過去大規模的 slammer, nimda, codered 蠕蟲, 這幾年似乎已經消失, 取而代之的是駭客改變了它的目的..轉向獲取實質的金錢利益.
2004 年 1 月,Anti-Phishing Working Group 辨識出 174 個網釣網站,同年 12 月居然暴增超過 1,000 個。 2006 年,網路詐欺造成的消費者財務損失估計在 5 億 ( 根據美國聯邦交易委員會的統計 ) 到 20 億 ( 根據反網釣工作小組統計 ) 美元之間。國際知名資安組織 SANS 甚至發佈告警訊息: 2007 年將成為網路釣魚災害嚴重氾濫的一年。
底下連結是一個網路釣魚的鏈結, 請您不要點. 只要看就好...
https://wwww.citibank.com.signin/confirmation.jsp
表現上看起來好像連結到 citibank, 其實郤不然...
也有人會用類似的字來欺騙您...
例如:
www.yahoo.com.tw 就用 www.yah00.com.tw 來欺騙您. o 跟 0 看不太出來
www.lbank.com.tw 就用 www.1bank.com.tw 來欺騙您. l 跟 1 也是看不太出來
而現在比較高干一點的就是利用 dns ..
1.DNS Spoofing
DNS系統冒名欺騙(DNS Spoofing)是駭客利用特殊的方法將其實的DNS系統攻陷下來,使原始的DNS系統無法正常回應使用者的查詢,且引導使用者至假冒的DNS系統並回傳假的結果。目前攻擊DNS伺服器多是進行DOS阻斷服務攻擊或DDOS分散式阻斷服務攻擊來攻擊DNS伺服器,讓伺服器無法正常提供服務,並取代原伺服器或取得控制權引導使用者至己部署好的釣魚網站。
2.DNS Pharming
DNS與IP對應,就是網站為了讓使用者可以用更有邏輯或是有跡可循的方式去記憶URL替代掉只有數字的IP位址。換言之,使用者通常對於一個正常DNS所轉換的URL是毫無疑問,就因如此,魔高一丈的釣魚駭客腦筋動到了DNS上。只要攻陷DNS伺服器,駭客就能隨心所欲的將正常的URL對應到釣魚主機的IP上了。例如,125.13.22.58轉換成網址為www.google.com.tw一旦DNS被入侵,經過駭客將DNS與IP轉換後,同樣的Google網址對應的IP就會不同而被引導至假冒的網頁。Pharming可以說是Phishing的下一個趨勢,而且採用更高段的手法,讓使用者更難發覺網站是偽造的。
除了在 DNS 伺服器動手腳,網路釣客也可以透過各種方式設法誘使受害者下載 %SYSTEMROOT%/system32/drivers/etc/hosts 檔案 (Windows 使用者 ) 存在自己的電腦中 ,這個檔案裡就包含了 IP 與 Domain Name 的對應紀錄,當使用者瀏覽網頁時,電腦會優先使用這個檔案中的紀錄,如果在該檔案中查無資料才會轉而詢問當地的 DNS 伺服器。利用這個手法,網路釣客就可以輕易迫使受害者連到自己預設的惡意網站中並留下珍貴的資料。
3.DNS Spearing
許多網站 ( 特別是 Portal) 的寫法大都採取多層次架構或是 Cross Site 連結的方式,當瀏覽者點擊網站某個按鍵或是超連結圖示時,就會被導引到另一個 Site( 可能是 AP 伺服器 ) 執行一段程式或是開啟網站內頁的畫面。利用這樣的架構,網路釣客先入侵 Portal Si te( 銀行與 B 2C 、 C 2C 網站往往是首選 ) 後,竄改連結內頁的路徑到自己架設的網站 ( 當然外表看起來與真的內頁網站一模一樣 ) ,於是,當受害者開啟瀏覽器瀏覽這個 Portal 站時,就會非常容易在毫無防備的情況下連結到假網頁,即使一開始連線的 Portal 站正確無誤。
另外有人提出了防禦的機制
不管您使用哪種DNS,請遵循BlueCat Networks公司總裁Michael Hyatt提供的以下最佳慣例:
1. 在不同的網路上執行分離的網域名伺服器來取得冗余性。
2. 將外部和內部網域名伺服器分開(物理上分開或執行BIND Views)並使用轉信器(forwarders)。外部網域名伺服器應當接受來自幾乎任何位址的查詢,但是轉信器則不接受。它們應當被組態為只接受來自內部位址的查詢。關閉外部網域名伺服器上的遞歸功能(從根伺服器開始向下定位DNS記錄的過程)。這可以限制哪些DNS伺服器與Internet聯繫。
3. 可能時,限制動態DNSOLE。
4. 將欄位傳送限制在授權設備上。
5. 利用事務簽名對欄位傳送和欄位OLE進行數字簽名。
6. 隱藏伺服器上的BIND版本。
7. 刪除執行在DNS伺服器上的不必要服務,如FTP、telnet和HTTP。
8. 在網路週邊和DNS伺服器上使用防火牆服務。將存取限制在那些DNS功能需要的連接埠/服務上。
網路上有個釣魚網站辨識工具 Monkeyspaw
http://www.planb-security.net/userscripts/monkeyspaw-howto.html
由 APWG(Anti-Phishing Working Group) 其首席專家 Tod Beardsley( 目前任職於 TippingPoint 的數位疫苗實驗室 DVLabs) 撰寫出一套可以偵測釣魚網站的工具程式叫做「猴爪」 ( Monkeyspaw ) , 使用者可以免費下載後安 裝在自己的電腦上 (PS : 瀏 覽器必需使用 FireFox) 。
APWG 的網址找尋 http://www.antiphishing.org
沒有留言:
張貼留言