从国家计算机网络应急技术处理协调中心(CNCERT/CC)处理的网络钓鱼事件来看,用户主动寻求帮助的较少,不知该如何配合处理,以及许多主机安全性不高等问题亟需解决。
随着电子商务及在线银行作为购物与金融交易的手段被广泛采用,网络钓鱼(Phishing)之类的诈骗正变得日益猖獗。网络钓鱼是指不法分子在互联网上仿冒知名的电子交易站点(如银行或拍卖网站)的网页,诱使用户访问假站点,骗取用户的账号和密码等信息,从而窃取钱财。
多数情况下,不法分子常常利用某种漏洞进入其他无辜用户的主机来运行假冒网页,然后,制作并大面积散发非常具有迷惑性和欺骗性的电子邮件。这些邮件貌似来自银行或零售商,声称有某种迫切性要求收件者对账户进行更新或有新产品待售。对此缺乏安全防范意识的互联网用户往往按邮件提示,点击邮件中看似正常实为仿冒网页的链接。一旦用户点击此链接,便会被提示输入账户资料、信用卡号、交易密码等重要个人信息,这些信息最终将落入不法分子手中,继而从用户的账户里窃取钱财。
日渐猖獗
随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络钓鱼层出不穷,造成的损失也越来越大。据美国银行及信用卡公司统计称,2003年由于网络诈骗的损失达12亿美元,平均每个受害者损失约1200美元。另据英国安全机构MI2G估计,2003年由于网络钓鱼诈骗,全球经济损失超过了322亿美元,原因包括客户的减少、业务被中断,以及用于恢复品牌信誉方面的努力。
面对这如此巨大的经济利益诱惑,很多黑客转而去实施网络钓鱼攻击。垃圾邮件过滤公司Brightmail的数据表明,全球Phishing邮件总量增长迅猛,于2005年4月达到31亿封。这些黑客的专业性也令欺诈网页的处理面临着巨大的压力,他们利用先进的技术和最新的系统漏洞,这让很多安全专家感到头痛。
这种利用网络进行欺诈的新攻击行为一出现,就引起了网络安全界、金融界、利用网上业务提供金融服务的机构以及司法部门的高度重视。国家计算机网络应急技术处理协调中心(CNCERT/CC)自2004年以来就对网络钓鱼这一新的网络攻击形式给予了重视,作为重点事件进行处理。
在2002年和2003年,CNCERT/CC掌握的针对国内金融网站的仿冒活动都只有1起。而在2004年,CNCERT/CC接到网络钓鱼类事件报告223件,绝大多数来自国际应急组织和安全小组。2004年年底,国内也出现了多起金融网站被仿冒的事件,如假冒中国银行、中国工商银行、中国农业银行等事件。2005年,CNCERT/CC共收到来自国外的网络钓鱼事件456件,其中完成处理145件。这些网络钓鱼类事件绝大部分是国际应急组织和安全小组报告并要求协助处理的,被仿冒的网站大都是国外的著名金融机构,也有少量是仿冒国内工商银行和淘宝网的事件报告。
从CNCERT/CC接受和处理的报告事件数量来分析,涉及我国的网络钓鱼事件从2004年年底有了显著增加,至今仍居高不下,这也和国际上的趋势大致符合。
诸多问题不容忽视
从CNCERT/CC处理的网络钓鱼事件特点来看,有如下问题不容忽视:
1.国内有关机构主动寻求帮助的太少
以2005年的数据为例,向CNCERT/CC报告网络钓鱼事件的机构涉及40多个国外的组织机构,其中40%来自eBay。在报告网络钓鱼事件数量最多的组织机构中,前10名全部来自国外。
但从CNCERT/CC掌握的情况来看,国内还是发生了一些针对银行、公司的网络钓鱼事件,但向有关部门报告、寻求帮助的很少。出现这种情况,一个客观原因是国内的有关机构在发生针对自己的网络钓鱼事件时,不知道向哪些部门求助,以及时关闭网站; 另外一个原因是,出于种种考虑,不希望别人知道自己网站被仿冒了。实际上,不及时求助关闭网站,以及不及时提醒用户注意,会导致更多的用户上当受害,一旦用户发现是由于被仿冒网站单位的原因,那么被仿冒网站单位的名誉损失和负面影响可能会更大。因此,国内的有关机构应对网络钓鱼事件处置有更深刻的认识。一旦有网络钓鱼事件涉及自己,应及时向有关部门求助,关闭假冒网站,采取措施提醒用户,以避免造成更大的损失和影响。
2.国内许多主机安全性不高
在国际上,不法分子实施网络钓鱼行为时,通常会选择其他国家地区的计算机来建立仿冒网页,以逃避本国司法和执法部门的调查和处罚。目前,很多境外黑客利用其所入侵并控制的我国境内的主机来建立仿冒网页。
根据国际权威机构反网络钓鱼工作组(APWG)公布的运行仿冒网页主机所在国家的分布情况统计,2005年上半年中国主机运行仿冒网页的情况不容乐观。具体情况如图所示。
从某种意义上讲,中国已经成为欺诈网页的培养基地,这在相当程度上影响了我国互联网的健康发展。很多欺诈网页运行在被黑的中国主机上说明,我国的主机安全状况不容乐观。具体原因有以下三点。
首先,很多主机处于无安全维护的状态。截至2005年12月31日,我国上网计算机数达到4950万台。中国的互联网用户数量蒸蒸日上,主机托管业务也在广泛开展,而网站的安全性问题也日益严重,很多主机处于无人维护的状态。
其次,安全防范意识较差。许多用户的计算机安全意识比较薄弱。很多系统甚至在没有安装补丁、没有安装防病毒软件、防火墙的情况下连入互联网,给黑客植入欺诈网页提供了轻松容易的可乘之机。
另外,对欺诈网页的危害了解不多。在自2004年年初以来的欺诈网页处理中,很多用户只是在其主机中删除欺诈网页的所有内容以及日志,就草草了事。他们并没有意识到事后处理的重要性,没有及时打补丁,采取其他安全措施,导致同一个主机被多次植入欺诈网页。
3.国内许多用户不知道如何配合处理
网络钓鱼事件的突出特点是,从受害用户访问假网站,泄漏重要个人信息,到最终损失钱财,整个过程往往会发生在短暂的时间内。因此,对于运行网络钓鱼主机的所有者而言,迅速积极地配合处理正在发生的网络钓鱼事件,将及时制止进行中的不法活动,有效地避免给更多的网络用户带来经济损失。
CNCERT/CC在实际处理网络钓鱼事件经验的基础上,制订了相应的处理流程规范。通常,由CNCERT/CC总部协调网络钓鱼的处理,由CNCERT/CC各省分中心具体承担,在定位仿冒主机后,联系该主机用户并介绍有关情况,协助用户及时清除欺诈网页或进一步清除黑客植入的后门,建议用户加强网络安全防范工作等。但在这个过程中,如果主机用户不理解、不配合,就无法及时将假冒网站关闭。
因此,一方面需要有关部门加强宣传普及教育,另一方面国内用户也需要加深对网络钓鱼的认识。一旦网络钓鱼涉及自己管理的主机,则应尽快自行或在有关方面的支持下及时采取行动:立即关闭自己主机上的仿冒网页,以制止不法活动,减少用户的损失;保存并在需要时提供仿冒网页的访问日志,以协助分析查找不法分子的踪迹线索。
寻找有效对策
据国务院信息化办公室发布的《中国信息化发展报告2005》,截至2004年年底,我国加入银联的入网机构共132家,全国发卡总量超过了7.69亿张,2004年完成跨行交易18.3亿笔,跨行交易总金额达到6858亿元。可以预计,随着中国金融市场与国际更加接轨,中国的信用卡持有者将会更多,通过互联网上进行的跨国电子交易也将越来越多,欺诈网页的威胁也接踵而至。目前所涉及的欺诈网页事件多为在国内主机中植入虚假的国外银行的交易界面。其最终的受害者还多是国外的银行卡用户。CNCERT/CC目前接到涉及我国的金融机构和用户的网络钓鱼事件还比较少。可以预测,随着我国信息化的深入,网上银行、网上购物等电子商务的普及,我国面临的网络钓鱼事件威胁必将日益增加,应该引起有关方面的足够重视。
首先,我国司法、执法部门和有关部门应提高对以网络钓鱼为代表的新形式的计算机犯罪,推动有关立法,制订规章制度,加大对网络钓鱼的打击力度。
其次,国内需要建立类似国际反网络钓鱼工作组APWG的合作应对机制,成立由政府部门、执法机构、金融界、应急组织、供应商等有关各方组成的组织,发挥各自的特长和优势,共享技术、信息和资源,才能更好地应对这一网络安全新威胁。
此外,积极参与反网络钓鱼的国际交流和合作也具有重要意义。由于网络钓鱼的跨国性,在国际中提高知名度,成为中国反欺诈网页工作中的主流。这样盲目的投诉会减少,数据会系统化,协调将更为便利。同时,可以了解国际上的新技术及工具等信息,对整体反欺诈网页工作国际化有着推动作用。
最后,提高终端用户和中小单位的网管的安全意识,以及进一步对网络钓鱼的认识,才能从根本上减少我国的网络钓鱼事件。当然,这也是老生常谈,需要各方面的努力,是一项长期工作。