和财产安全，在美国和英国已经成立了专门反假冒网址等网络诈骗的组织，如2003 年11月成立的APWG（Anti-Phishing Working Group），以及2004年6月成立的TECF(Trusted Electronic Communications Forum)。在国内，2008年

6、7月18日，由银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者组成的“中国反钓鱼网站联盟”在京正式宣布成立。联盟已初步建立快速解决机制，借助停止钓鱼网站CN域名解析等手段，及时终止其危害，构建可信网络。由域名注册管理机构中国互联网络信息中心（CNNIC）承担联盟秘书处的职责。四. 关于进一步加强网上银行风险防控工作的通知近些年来，钓鱼攻击相关的网银欺诈案件，已经涉及到国内多家商业银行和农村金融机构，使得用户蒙受经济损失，也严重影响了银行业金融机构的声誉。为了有效应对钓鱼欺诈，提高银行业金融机构网站及网上银行系统的风险防御能力，维护公众利益和银行声誉，中国银监会于2011

7、年3月15日发布了关于进一步加强网上银行风险防控工作的通知，要求各银行业金融机构应高度重视网上银行风险管控，加强对仿冒网站等“钓鱼”欺诈事件的防范。同时，加强反“钓鱼”应急处置机制建设，有效切断“钓鱼”诈骗渠道。深刻认识并重视“钓鱼”诈骗案件可能引发的各类风险，严格落实管理责任，加强主动防范、主动干预。各银行业金融机构应积极利用手工或自动化技术以及外部专业服务等多种手段、措施，加强仿冒网站的主动搜索、监测和识别。强化网上银行交易环节的技术和业务防护措施，以多种方式提高网上交易的安全性。加强网银可疑交易监控机制研究和系统建设。做好负面舆情和客户投诉的处理工作。加强“钓鱼”风险提示和公众教育。五.

8、 反钓鱼的整体防护思路六. 钓鱼攻击本质分析钓鱼攻击带来的影响不再赘述，那么钓鱼攻击是怎么发生的呢，一般会采用哪些手段，又有什么特点？知己知彼，方能有效应对、主动防范。所谓“姜太公钓鱼，愿者上钩”，钓鱼者首选的策略是通过大量散发诱骗邮件、垃圾短信，冒充成一个可信的组织机构（通常是受害者所信任的机构），去引诱尽可能多的用户。钓鱼者会发出一个让用户采取紧急动作的请求，而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害，这封欺骗性的电子邮件将会包含一个容易混淆的链接，指向一个假冒目标机构公开网站的远程网页。图3.1 钓鱼攻击的一般过程七. 钓鱼攻击的手段钓鱼攻击常用的手段归纳起来主

9、要分为两类，第一类主要通过漏洞触发，包括目标网站服务器漏洞（如XSS、SQL注入），第三方引用内容的问题（如IFRAME挂马），网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷（如DNS劫持），以及客户端终端环境存在的隐患，攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗，如发送大量诱骗邮件、搜索引擎虚假信息，发布各类仿冒网站等。钓鱼攻击的常见攻击手段攻击手段攻击类别细分由漏洞触发引起的钓鱼攻击网站自身弱点第三方引用内容问题客户端弱点其他如弱点非漏洞触发引起的钓鱼攻击虚假诱骗内容仿冒域名仿冒社会工程综合的钓鱼攻击技巧应用欺骗性

10、弹窗隐藏显示欺骗性超链接修改HOSTS文件恶意插件八. 钓鱼攻击的特点钓鱼攻击最大的特征即是具有极大的欺骗性。攻击者制作一个仿冒网站，类似于真实网站的克隆，再结合含有近似域名的网址来加强仿真度，进而进一步骗取用户的信任。针对性、目的性很强通常与钓鱼攻击紧密相关的都是一些银行、商业机构的网站。网上银行、电子商务，及网上购物都已经成为了网民息息相关的服务，庞大的网络资金流动，带动了很多的新兴行业，也带来了潜在的安全隐患。攻击手段综合化网上银行业务，及其相关的IT支撑系统都会存在很多安全隐患，钓鱼者会综合利用这些弱点，并结合社会工程技巧，发起攻击。如：利用Internet Explorer的一些漏洞

11、去构造连接地址，或者利用漏洞去种植间谍软件或者键盘木马等等。传播途径多样化钓鱼攻击带来的损失，一定程度上取决于钓鱼网站的传播范围。为了扩大钓鱼网站的影响，攻击者会通过搜索引擎、垃圾邮件、垃圾短信，以及虚拟社区论坛等各种渠道，发布虚假诱骗信息。存活时间较短为了保护自己不被发现和追查，钓鱼网站一般在窃取到一定价值的信息后，会主动关停或旁靠（暂时停用钓鱼页面），小成本的钓鱼网站更是如此，很可能存活时间仅几个小时。据APWG统计表明，2010年其监测到的钓鱼网站平均存活时间为14.5小时。难以追溯和审查为了逃避追查，钓鱼网站往往会采用境外注册和托管方式，并经常变更托管空间，更有甚者会先入侵一台服务器，

12、然后在服务器上面发布虚假信息。混杂着真实信息的钓鱼攻击，更难追溯和审查。可识别性钓鱼网站并不是完全没有破绽。因为钓鱼者会尽可能少地利用资源去构造钓鱼网站，无法利用真实网站一些独有资源（如域名、USBKEY、数字验证等）。所以，通常当我们查看HTML源码，或者一些独有资源时，就可以较容易地识别出虚假网站。九. 钓鱼攻击产业链分析天下熙熙，利之所趋。钓鱼攻击带来的暴利正在催生新的地下黑色产业链，从钓鱼网站代码开发，自动化钓鱼工具生产，到钓鱼网站的销售和推广，再到用户敏感数据的收集，欺诈攻击的实施，正逐步形成一个完整的链条，并在全球范围内迅速传播。黑色产业链下的分工和合作，使得钓鱼攻击的实现变得越来

13、越简单和廉价。攻击者一方面在互联网上找寻可能被渗透的主机，评估目标网站及其承载的业务流程，依赖的支撑环境所存在的弱点；另一方面不遗余力地打造仿冒站点，并通过搜索引擎、垃圾邮件、垃圾短信肆意传播，去引诱尽可能多的终端用户；钓鱼者甚至开始在互联网上大肆推销钓鱼攻击外包服务，企图扩大这条黑色产业链的规模和影响。实现一次钓鱼攻击，最简单的方式是拷贝一个HTML页面，上传至一个被攻陷的服务器，同时在服务器端安置可用来处理用户输入数据的脚本；也可能涉及更为复杂的网站、内容重定向，但两者的目标是一致的，构建一个假冒可信机构，并设法窃取用户的敏感信息。使用HTML编辑工具能够很容易构建一个仿冒站点，攻击者还需

14、要寻找一个托管仿冒站点的空间，这可以是一个虚拟空间，也可以是一台被攻陷的服务器。另外，一个极具诱惑力的域名对钓鱼者来说同样重要，那么申请一个有效的域名也是很有必要的一项工作。对于采用SSL证书的站点，钓鱼者甚至为假冒的域名注册一个有效的SSL证书，从而对SSL加密保护的口令进行记录。钓鱼者在构建一个几乎以假乱真的仿冒站点之后，需要考虑如何将用户从一个合法的网站转移到他们所假设的仿冒站点。除非有能力改变目标站点的DNS解析（如DNS投毒），或采用其它方式进行网络流量重定向（如pharming攻击），钓鱼者更多依赖于某种形式上的欺骗，去引诱用户访问假冒站点。为了在尽可能短的时间内感染更多的用户，钓

15、鱼网站还是主要通过垃圾邮件、垃圾短信等方式进行传播。一次钓鱼攻击可能会依赖于多种因素，钓鱼者往往会综合考虑钓鱼网站制作、传播成本，和钓鱼攻击收益之间的平衡，采用性价比更高的方式。十. 反钓鱼的整体防护思路钓鱼网站的频繁出现，已经影响到银行业金融机构互联网业务的拓展，损害了企业的品牌和声誉，同时还危害到社会公众利益，干扰了公众使用电子金融产品的信心。如何及时发现钓鱼网站，有效控制钓鱼攻击带来的影响，已成为全球关注并感到棘手的问题，也是各银行业金融机构目前迫切需要解决的问题。十一. 传统反钓鱼方案的不足如何对抗网络钓鱼，一直以来都是人们热议的话题，一些企业也采用了不同的防护手段。如：使用SSL证书加强网站合法性验证，加固Web服务器防止被渗透，或是购买专业安全厂商提供的反欺诈服务。这些防护手段在一定程度上的确能缓解钓鱼攻击带来的影响，但因为缺乏总体规划和设计，片面且单一的反钓鱼措施存在一些不足，需要加以改进。解决方案的完整性不足传统的反钓鱼方案更多基于单一安全事件的防护需求设计，缺乏体系化的建设思路，也缺少对关键业务流程的风险分析，一些可能被钓鱼攻击利用的业务逻辑缺陷，将引入极大的风险。在面向一些新兴的业务模式时，传统的方案显得力不从心，缺乏前瞻性的风险防范建议和扩展防护能力。如何解决WAP站点面临的钓鱼风险，将是下一步需要考虑的问