钓鱼式攻击的反网钓技术对策
反网钓措施已经实现将其功能内嵌于浏览器,作为浏览器的扩展或工具栏,以及网站的注册表程序的一部分。下面是一些解决问题的主要方法。 大多数网钓盯上的网站都是保全站点,这意味着的SSL强加密用于服务器身份验证,并用来标示在该网站的网址。理论上,利用SSL认证来保证网站到用户端是可能的,并且这个过去是SSL第二版设计要求之一以及能在认证后保证保密浏览。不过实际上,这点很容易欺骗。
表面上的缺陷是浏览器的保全用户界面 (UI) 不足以应付今日强大的威胁。通过TLS与证书进行保全认证有三部分:显示连接在授权模式下、显示使用者连到哪个站、以及显示管理机构说它确实是这个站点。所有这三个都需齐备才能授权,并且需要被/送交用户确认。
安全连接:从1990年代中期到2000年代中期安全浏览的标准显示是个锁头,而这很容易被用户忽略。Mozilla于2005年使 用黄底的网址栏使得安全连接较容易辨认。不幸的是,这个发明后来被撤销,导因于EV证书:它代以对某些高价的证书显示绿色,而其他的证书显示蓝色 (译按:Mozilla Firefox 3.x版非EV证书的安全浏览网站皆显示蓝色)。
哪个站:用户应该确认在浏览器的网址栏的网域名称是实际上他们要访问的地方。网址可能是过度复杂而不容易从语法上分析。用户通常不知道或者不会鉴别他们想要链接的正确网址,故鉴定真伪与否变得无意义。有 意义的服务器认证条件是让服务器的识别码对用户有意义;而许多电子商务网站变更其网域名成为他们整体网站组合的其中之一 (译按:极端例子像 化妆零售部A.百货B.行销公司C.电视台这样子网域的架构),这种手段让困惑的机率增大。而一些反网钓工具条仅显示访问过网站域名的做法是不够的。
另一种替代方法是 Firefox 的 宠物名(petname) 附加元件,这让用户键入他们自己的网站标签,因此他们可以在以后再度造访该站时认出。如果站点没有被认出,则软件会警告用户或彻底阻拦该站点。这代表了以用户为中心的服务器身份管理。某些人建议用户选定的图像会比宠物名效果要好。
随着 EV 证书的出现,浏览器一般以绿底白字显示机构名称,这让用户更加容易辨识并且与用户期望一致。不幸的是,浏览器供应商选择仅限定EV证书可独享这突出的显示,其他种证书就留待用户自己自求多福了。
谁是管理机构:浏览器需要指出用户要求连到对象的管理机构是谁。在保全等级最低的阶段,不指名管理机构,因此就用户而言浏览器就是管理机构。浏览器供应商通过控制可接受的授权证书(Certification Authorities,简称/下称 CA)根名单来承担这个责任。这是目前的标准做法。
这里的问题是不管浏览器供营商如何企图控制质量,市面上 CA 品质良莠不齐亦不实施检查。亦不是所有签署 CA 的公司行号取得该证书仅是为了认证电子商务组织的同一个模型和概念而已。制造证书(Certificate Manufacturing) 是颁给只用来递送信用卡与电子邮件送达确认的低交易额证书;这两者的用途都容易受到诈骗罪犯的扭曲。由此引申,一个高交易额的网站可能容易受到另一个可提 供的 CA 认证蒙混。这种情况可能会在 CA 位于世界的另一端,并且对高交易额电子商务站不熟悉,或者用户根本就不关心这件事。因为 CA 只负责保障它自己的客户,并不会管其他 CA 的客户,故这个漏洞在该模型是根深蒂固的。
对此漏洞的解决方案是浏览器应该显示,并且用户应该熟悉管理机构之名。这把 CA 当作是种品牌体现,并且让用户知悉在其所在国家和区段之内可联络到少数几个 CA。品牌的使用亦对 CA 供应商至关重要,借此刺激它们改进证书的审核:因为用户将知悉品牌差异并要求高交易额站点具备周延的检查。
本解决方案首度于早期 IE7 版本上实现。在当其显示 EV 证书时,发布的 CA 会被显示在网址区域。然而这只是个孤立的案例。CA 烙上浏览器面板仍存在阻力,导致只有上面所提最低最简单的保全等级可选:浏览器是用户交易的管理机构。
目前全球通过最高级别的SSL证书来有效防范钓鱼攻击,通过全球可信的CA(GlobalSign)给网站颁发EVSSL证书,激活浏览器绿色地址栏,实行256位安全加密,保证客户和网站之间的通信不被窃听,并醒目的表明网站自己经过认证之后的身份。 改进保全用户界面的试验为用户带来便利,但是它也暴露了安全模型里的基本缺陷。过去在安全浏览中沿用之SSL认证失效的根本原因有许多种,它们之间纵横交错。
在威胁之前的保全:由于安全浏览发生在任何威胁出现之前,保全显示在早期浏览器的“房地产战争”里被牺牲掉了。网景浏览器的原始设计有个站点名称暨其 CA 名称的突出显示。用户现在常常习惯根本不检查保全信息。 还有一种打击网钓的流行作法是保持一份已知的网钓网站名单,并随时更新。微软的IE7的浏览器、Mozilla Firefox 2.0、和 Opera都包含这种类型的反网钓措施。 Firefox 2中使用 Google 反网钓软件。Opera 9.1 使用来自 PhishTank 和 GeoTrust的黑名单,以及即时来自 GeoTrust 的白名单。这个办法的某些软件实现会发送访问过的网址到中央服务器以供检查,这种方式引起了个人隐私的关注。据 Mozilla 基金会在2006年年底报告援引一项由某独立软件测试公司的研究指出, Firefox 2 被认为比 Internet Explorer 7 发现诈欺性网站更为有效。
在2006年年中一种方法被倡议实施。该方法涉及切换到一种特殊的DNS服务,筛选掉已知的网钓网域:这将与任何浏览器兼容,而且它使用类似利用Hosts文件来阻止网络广告的原理来达成目标。
为了减轻网钓网站通过内嵌受害人网站的图像(如商标)藉以冒充的问题,一些网站站主改变了图像传送消息给访客,某个网站可能是骗人的。图像可能移动成新的档名并且原来的被永久取代,或者一台服务器能侦测到的某图像在正常浏览情况下是不会被请求到,进而送出警告的图像。 美国银行的网站是众多要求用户选择的个人图像、并在任何要求输入密码的场合显示该用户选定图片的网站之一。该银行在线服务的用户被指示在只有当他们看到他们选择的图像才输入密码。然而,最近的一项研究表明仅有少数用户在图像不出现时不会键入他们的密码。此外,此功能(像其他形式的双因素认证)对其他攻击较脆弱,如2005年年底斯堪的纳维亚诺尔迪亚银行案,与2006年的花旗银行案。
保全外壳是 一种相关的技术,涉及到使用用户选定的图片覆盖上注册表窗体作为一种视觉提示以表明该窗体是否合法。然而,不像以网站为主的图像体系,图像本身是只在用户 和浏览器之间***享,而不是用户和网站间***享。该体系还依赖于相互认证协议,这使得它更不容易受到来自侵袭只认证用户体系的攻击。 在2004年1月26日,美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉。被告是个美国加州少年,据说他设计建造了一个网页看起来像美国在线网站,并用它来窃取信用卡数据。其他国家援引了这一判例追踪并逮捕了网钓者。网钓大户瓦尔迪尔·保罗·迪·阿尔梅达在巴西被捕。他领导一个最大的网钓犯罪帮派,在两年之间做案估计偷走约1800万美元到3700万美元之间。英国当局在2005年6月收押两名男子以其在一项网钓欺诈活动扮演的脚色,而这宗案子与美国特勤处《防火墙行动》 (Operation Firewall,目标是当时最大最恶名昭彰的信用卡盗窃网站)有关。2006年8人在日本被逮捕,日本警方怀疑他们通过假造雅虎日本网站网钓进行欺诈,保释赔款1亿日元(87万美元)。2006年美国联邦调查局逮捕行动继续,以代号《保卡人行动》 (CardKeeper) 在美国与欧洲扣押了一个16人的帮派。
在美国,参议员派崔克·莱希(Patrick Leahy)在2005年3月1日向美国国会提审2005反网钓法案。这项法案,如果它已成为法律,将向建立虚假网站、发送虚假电子邮件以诈欺消费者的罪犯求处罚款高达25万美金并且可监禁长达5年。英国在2006年以2006诈欺法强化了其打击仿冒欺诈的法律武器,该法案采用一般欺诈罪,可求刑监禁多达10年,并禁止开发或意图欺诈下拥有网钓软件包。
许多公司也加入全力打击网钓的行列。2005年3月31日,微软向美国华盛顿西部地方法院提交 117 起官司。这起诉讼指控“无名氏”的被告非法取得的密码信息和机密信息。2005年3月微软和澳大利亚政府间合作,向执法人员教学如何打击各种网络犯罪,包括网钓。在2006年3月,微软宣布计划进一步在美国境外地区起诉100案件,随后该公司信守承诺,截至2006年11月之前,***起诉了129件混合刑事和民事行动的犯罪案件。美国在线亦加强其打击网钓的努力,在2006年早期根据维吉尼亚计算机犯罪法2005年修订版起诉三起***求偿1800万美元,而 Earthlink 已加入帮助确定6名男子在康涅狄格州的案子,这6名人士稍后被控以网钓欺诈。
2007年1月,杰弗瑞·布雷特·高汀被陪审团援引的2003年反垃圾邮件法(CAN-SPAM Act of 2003)将其定罪为加州第一位依此法被定罪的被告。他被判犯下对美国在线的用户发送成千上万的电子邮件,并乔装成AOL的会计部门以催促客户提交个人和 信用卡数据的罪行。面对反垃圾邮件法的101年关押以及其他数十个包括诈欺、未经授权使用信用卡、滥用AOL的商标,这部分他被判处70个月监禁。因为没 有出席较早的听证会,高汀已被拘留,并立即开始入监服刑。