相对于过去时常爆发大规模的蠕虫瘫痪网路事件 (Slammer 、 Ninda 、 Netsky…) ，这两三年来网路世界似乎平静很多，主要的原因在于骇客已经改变了攻击的目的，不再想出名炫耀、也不只是要证实自己的技术有多好，而是要实质的获取利益，就如同 知名银行抢匪 Willie Sutton 被问及为何要抢银行时说了一句话：「因为那里有钱。」。骇客运用的手法繁多，其中，网路钓鱼 (Phishing) 已成为身份盗窃「产业」中成长最快速的技术之一。 2004 年 1 月，反网钓工作小组 (Anti-Phishing Working Group) 辨识出 174 个网钓网站，同年 12 月居然暴增超过 1,000 个。 2006 年，网路诈欺造成的消费者财务损失估计在 5 亿 ( 根据美国联邦交易委员会的统计 ) 到 20 亿 ( 根据反网钓工作小组统计 ) 美元之间。国际知名资安组织 SANS 甚至发布告警讯息： 2007 年将成为网路钓鱼灾害严重泛滥的一年。

网路钓鱼？要怎么钓？我被钓了吗？
一般来说，网路钓客 (Phisher) 会发出大量的电子邮件伪称自己是银行、购物网站，基于某些因素 ( 例如用户资料稽核需要、密码到期或是中奖需要谈报资料等 ) 要求收件者点阅信中的网址后进行资料确认或是更改。图一是网路钓客盗用 PayPal 名义发出的钓鱼信件内容：


图一：伪称 Paypal 的钓鱼信件内容

如果收件者不疑有他，果真依照信中的说明连结该网址，将会看见如图二的网页画面 ( 酷似 PayPal 的假网页 ) ，并要求输入一些重要的个人机密资料：


图二：酷似 PayPal 的假网页

这一类网路钓鱼手法的登入页面大都具有许多共通特征，包括：从真正知名网站抓下来的图片和连结、走 HTTP ( 而非 HTTPS ) 协定，以及在网址列中呈现 IP 位址 ( 而非一个网域名称 ) 。当被害者输入帐号密码之后，网路钓客就可以轻易地得到这些资料。更甚者，有些钓鱼网页还会要求受害者继续填写其他更多的个人资料像是身分证字号、地址与联络电话、亲属名称 ( 因为银行行员会问及，网路钓客日后要到用帐号时必须知道 ) 等。

网路钓鱼手法再精进：网址嫁接 (Pharming) 与鱼叉式网路钓鱼 (Spearing)

当然，经过媒体的大量报导之后，我们都被教育学会不要随意乱点阅电子邮件中的网址连结，以免变成被钓的大鱼。于是乎骗术更高明、设计更细腻的网钓技术 -- 网址嫁接 (Pharming) 以及鱼叉式网路钓鱼 (Spearing) 渐渐成为网路钓客们的主流作为。网址嫁接 (Pharming) 最早在 2004 年时就已经发现，它的实施手法是：网路钓客先设法入侵 DNS(Domain Name Server) 系统后，再窜改其存在 cache 里的 Domain Name 与 IP 对映纪录 ( 有人称作 DNS cache 放毒 ) 。当使用者向这台 DNS 查询网址时，就会被导引到一个网路钓客伪造的网站上而完全不自觉。受害者有可能在假网站中 ( 如仿真的网路银行登入首页 ) 留下重要的帐号密码资料，或是因为浏览含有恶意程式的网站而遭植入木马 (Trojan) 与键盘测录程式，在往后的日子里泄露更多的个人讯息。

除了在 DNS 伺服器动手脚，网路钓客也可以透过各种方式设法诱使受害者下载 %SYSTEMROOT%/system32/drivers/etc/hosts 档案 (Windows 使用者 ) 存在自己的电脑中 ，这个档案里就包含了 IP 与 Domain Name 的对应纪录，当使用者浏览网页时，电脑会优先使用这个档案中的纪录，如果在该档案中查无资料才会转而询问当地的 DNS 伺服器。利用这个手法，网路钓客就可以轻易迫使受害者连到自己预设的恶意网站中并留下珍贵的资料。

那么，鱼叉式网路钓鱼 (Spearing) 又是怎么做的呢？许多网站 ( 特别是 Portal) 的写法大都采取多层次架构或是 Cross Site 连结的方式，当浏览者点击网站某个按键或是超连结图示时，就会被导引到另一个 Site( 可能是 AP 伺服器 ) 执行一段程式或是开启网站内页的画面。利用这样的架构，网路钓客先入侵 Portal Si te( 银行与 B 2C 、 C 2C 网站往往是首选 ) 后，窜改连结内页的路径到自己架设的网站 ( 当然外表看起来与真的内页网站一模一样 ) ，于是，当受害者开启浏览器浏览这个 Portal 站时，就会非常容易在毫无防备的情况下连结到假网页，即使一开始连线的 Portal 站正确无误。

如何做到有效的网路钓鱼防御？

当网路金融活动越来越频繁，网路钓客也就变得越来越贪婪。网路犯罪有相当的隐匿性，不仅破案困难，加上获利可观，因此也就不难想像为什么几乎每周都有网路钓鱼事件被媒体报导。想要做到有效的防御，当然要先从了解网路钓鱼手法开始，再逐步思考防护之道。图三中详述了网路钓客实行网路钓鱼的过程：

1.入侵一台电脑，通常会选择 Web 伺服器。
2.植入信件发送程式，大量寄发含有钓鱼欺骗讯息的电子邮件。
3.收到信件的受害者依照信中指示点击内含的网页连结。
4.钓鱼网站呈现在受害者的电脑萤幕上。
5.受害者在钓鱼网站中输入重要的个人资料。


图三：网路钓鱼过程五部曲

想要防护网路钓鱼，除了不要随意点击电子邮件中的网页连结之外，许多人会在自己的电脑中加装辨识软体，对恶意的钓鱼网站建立黑白名单，以避免误连后泄漏资料。然而，仅使用简单的比对黑名单或是垃圾邮件过滤规则就希望杜绝网路钓鱼的侵扰并不容易。于是，在网路的闸道端建置防御机制 ( 例如入侵防御系统 --IPS) ，针对进出的电子邮件与网页连结做分析后，阻绝网路钓鱼活动的进行是许多资安专家建议的方式。

网路钓客之所以可以让钓鱼手法顺利进行，找到可以入侵的 Web 伺服器是很重要的关键。网路世界中有太多的 Web 伺服器存在有太多的漏洞 (Vulnerability) ，不论是作业系统本身；亦或是网站建置者常用的 IIS/Apache 软体，如果更新稍有延迟，很容易遭骇客入侵后建立最高管理权限，植入各种程式。所以说，漏洞防御的完整与否与网路钓鱼是否可以顺利开始息息相关，善用入侵防御技术可以在闸道端将意图入侵的封包拦阻，也是避免遭到网钓的关键。别忘了，网路钓客很可能利用您手上的 Web 伺服器去钓其他非您单位里的人，常常会让您成为代罪羔羊而不自知。

接下来的工作才是针对电子邮件内容以及网页里传输的讯息加以辨识与过滤。其中，几个有效的作为诸如：

1.侦测并阻挡 mess-mailer 软体发送大量的钓鱼邮件。
2.阻拦以 HTML 格式内嵌伪造 eBay/PayPal 连结的电子邮件。
3.将电子邮件里所列的网址连结与真实的 HTML page 不符的电子邮件。
4.电子邮件里内嵌有 HTML 个是的表格，受害者填写资料在表格中后会传送到网5.路钓客预设的目的地中。
6.侦测是否使用 HTTP( 非 HTTPS) 传送机密的金融帐号密码资料、信用卡资料。
7.各个知名金融机构 ( 如花旗银行 ) 登入网站的确认。

钓鱼网站的辨识工具 -- 猴爪 (Monkeyspaw)

国际上有一个专门研究防范网路钓鱼手法的组织 --APWG(Anti-Phishing Working Group) ，其首席专家 Tod Beardsley( 目前任职于 TippingPoint 的数位疫苗实验室 DVLabs) 撰写出一套可以侦测钓鱼网站的工具程式叫做「猴爪」 ( Monkeyspaw ) ， 使用者可以免费下载后安 装在自己的电脑上 (PS ： 浏 览器必需使用 FireFox) 。该工具会分析您所浏览的每个网站的详细 资料， 包括 IP 位址与所属所在地；运用 DNS Lookup 查询 Domain 的登记者；伺服器基本资料；同时也支援将 异常网站资料传送给资安组织与厂商功能。其详细的安装与操作方式请参看下面的网 址， 里面的说明非常清楚易懂 http://www.planb-security.net/user...paw-howto.html

其他更多关于钓鱼技术的讯息可以到 APWG 的网址找寻 [url]http:// http://www.antiphi...rg[/url[/url]

DVLabs-- 数位疫苗 (Digital Vaccine) 实验室： TippingPoint DVLabs 网罗了业界的精英人员，如 Tod Beardsley--APWG(Anti-Phishing Working Group) 的首席专家、 Rohit Dhamankar--SANS 二十大攻击报告的总编辑，也因此 DVLabs 不但于日前获得 Frost & Sullivan 研究机构评选为成长最快速的新安全弱点发现者，同时也是发现高严重性资安威胁和 Microsoft 安全弱点的领导组织。


文：石谓龙 / TippingPoint 台湾 香港技术总监 / robin_shih@3com.com