网络钓鱼(Phishing)
网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动,如身分窃取、盗窃或欺诈。
网络钓鱼现状
钓鱼式攻击是一种普遍的网络欺诈方式,它利用虚假网站诱骗用户泄露自己的个人信息。它不但能够给在线商户或银行造成很大的损失,还会损害消费者对互联网的信任。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。
常见钓鱼攻击技术:
复制图片和网页设计、相似的域名
攻击者会注册一个域名,它看起来同要假冒的网站域名相似。
例如:“paypai.com”可用来假冒“paypal.com”,“ta0ba0.com”可用来假冒“taobao.com”,
用“users-alipay.com”假冒“users.alipay.com”。
(1)URL隐藏
用户名和密码可包含在域名前,语法为:http://username:password@domain/。
攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏@符号的最后。目前浏览器的最近更新已经修复了这个漏洞。
(2)欺骗性的超链接
超链接 http://www.domain.com,当点击这个超链接时,实际指向的却是另外一个站点。
一个超链接的标题可以完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL。
(3)脚本
通过JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。
(4)弹窗
还可以使用弹窗攻击方式,使浏览器中显示的是真实的网站页面,但在页面上同时弹出了一个简单的窗口,要求用户在该窗口中输入个人信息。
(5)DNS欺骗
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
攻击者冒充域名服务器,然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
(6)Hosts文件攻击
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。
例如Windows XP下 C:windowssystem32driversetc
用户可以修改 hosts 文件中 IP 与域名的映射列表,将域名指向自由定义的IP地址。
例如:127.0.0.1 www.ert7com
(7)社会工程
钓鱼攻击还使用非技术手段使用户坠入陷阱,其中的一个策略就是急迫性,从而使用户急于采取行动,而较少花时间去核实消息的真实性。另一个策略是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或关闭帐户,少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”),但威胁攻击更为常见,用户往往会对不劳而获产生怀疑,这可能是人类的本能
(8)IP地址
隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://202.*.*.250。这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。
钓鱼网站特点:
持续时间短
大多数钓鱼网站只存在很短的一段时间,其单位以天甚至小时计算。
憋脚的语言
许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。
网上交易站点居多
大部分钓鱼网站带有网上交易的特性,对网上银行、网络商城之类站点的用户资料和资金进行盗窃、诈骗等非法活动。
负面影响大
无论是对于客户端的客户体验,还是对于提供服务的网络公司的企业形象,都造成了极坏的影响。
为什么选择扩展验证EV SSL证书
普通的用户无法识别快速SSL 证书 和严格身份验证的EV SSL 证书有什么不同,两者都会在浏览器上显示安全锁标志。
扩展验证EV SSL证书需要经过最彻底的身份验证以确保该组织真实存在,扩展认证功能帮助挫败钓鱼网站。
绿色地址栏 显示的组织名称和作为证书颁发机构的CA无法被恶意网站模仿。
强大的防止钓鱼网站的保护能力
醒目的指示,显示网站身份的可靠性
大大阻止网页钓鱼
恢复网站访问者的信心
可控的安全性,安全一目了然
绿色地址栏增加顾客信任,带来更多交易
以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign 。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。
EV Upgrader帮助更多客户轻松获得安全绿色地址栏
VeriSign提供EV Upgrader升级技术,该技术可帮助非VISTA的IE7的用户自动升级根证书,如客户在Windows XP版本下使用IE7,该技术可确保客户无缝升级展示绿色地址栏,实现EV SSL证书诸多安全特性。扩展验证功能帮助挫败钓鱼网站
EV SSL证书 经过最彻底的身份验证客户确保证书持有组织的真实性。绿色地址栏将循环显示的组织名称和作为CA的VeriSign名称,两个的同时运用,从而最大限度上确保网站的安全性,树立网站可信形象的,不给钓鱼网站以可乘之机。
工欲善其事,必先利其器。电子商务、电子政务、网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解
目前来看,网络支付的安全手段主要基于电脑本身的防护,如让用户安装安全防护软件、独立的客户端、动态口令、USBKey等等。如何在如何将各大银行网银、支付平台、企业财务系统等各领域提供更多更有效的服务性产品,无需客户端来执行额外的操作,即可为客户带来方便易用的安全产品,从而构筑网上支付的安全防线,正是VeriSign 可信网站服务 在不断探寻的答案。