網路釣魚
出自 MBA智库百科(https://wiki.mbalib.com/)
網路釣魚(Phishing)
目錄 |
網路釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由於黑客開始以電話為作案工具,所以用“Ph”來取代“Fishing”中“F”,創造了“Phishing”一詞。
網路釣魚通常是指那些利用欺騙性的電子郵件和經過偽裝的銀行和電子商務站點來進行詐騙活動,誘騙網民提供一些個人重要信息,如銀行賬號、密碼等,並利用這些獲取不正當利益的行為。[1]
網路釣魚行為的定性[1]
利用釣魚網站騙取網民銀行卡或信用卡賬號、密碼等私人資料的行為,在侵害了網民利益的同時,也觸犯了我國相關的法律法規,這些法律包括《民法通則》、《刑法》等。比如:釣魚網站如果是以盜取銀行卡或信用卡賬號、密碼為目的,對於普通網民來說,釣魚網站侵犯了網民的財產權;如果網民基於釣魚網站的欺騙行為處分了自己的財產,釣魚網站的設立者或使用者又因此獲得財產,從而使網民的財產受到損害,當非法獲得的財產達到一定數額或欺詐的情節嚴重時,就構成了詐騙罪;另外,對於釣魚網站所模仿的正規公司或企業而言,釣魚網站不僅僅影響了正規公司企業的運營,還對這些企業公司的聲譽造成負面影響;更有一些釣魚網站收集網民的身份信息等等,公民身份信息泄露,對社會的和諧穩定也造成一定程度的隱患。
我國1997年《刑法》設置的與電腦或網路直接有關的犯罪分別是第二百八十五條、二百八十六條、二百八十七條。《刑法修正案(七)》通過後,將本罪的犯罪對象擴大到幾乎所有的電腦信息系統,如果情節嚴重的,均可構成非法侵入電腦信息系統罪。然而,根據《刑法修正案(七)》,行為人如果侵入的是國家事務、國防建設、尖端科學技術系統以外的電腦信息系統,需要達到情節嚴重的程度才能構成非法侵入電腦信息系統罪,而對那些還沒有造成危害後果或者剛剛著手實施釣魚行為以及其他的一些情節不是很嚴重的行為,則無力規制。可是,這與“網路釣魚”本身極具有社會危害性,需要進行《刑法》的規制是不相適應的。由以上分析可以看出,非法侵入電腦信息系統罪是不能規制當前的“網路釣魚”行為的。
我國《刑法》第二百八十六條規制的是違反國家規定,對電腦信息系統功能進行刪除、修改、增加、干擾,造成電腦信息系統不能正常運行??後果嚴重的行為。“網路釣魚”行為中的一種表現形式,即利用木馬和黑客技術等手段竊取用戶信息的行為,“網路釣魚”中的此類行為在一定程度上綜合了該罪的客觀方面,似乎可以此罪來定罪處罰。然而,該罪的三款都要求“後果嚴重”才能人罪,釣魚者只竊取了某個人的個人資料或身份信息,很難認定為“後果嚴重”,因為這裡缺乏一個量化標準。
儘管我國刑法中直接規定的與電腦和網路有關的犯罪不能直接規制目前出現的詐取他人身份信息和密碼的行為,但有一種特殊的身份信息卻因為我國刑法的專門規定可以得到保護,即信用卡資料。如果釣魚者竊取網路用戶信用卡的賬號、密碼等信息資料,就構成了《刑法》第一百七十七條之一規定的妨害信用卡管理罪。釣魚者的另外一種行為也可能受到我國現有刑法的規制,即偽造網站時,同時偽造或擅自製造了他人註冊商標標識的行為,如果達到情節嚴重的程度,就構成了《刑法》第二百一十五條規定的非法製造註冊商標標識罪。根據以上分析可以看出,我國目前刑法基本上不適應規制當前愈演愈烈的網路釣魚行為的需要。
網路釣魚的特點[2]
1.欺騙性。釣魚者利用自建站點模仿被釣網站,並結合含有近似功能變數名稱的網址來加強真實程度。更有甚者會先侵入一臺伺服器,在伺服器上不斷重覆地做相同的事情,讓自己可以更好地脫身,逃避追蹤以及調查。1-2
3.針對性。通常與釣魚者緊密相關的都是一些銀行、商業機構等的網站,隨著互聯網的飛速發展,電子商務、網上購物已經成為與網民息息相關的服務。龐大的網路資金流動,帶來了很多的新興行業,也帶來了潛在的安全隱患。
3.多樣性。網路釣魚是一種針對人性弱點的攻擊手法,釣魚者不會千篇一律地去進行攻擊,不管是網路還是現實中到處都存在釣魚式攻擊的影子。釣魚者不會局限於常用的偽造網站、虛假郵件等手法,而是會結合更多的便民服務,以容易接受的形式去誘騙被釣者。從而在更短的時間內獲得更好的效果。
4.可識別性。網路釣魚並不是無懈可擊,更不是沒有一點破綻。從釣魚者的角度出發,釣魚者本身會利用最少的資源去構造自己的釣魚網站,因為無法去利用真實網站獨有的一些資源(如功能變數名稱、U盾、數字驗證等)。因此,在偽造網站方面。會利用近似或者類似的方法來進行欺騙,通常我們可以查看偽造網站,根據經驗去識別其真實性。
網路釣魚的主要欺騙方式[1]
1.通過發送郵件,以虛假的信息誘使網民上當。不法分子利用郵件的形式大量的發送垃圾郵件,這些郵件一般以中獎、咨詢、核實等內容來引誘網民在郵件中填寫賬號和密碼,或是以各種理由要求網民登陸其事先設計好的釣魚網站提交用戶名、密碼、賬號、身份證號等信息,繼而盜取網民資金。例如,某小姐收到的“淘寶網”郵件,其實是釣魚網站發出的誘餌,它意圖通過釣魚郵件,將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上,以獲取收信人在此網站上輸入的個人敏感信息,進而利用這些敏感信息套取財物。
2.利用大型網站發佈虛假的信息進行詐騙。此類犯罪活動一般是利用大型的電子商務網站或者比較知名的購物網站上發佈虛假的商品銷售信息,犯罪分子在收到被騙人的匯款後就銷聲匿跡。比如前幾年,罪犯佘某建立了奇特器材網,發佈出售一些虛假信息,誘騙顧客將貨款匯入自己銀行賬戶,然後轉移贓款的案件。
3.建立假冒的網上銀行、網上證券網站來竊取用戶賬號和密碼。犯罪分子建立起功能變數名稱和網頁內容都與真正的網上銀行、網上證券網站非常相似的網站,引誘用戶輸入賬號和密碼,進而通過真正的網上銀行、網上證券系統來盜取資金。
4.利用木馬和黑客技術手段竊取用戶賬號信息後實施盜取活動。犯罪分子利用發送電子郵件或者網站中隱藏木馬等方式來傳播木馬程式,當有網民感染木馬後進行網上交易,木馬程式會以鍵盤記錄的方式獲取到用戶賬戶和密碼。
網路釣魚技術原理[3]
1.仿製釣魚網頁
網路釣魚者根據正常的官方網站網頁的模樣,利用網頁製作工具軟體進行仿製或利用網站導人來獲取網頁素材,即使有些內容無法獲取到也無關要緊,大多數人都不會清楚地記得被冒仿的網頁上都有哪些內容。釣魚者將仿製好的網頁掛靠到一個或多個可公開訪問的網站伺服器上,這樣網路用戶就可以通過Internet訪問這個頁面,這樣一個釣魚網站就製作完成。
2.利用資料庫後臺技術
網路釣魚網站的最終結果是要收集騙取上網者的個人賬戶信息,因此如何捕獲收集用戶在網頁上輸人的信息是關鍵。在獲取到網頁信息後,釣魚者會對網頁代碼根據自我需求性進行相應改變,而且釣魚者不需像正常網頁那樣做合法性的反饋校驗等那些過程,只是將用戶的錄入直接傳送到特定的後臺的資料庫或文本文件中,也可以利用特定代碼程式將用戶輸入的內容通過電子郵件發送到釣魚者的電子信箱中。MySQL和Access資料庫編程簡單且易維護,是釣魚者們常用的後臺方式,也有釣魚者利用NOS的漏洞,把製作或訂購的木馬病毒代碼植入到用戶電腦中,當用戶上網時,將用戶輸入的隱私信息保存記錄下來,或直接發送給釣魚者。
(一)法律措施[1]
1.政府有關部門應當依靠技術手段,以技術治網。工信部、公安部等打擊“釣魚網站”的相關部門應建立與“中國反釣魚網站聯盟”的互動對接和信息共用機制。實現官方“打釣”與非官方“打釣”的優勢互補,達到快速、及時的效果。鼓勵更多電子商務或金融支付網站加入“中國反釣魚網站聯盟”。對加入網站來說也可以提高其安全性,避免釣魚網站“冒名頂替”,給自身的信譽造成傷害。
2.應該規定網路釣魚罪。建議以利用身份識別信息實施違法或犯罪行為為目的,故意利用仿冒的電子郵件信息、網頁、網路站點或者其他網路技術手段欺詐性地獲取網路用戶的身份識別信息,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金。從打擊“網路釣魚”的角度來說,此種規定當然是可取的。因為,當每一種違法犯罪行為出現時,我們都有理由在刑法中規定一種犯罪,但是,從長遠來看,大量新罪的增加會造成對現行刑法體系和結構的衝擊。因此,在增設新罪時一定要考慮到這個問題,既要保持現行刑法結構體系的穩定性,又要將一些新出現的犯罪行為納入到自己的規制之下。
3.完善網路法律法規並應大力宣傳有關互聯網方面的法律法規,培養網民的法制觀念,提高防範意識。提倡規範辦網、文明用網,不給釣魚網站的建立製造便利。作為普通網民,在受釣魚網站欺騙後要第一時間報警,任何高明的手段,都會留下蛛絲馬跡,及早報案,是保護自己權益的最好手段。
(二)個人防範措施[3]
1.從網路釣魚途徑預防釣魚者
引導、誘騙上網用戶訪問接觸釣魚網站的方法有很多,其中常見的方法有:通過QQ、MSN、Email、微博、論壇、社交網站、博客、等方式發送大量有誘惑性的信息,如促銷、打折、搶購、優惠、高回報投資、抽獎、彩票、或交友網站上的異性吸引交往等;進行有目的人侵網站,並非法修改官方網站的相關內容,將其內容鏈接到釣魚網站;還有利用網頁彈出功能或滾動跳躍視窗等方法來發佈虛假公告或其他誘惑信息;最後還有通過在知名門戶網站以及搜索引擎中投放廣告等手段吸引用戶點擊進入釣魚網站。
2.培養分辨真假網站的能力
釣魚者利用偽裝成的合法信息或公告,來迷惑用戶的判斷。例如,釣魚者發送電子郵件時會對郵件地址做一定程度的偽裝,特別是如果一些用戶的電子郵箱或即時通訊工具被人侵,釣魚者會直接給地址薄或好友列表中的用戶發送釣魚信息,這樣接收者就更不會懷疑發送來源和發送內容的有害性。最常見的方式就是對URL進行偽裝,這些偽裝具有足夠的迷惑性,用戶上網不細心的話時很難辨出真偽。
3.提高安全意識是防範的關鍵
大多網民在提交個人信息時,雖然對信息安全問題存在顧慮,但為了獲取免費服務、免費產品,或者為了認識更多的朋友,仍還是會在網上填寫個人的真實信息。用戶對個人信息保護的重視不夠,安全意識淡薄,為非法網站的不法行為提供了便利條件。釣魚網站從代碼級別上看也是正常網頁,因此電腦上安裝的安全防毒軟體也不一定會對這類網站做到百分百的防範。
(三)技術防範措施[3]
1.建立反釣魚URL資料庫
目前主流的PC安全軟體都含有防網路釣魚的功能。從前面表述的技術細節可以知道,釣魚網站的URL地址都是特定設置的,所以需要建立反釣魚網站的URL資料庫,即把釣魚網站可能出現的網站地址和在已有的反釣魚資料庫中的地址相互比判,如果出現和資料庫中的官網地址不一樣的情況,應該立即停止或者給用戶發出警告,以避免上鉤受騙。當然上網用戶若得知或疑惑自己訪問了此類網站,便可使用舉報方式告知安全軟體防護廠商,把經過分析並確認後的釣魚網站地址經過軟體控制自動送人反釣魚資料庫。還有的安全廠商建立有自己的搜索引擎,通過搜索引擎不間斷地抓取疑似網頁內容,智能化的分析判斷是否為釣魚網站,並據此建立擴充自己的反釣魚地址伺服器庫。這種方法的缺點是需要經常升級更新反釣魚資料庫,原因是每天都會出現更多的新網站,因此這種方式無法防護最新的釣魚網站。
2.網頁實時防護
它是一種先進的網頁防護技術,能對用戶所訪問的網站對象進行智能的動態的判別。對於任何網頁內容,瀏覽器都可以解析為具體的CSS、JavaScript等程式代碼。當然釣魚網站的網頁代碼的頭標記或其他標記處有其共同的某些特征,在對其代碼標記的特征進行解析比較獲得一個網站信譽參考值,根據信譽參考值來判別該網頁是否為釣魚網頁,還可以把有問題的網站IP地址出現的頻率和非法非IP的認可度建立IP認證庫,用戶所訪問的IP地址將在IP認證庫中被指定為受信任的、可疑的或是被禁止的。據此告知用戶該網站是否存在釣魚危害。
3.結合雲計算策略
近些年發展起來的雲技術給網路安全防護帶來了新的思路,即所謂的“雲安全”。主流的雲安全軟體都有著一群龐大的用戶群。把用戶接觸到的釣魚網站智能迅速的整合到雲安全資料庫中,一併分享給網路用戶。網路信息庫中可以包含前述的各種技術數據,也可以是它們的組合,構成多維的防護屏障。