美国学者剖析网络钓鱼实施成功的秘密
来源:科技资讯网 更新时间:2007-10-17

大部分人收到那种声称是从银行或者其它某在线服务来的电子邮件时,都会发现这封邮件是询问个人以及个人财政详细信息的。当然有时候,的确真的是从银行或者某种服务发给客户的邮件。即使是这种情况,许多人仍然十分警惕。

  哈佛大学的Rachna Dhamija以及加州大学伯克利分校的Marti Hearst和J.D. Tygar联合发表了一篇名为“Why Phishing Works(网络钓鱼为什么能够取得成功)”的论文,他们对一小群随机的人群进行取样分析后发现,90%的研究对象对一封高危的钓鱼电子邮件不能够通过简单判断来辨别真假。

  同样,在能够保障客户利益的电子商务和在线银行方面,许多调查者也不能够找出真实的电子邮件。总而言之,这会使得那些谨慎的用户远离这种在线服务。

  研究者把一封经过仔细伪装的西部银行(Bank Of the West)的电子邮件跟其它电子邮件放在了一起,诱导邮件接收者到了这样一个钓鱼站点:www.bankofthevvest.com(注意:这里是两个v而不是一个w),并且连同加密的内容、伪装的Versign图标、认证的证明以及一个能弹出的客户安全警告。就这个试验,91%的调查对象认为这个站点是一个合法的站点。

  使用一封E*Trade公司真正的电子邮件把收件人引导到一个合法的安全站点,这个站点是一个简洁的、没有图示的专为移动浏览器设计的站点,结果77%的参与者认为这个站点是假的。

  消费者能够掉进钓鱼欺诈的一个原因就是因为这种欺诈太多了,消费者无意中就掉进了某个陷阱。在被调查的人群中,有将近四分之一的人根本就不看地址栏、状态栏或者对于钓鱼站点的安全指示。

  这就使它们很容易就成了攻击的对象,攻击者使用的手段就像是在电子邮件消息中把一个合法的URL替换掉一个字母,比如把字母“l”替换成数字“1”、或者替换成大写的“I”,用这种方式能够掩盖它的真相。

  在论文中还写道,人们并不理解域名的语法。文章中说:“他们可能会认为www.ebay-members-security.com是属于www.ebay.com的。”

  其它看得见的东西也能够进行欺骗。用户可能在一个Web页上看见一个类似的挂锁图标,然后就假设这是安全的保证。然而,这样的图标很容易就可以加到页面上的。

  一位国际警察组织的官员博哈德·奥特巴尔(Bernhard Otupal)在上周举行的电子犯罪大会(E-Crime Congress)上就高科技犯罪进行了发言。他说,消费者陷入这种陷阱不仅仅是因为这种类型的诡计太多,更重要的是他们在安全方面令人可怕的无知使犯罪者更容易进行。

  Otupal说:“用户需要承担一些责任。最近,许多用户成为了一组声称是某知名银行的网络钓鱼攻击的受害者。键入银行详细信息的人甚至都不是银行的客户。”

  “Why Phishing Works”这篇论文还宣称,他们发现受到感染的人群跟年龄没有关系。然而,不同于市场研究机构YouGov的另外一所研究机构表明的观点有些不同。

  当调查者被问及是否计算机犯罪的威胁使他们变得更加谨慎小心时,在18到29岁之间的调查对象中只有58%回答是,50岁以上的人群中也只有79%这样回答。

  相类似地,那些年轻的被访者中,有80%表示他们要与别人做在线生意时会考虑安全问题,而在那些年长的被访者中,这个数字是93%。