Loading AI tools
網路詐騙手法 来自维基百科,自由的百科全书
網路釣魚(英語:Phishing,與英語fishing發音一樣;又名網路釣魚,簡稱網釣)是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如使用者名稱、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。這些通訊都聲稱(自己)來自於風行的社群網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎、網際網路服務提供者、公司機關),以此來誘騙受害人的輕信。網釣通常是透過e-mail或者即時通訊進行[1]。它常常導引使用者到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄使用者的實例[2]。它憑恃的是現行網路安全技術的低親和度。[3]種種對抗日漸增多網釣案例的嘗試涵蓋立法層面、使用者培訓層面、宣傳層面、與技術保全措施層面。
網釣技術最早於1987年問世,而首度使用「網釣」這個術語是在1996年。該辭是英文單詞釣魚(fishing)的變種之一[4],大概是受到「飛客」(phreaking)一詞影響[5][6],意味著放線釣魚以「釣」取受害人財務資料和密碼。
網釣技術早在1987年,以論文與簡報的方式描述交付給Interex系統下的國際惠普使用者群組[7]。第一次提到「網釣」這個術語是在1996年1月2日於alt.online-service.America-online Usenet新聞群組[8],雖然該術語可能在駭客雜誌2600書面版本上更早出現。[9]
美國線上(AOL)的網釣與交換盜版軟體的warez社群密切相關。自從AOL於1995年底採取手段防止利用演算法產生的偽造信用卡號來開立帳號後,AOL破解者便訴諸網釣以取得合法帳號。[10]
網釣者可能喬裝成AOL的工作人員,並對可能的受害者傳送即時通訊,詢問此人揭露其密碼。[11]為了引誘受害者讓出其個人敏感資料,通訊內容不可避免的有類似「確認您的帳號」(verify your account)或者「核對您的帳單資訊」(confirm billing information)。一旦發現受害人的密碼,攻擊者可以獲取並利用受害人的帳戶進行詐欺之用或傳送垃圾郵件。網釣和warez兩者在AOL一般需要自行開發應用程式,像AOHell即是一例。由於在AOL上網釣變得如此普遍,該公司在其所有即時通訊上加了一行聲明:「不會有任何AOL員工會詢問您的密碼或者帳單資訊。(No one working at AOL will ask for your password or billing information)」。
1997年年後,AOL注意到網釣與Warez並更加緊縮其政策施行,以強迫盜版軟體與AOL伺服器絕緣。AOL另一方面開發一種可立即停用與網釣掛勾帳號的系統,這常常在受害人可回應之前就達成了。在AOL的warez後台關閉導致大部份網釣者離開該服務,許多網釣者通常是年輕十幾歲的青少年,他們長大後就戒除了這種壞習慣[12]。
捕獲的AOL帳戶資訊可能導致網釣攻擊者濫用信用卡資訊,而且這些駭客認識到,攻擊在線支付系統是可行的。第一次已知直接嘗試對付支付系統的攻擊是在2001年6月,影響系統為E-gold,該事件發生後緊跟在九一一襲擊事件之後不久的「後911身分檢查」。[13]當時的這兩個攻擊都被視為失敗之作,不過現在可將它們看作是對付油水更多主流銀行的早期實驗。到了2004年,網釣被認為是經濟犯罪完全工業化的一部份:專業化在全球市場出現,它提供了找錢的基本組件,而這組件被拼裝成最後完美的攻擊。[14][15]
網釣者目標是針對銀行和在線支付服務的客戶。理應來自於美國國稅局(Internal Revenue service)電子郵件,已被用來收集來自美國納稅人的敏感資料。[16]雖然第一次這樣的例子被不分青皂白的寄送,其目的是期望某些收到的客戶會洩漏其銀行或者服務資料,而最近的研究表明網釣攻擊可能會基本上確定潛在受害者會使用哪些銀行,並根據結果遞送假冒電子郵件。[17]有針對性的網釣版本已被稱為魚叉網釣(spear phishing)。[18]最近幾個網釣攻擊已經具體指向高層管理人員,以及其他企業大戶,而術語「鯨釣」(whaling)一辭被創造出來描述這類型的攻擊。[19]
社群網站是網釣攻擊的目標,因為在這些網站的個人資料明細可以用於身分盜竊;[20] 2006年年底一個電腦蠕蟲接管MySpace上的網頁,並修改連結以導引該網站的網友到設計好竊取登錄資訊的網站。[21]實驗表明,針對社群網站的網釣成功率超過70%。[22]
幾乎有一半的網釣竊賊於2006年被確認是透過位於聖彼得堡的俄羅斯商業網路集團所操控。[23]
隨著2008年比特幣及其他加密貨幣的興起,許多區塊鏈與加密貨幣亦成為了釣魚集團的目標,有駭客於Steemit平台表示他使用非常簡單的釣魚網站毫無難度地於於一天盜取了價值8000美元的比特幣。[24]
2018年,開發EOS.IO區塊鏈的公司block.one遭受釣魚集團攻擊,駭客入侵block.one使用的Zendesk電子郵件系統,並使用該系統冒認公司客服而向所有客戶發出釣魚電子郵件。當使用者打開電子郵件內的超連結,便會訪問一個截取使用者加密貨幣錢包金鑰的頁面,駭客會透過金鑰打開加密貨幣錢包及盜取使用者的數位資產。[25][26]
同年,EOS.IO區塊鏈上的空投代幣亦多次遭受釣魚攻擊,比如EOS Black曾遭受攻擊,駭客集團模仿EOS Black網站原型製作相似度相當高的釣魚網站,網站要求使用者輸入金鑰以領取空投代幣,駭客透過金鑰可以盜取使用者的數位資產。[27]
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的鏈結(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子裡,http://www. 您的銀行.範例.com/,網址似乎將帶您到「您的銀行」網站的「範例」子網域;實際上這個網址指向了「範例」網站的「您的銀行」(即網釣)子網域。另一種常見的伎倆是使錨文字鏈結似乎是合法的,實際上連結導引到網釣攻擊站點。下面的連結範例:誠實,似乎將您導引到條目「誠實」,點進後實際上它將帶你到條目「謊言」。
另一種老方法是使用含有'@'符號的欺騙鏈結。原本這是用來作為一種包括使用者名稱和密碼(與標準對比)的自動登入方式。[28]例如,鏈結http://www.google.com@members.tripod.com/可能欺騙偶然造訪的網友,讓他認為這將打開www.google.com上的一個網頁,而它實際上導引瀏覽器指向members.tripod.com上的某頁,以使用者名稱www.google.com。該頁面會正常開啟,不管給定的使用者名稱為何。這種網址在Internet Explorer中被禁用,[29]而Mozilla Firefox[30]與Opera會顯示警告訊息,並讓使用者選擇繼續到該站瀏覽或取消。
還有一個已發現的問題在網頁瀏覽器如何處理國際化域名(International Domain Names,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。儘管人盡皆知該稱之為的IDN欺騙[31]或者同形異義字攻擊[32]的漏洞,網釣者冒著類似的風險利用信譽良好網站上的網域名稱轉址服務來掩飾其惡意網址。[33][34][35]
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣電子郵件中常用的文字。[36]
一旦受害者訪問網釣網站,欺騙並沒有到此結束。一些網釣詐騙使用JavaScript命令以改變位址欄。[37]這由放一個合法網址的位址欄圖片以蓋住位址欄,或者關閉原來的位址欄並重開一個新的合法的URL達成。[38]
攻擊者甚至可以利用在信譽卓著網站自己的指令碼漏洞對付受害者。[39]這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導引使用者直接在他們自己的銀行或服務的網頁登入,在這裡從網路位址到安全憑證的一切似乎是正確的。而實際上,鏈結到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞於2006年曾被用來對付PayPal。[40]
還有一種由RSA資訊安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的介面讓網釣者以令人信服地重製網站,並捕捉使用者進入假網站的登錄細節。[41]
為了避免被反網釣技術掃描到網釣有關的文字,網釣者已經開始利用Flash構建網站。這些看起來很像真正的網站,但把文字隱藏在多媒體對象中。[42]
並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴使用者撥打某支電話號碼以解決其銀行帳戶的問題。[43]一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示使用者鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織。[44]
網路駭客在公共場所設定一個假Wi-Fi熱點,引人來連線上網,一旦使用者用個人電腦或手機,登入了駭客設定的假Wi-Fi熱點,那麼個人資料和所有隱私,都會因此落入駭客手中。你在網路上的一舉一動,完全逃不出駭客的眼睛,更惡劣的駭客,還會在別人的電腦裡安裝間諜軟體,如影隨形。[45]
2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的"隱蔽重新導向漏洞"(英語:Covert Redirect)][46][47]。
攻擊者建立一個使用真實站點位址的彈出式登錄視窗——而不是使用一個假的域名——以引誘上網者輸入他們的個人資訊[48][49]。
駭客可利用該漏洞給釣魚網站「變裝」,用知名大型網站鏈結引誘使用者登錄釣魚網站,壹旦使用者訪問釣魚網站並成功登陸授權,駭客即可讀取其在網站上儲存的私密資訊[50][51]。
在PayPal網釣範例裡(見右),電子郵件裡的拼寫錯誤以及非PayPal網域鏈結的存在(顯示在狀態列紅色框裡)都是線索,指出這是一個網釣的企圖。另一種網釣法是無個人問候的贈品,儘管顯示的個人資料並不保證其正當性。一個合法的PayPal通訊總是以使用者的真實姓名問候,而非一個普通的問候如:「敬啟者」、「親愛的使用者」(Dear Accountholder)。其他的資訊欺詐的跡象像是簡單不過的字拼寫錯誤、文法拙劣、以及威脅收信人若不遵照資訊指示辦理的話會遭帳號停用的處分。
請注意,許多網路網釣電子郵件會如同來自PayPal的一封真正的電子郵件般包括一則永不將您的密碼洩漏以防網釣攻擊的重大警告。這些警告使用者網釣攻擊的可能性,並提供鏈結到說明如何避免或辨識此種攻擊的網站的種種,是使得該網釣電子郵件如此虛偽以便欺騙。在這個例子裡,網釣電子郵件警告使用者,PayPal絕對不會要求您提供敏感資訊。該信件言而有信不問您敏感資訊,反而邀請使用者點擊一個鏈結,以「確認」其帳戶;這一步將導引這些受害人進一步造訪網釣網站,其設計看起來與PayPal網站很像。而在那裡會問這些受害人的個人機密資訊。
在RapidShare的網頁主機,網釣是相當尋常以獲得高級帳號的手段,從而移除下載速度限制、上傳自動刪除、下載前等候、以及下載間的時間間隔。
網釣者使用在warez站張貼到檔案的連結以獲得RapidShare高級帳戶。然而,利用連結別名工具如TinyURL,他們可以偽裝成實際上真正網頁代管在別的地方的網址,而這網頁與RapidShare的「免費使用者或高級使用者 (free user or premium user)」頁看來很像。如果受害人選擇免費使用者,網釣者只是將它們傳遞給真正的RapidShare網站。但是,如果他們選擇的高級帳戶,那麼網釣網站的將在他們進行下載之前登記其登入資訊。到此階段,網釣者已從受害者偷走了高級帳戶資訊。
釣來的RapidShare帳戶通常拿來轉賣,售價比RapidShare的高級帳戶便宜。
鑑別一個RapidShare網釣網頁的最簡單方式是使用Mozilla Firefox,右擊別名頁,並選擇「This Frame」>「Show only this frame」。這將揭露真正的網頁,您可以看到網址將不是rapidshare.com。
曾在2012年間常出現偽裝成facebook登入畫面的網站騙取使用者帳號密碼
網釣所造成的損害範圍從拒絕訪問電子郵件到巨大財務損失都有。這種形式的身分盜竊正在普及,因為給信任的人方便往往洩露個人資訊給網釣者,這些資訊包括信用卡號碼、社會安全號碼(美國)、身分證號碼(台灣)、和母親婚前姓名。也有人擔心身分竊賊僅僅透過存取公開紀錄就可以添加此類資訊到它們取得的知識庫中。[52]一旦這資訊被取得了,網釣者可能會利用個人資料明細以受害者姓名創造假帳號。然後他們可以毀掉受害者的信用,或者甚至讓受害人無法存取自己的帳戶。[53]
據估計,從2004年5月和2005年5月,大約120萬電腦使用者在美國遭受網釣所造成的損失,總計約92900萬美元。隨著為美國企業的客戶成為受害者,該國企業估計每年損失20億美元。[54] 2007年網釣攻擊升級。截至2007年8月前在美國360萬成年人於12個月內失去32億美元。[55]在英國,網路銀行詐騙的損失—大多來自網釣—幾乎增加了一倍從2004年1220萬英鎊到2005年2320英鎊,[56]而在2005年,每20個電腦使用者中就有一個聲稱因網釣造成的財務損失。[57]
英國銀行機構APACS採取的立場是:「客戶還必須採取合理的預防措施...,如此對罪犯而言他們才不會好欺負。」[58]同樣,2006年9月當第一次大量的網釣攻擊登陸愛爾蘭銀行業界時,愛爾蘭銀行起初拒絕補償客戶所遭受的損失(而且它仍然堅持認為,它的政策不應如此[59]),雖然會補償損失的金額上限定調為1萬1300英鎊還算不錯。[60]
打擊網釣攻擊有許多不同的技術,包括設立專門的技術和立法以防範網釣。
打擊網釣的策略之一,是試著培養人們辨識網釣,並教導怎樣處理這些問題。教育可以是有效的,尤其是訓練提供直接的回饋。[61]一個被稱為叉網釣—利用網路網釣電子郵件針對特定的公司—的較新網釣手法,已被用來迷惑在社會各個角落的人士,包括西點軍校。在2004年6月魚叉網釣的一次實驗中,收到假電子郵件的500名西點軍校學員中有80%被騙並洩露個人資訊。[62]
人們可以採取措施以避免網釣的企圖,以稍稍修改其瀏覽習慣的方式。當接觸某要求您「核對身分」(或任何其他網釣所使用的信件要旨)的信件或帳號時,明智之舉是與該信件明顯來源公司聯絡以檢查該電子郵件是否合法。另外,個人所知道位址是該公司的真正的網站,可透過在瀏覽器網址欄輸入拜訪,而不是盲目相信任何涉嫌詐騙郵件裡的超連結。[63]
幾乎所有從公司到其客戶的合法電子郵件都起碼包含一項資訊是網釣者手頭沒有的。有些公司,例如PayPal,總是在其電子郵件中以客戶使用者名稱稱呼其客戶,依此類推,如果一封電子郵件的收件人是以通用格式稱呼(如「親愛的PayPal客戶」)很可能是企圖在網釣。[64]從銀行和信用卡公司來的電子郵件往往包括賬戶號碼的部份。然而,最近的研究[65]顯示,大眾通常不區分帳號頭幾個數字和尾幾個數字,這是一個很嚴重的問題,因為頭幾個數字通常一個金融機構的所有客戶都相同。人們可以接受訓練來當如果郵件不包含任何具體的個人資訊時提高他們的懷疑。不過,在2006年年初,網釣企圖利用個人化的資訊,這使得列明個人資訊保證郵件是合法的假設不安全。[66]此外,另一項最近的研究報告推斷列明個人資訊並不顯著的影響網釣攻擊的成功率,[67]這表明大多數人並不注意這些細節。
一個行業和執法機構組成的反網釣工作組(Anti-Phishing Working Group,簡稱APWG)建議,隨著人們越來越認識到網釣者所使用的社會工程學技倆,傳統的網釣欺詐技術可能在未來過時。[68]他們預測,網址嫁接和其他利用流氓軟體將變成竊取資訊的常見工具。
反網釣措施已經實現將其功能內嵌於瀏覽器,作為瀏覽器的擴展或工具欄,以及網站的登錄程式的一部份。下面是一些解決問題的主要方法。
大多數網釣盯上的網站都是保全站點,這意味著的SSL強加密用於伺服器身分驗證,並用來標示在該網站的網址。理論上,利用SSL認證來保證網站到使用者端是可能的,並且這個過去是SSL第二版設計要求之一以及能在認證後保證保密瀏覽。不過實際上,這點很容易欺騙。
表面上的缺陷是瀏覽器的保全使用者介面 (UI)不足以應付今日強大的威脅。透過TLS與憑證進行保全認證有三部份:顯示連線在授權模式下、顯示使用者連到哪個站、以及顯示管理機構說它確實是這個站點。所有這三個都需齊備才能授權,並且需要被/送交使用者確認。
安全連線:從1990年代中期到2000年代中期安全瀏覽的標準顯示是個鎖頭,而這很容易被使用者忽略。Mozilla於2005年使用黃底的網址欄使得安全連線較容易辨認。不幸的是,這個發明後來被復原,導因於EV憑證:它代以對某些高價的憑證顯示綠色,而其他的憑證顯示藍色 (譯按:Mozilla Firefox 3.x版非EV憑證的安全瀏覽網站皆顯示藍色)。
哪個站:使用者應該確認在瀏覽器的網址欄的網域名稱是實際上他們要訪問的地方。網址可能是過度複雜而不容易從語法上分析。使用者通常不知道或者不會鑑別他們想要連結的正確網址,故鑑定真偽與否變得無意義。[3]有意義的伺服器認證條件是讓伺服器的識別碼對使用者有意義;而許多電子商務網站變更其網域名成為他們整體網站組合的其中之一 (譯按:極端例子像 化妝零售部A.百貨B.行銷公司C.電視台D.com這樣子網域的架構),這種手段讓困惑的機率增大。而一些反網釣工具條僅顯示訪問過網站[69]域名的做法是不夠的。
另一種替代方法是Firefox的寵物名(petname)附加元件,這讓使用者鍵入他們自己的網站標籤,因此他們可以在以後再度造訪該站時認出。如果站點沒有被認出,則軟體會警告使用者或徹底阻攔該站點。這代表了以使用者為中心的伺服器身分管理[70]。某些人建議使用者選定的圖像會比寵物名效果要好[71]。
隨著EV憑證的出現,瀏覽器一般以綠底白字顯示機構名稱,這讓使用者更加容易辨識並且與使用者期望一致。不幸的是,瀏覽器供應商選擇僅限定EV憑證可獨享這突出的顯示,其他種憑證就留待使用者自己自求多福了。
誰是管理機構:瀏覽器需要指出使用者要求連到對象的管理機構是誰。在保全等級最低的階段,不指名管理機構,因此就使用者而言瀏覽器就是管理機構。瀏覽器供應商透過控制可接受的授權憑證(Certification Authorities,簡稱/下稱CA)根名單來承擔這個責任。這是目前的標準做法。
這裡的問題是不管瀏覽器供營商如何企圖控制品質,市面上CA品質良莠不齊亦不實施檢查。亦不是所有簽署CA的公司行號取得該憑證僅是為了認證電子商務組織的同一個模型和概念而已。製造憑證(Certificate Manufacturing)是頒給只用來遞送信用卡與電子郵件送達確認的低交易額憑證;這兩者的用途都容易受到詐騙罪犯的扭曲。由此引申,一個高交易額的網站可能容易受到另一個可提供的CA認證矇混。這種情況可能會在CA位於世界的另一端,並且對高交易額電子商務站不熟悉,或者使用者根本就不關心這件事。因為CA只負責保障它自己的客戶,並不會管其他CA的客戶,故這個漏洞在該模型是根深蒂固的。
對此漏洞的解決方案是瀏覽器應該顯示,並且使用者應該熟悉管理機構之名。這把CA當作是種品牌呈現,並且讓使用者知悉在其所在國家和區段之內可聯絡到少數幾個CA。品牌的使用亦對CA供應商至關重要,藉此刺激它們改進憑證的稽核:因為使用者將知悉品牌差異並要求高交易額站點具備周延的檢查。
本解決方案首度於早期IE7版本上實現。在當其顯示EV憑證時,發佈的CA會被顯示在網址區域。[72]然而這只是個孤立的案例。CA烙上瀏覽器面板仍存在阻力,導致只有上面所提最低最簡單的保全等級可選:瀏覽器是使用者交易的管理機構。
改進保全使用者介面的試驗為使用者帶來便利,但是它也暴露了安全模型裡的基本缺陷。過去在安全瀏覽中沿用之SSL認證失效的根本原因有許多種,它們之間縱橫交錯。
在威脅之前的保全:由於安全瀏覽發生在任何威脅出現之前,保全顯示在早期瀏覽器的「房地產戰爭」裡被犧牲掉了。網景瀏覽器的原始設計有個站點名稱暨其CA名稱的突出顯示。使用者現在常常習慣根本不檢查保全資訊。
點擊通過綜合症:然而,瀏覽器對設定錯誤站點的警告繼續,它並未被降低等級。如果憑證本身有錯(像域名匹配錯誤、過期等等),則瀏覽器一般都會彈出視窗警告使用者。就是因為設定錯誤太過尋常,使用者學會繞過警告。目前,使用者習慣同樣的忽略所有警告,導致點擊通過綜合症。例如,Firefox 3有個點擊4次以加入例外網站的程序,但是研究顯示老練的使用者會忽略有中間人攻擊(Man-In-The-Middle,簡稱MITM)的真正情況。即使在今天,因為絕大多數的警告是錯誤設定而非真正的中間人攻擊,要避免點擊通過綜合症是相當困難。
缺乏興趣:另一個潛在因素是缺乏虛擬主機的支援。具體起因是缺乏對在傳輸層安全(Transport Layer Security,簡稱/下稱TLS)網路伺服器之伺服器名指示(Server Name Indication,簡稱/下稱SNI)的支援,以及獲取憑證費用和不便。結果是憑證使用是太過罕見以至於除了特殊情況外它什麼事都不能做。這導因對TLS認證普遍知識與資源缺乏,反過來意味著由瀏覽器供營商升級他們安全性使用者介面的過程將是又慢又死氣沉沉。
橫向聯絡:瀏覽器的安全模型包括許多參與者如:使用者、瀏覽器供營商、開發商、憑證管理機構、審計員、網路伺服器供營商、電子商務站點、立法者(即FDIC)和安全標準委員會。介於不同制定安全模型小組間缺乏往來溝通。也就是說,雖然對認證的理解在IETF委員會協定水平是很夠深的 (頁面存檔備份,存於網際網路檔案館),這個資訊並不表示傳達得到使用者介面小組。網路伺服器供應商並不會優先修正伺服器名指示(TLS/SNI):它們不把這個問題當成保全修正,反而視其為新功能而推遲。實際上,所有的參與者碰到網釣出事時皆諉過給其他參與者,因此自我本身不會被排上優先修正行列。
這情況隨著一個包含瀏覽器供應商、審計員、以及憑證管理機構的團體:CAB論壇推出有了一點改善。但是該團體並不是以開放的態度開始,因此導致其結果受到主要大戶商業利益的影響,而且缺乏對所有參與者平等對待。即使在今天,CAB論壇並不開放,而且它不為小型憑證管理機構、終端使用者、電子商務站主等等弱勢族群喉舌。
標準高壓封鎖:供營商對標準負責,導致當談到安全時就是談論其外包的結果。雖然有許多安全性使用者介面的改進,當中有有許多好的實驗,因為他們不是標準,或者與標準間相牴觸而未被採用。威脅模型可能在一個月內自我更新;安全標準調整需要大約10年。
令人敬畏的CA模型:瀏覽器供營商使用的CA控制機制本質上並沒有更新;而威脅模型卻常常翻修。對CA品質控管過程不足以對保護使用者量身訂做、以及針對實際與當前的威脅做出因應。在更新途中審計過程是迫切需要的。最近EV指南較詳細地提供了當前模型,並且建立了一個好基準,但是並沒有推動任何本質上急需進行的改變。
還有一種打擊網釣的流行作法是保持一份已知的網釣網站名單,並隨時更新。微軟的IE7的瀏覽器、Mozilla Firefox 2.0、和Opera都包含這種類型的反網釣措施。[73][74][75] Firefox 2中使用Google反網釣軟體。Opera 9.1使用來自PhishTank和GeoTrust的黑名單,以及即時來自GeoTrust的白名單。這個辦法的某些軟體實現會傳送訪問過的網址到中央伺服器以供檢查,這種方式引起了個人隱私的關注。[76]據Mozilla基金會在2006年年底報告援引一項由某獨立軟體測試公司的研究指出,Firefox 2被認為比Internet Explorer 7發現詐欺性網站更為有效。[77]
在2006年年中一種方法被倡議實施。該方法涉及切換到一種特殊的DNS服務,篩選掉已知的網釣網域:這將與任何瀏覽器相容,[78]而且它使用類似利用Hosts檔案來阻止網路廣告的原理來達成目標。
為了減輕網釣網站透過內嵌受害人網站的圖像(如商標)藉以冒充的問題,一些網站站主改變了圖像傳送訊息給訪客,某個網站可能是騙人的。圖像可能移動成新的檔名並且原來的被永久取代,或者一台伺服器能偵測到的某圖像在正常瀏覽情況下是不會被請求到,進而送出警告的圖像。[79][80]
美國銀行的網站[81][82]是眾多要求使用者選擇的個人圖像、並在任何要求輸入密碼的場合顯示該使用者選定圖片的網站之一。該銀行在線服務的使用者被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而,最近的一項研究表明僅有少數使用者在圖像不出現時不會鍵入他們的密碼。[83][84]此外,此功能(像其他形式的雙因素認證)對其他攻擊較脆弱,如2005年年底斯堪地那維亞諾爾迪亞銀行案,[85]與2006年的花旗銀行案。[86]
保全外殼[87][88]是一種相關的技術,涉及到使用使用者選定的圖片覆蓋上登錄表單作為一種視覺提示以表明該表單是否合法。然而,不像以網站為主的圖像體系,圖像本身是只在使用者和瀏覽器之間共享,而不是使用者和網站間共享。該體系還依賴於相互認證協定,這使得它更不容易受到來自侵襲只認證使用者體系的攻擊。
專門的垃圾郵件過濾器可以減少一些網釣電子郵件到達收件人的收件箱。這些方法依賴於機器學習和自然語言處理辦法來分類網釣電子郵件。[89][90]
有幾家公司提供銀行和其他可能受到網釣詐騙的組織全天候的服務、監測、分析和協助關閉網釣網站。[91]個人可以透過檢舉網釣到志願者和產業集團,[92]如PhishTank以做出貢獻。[93]
在2004年1月26日,美國聯邦貿易委員會提交了涉嫌網釣者的第一次起訴。被告是個美國加州少年,據說他設計建造了一個網頁看起來像美國線上網站,並用它來竊取信用卡資料。[94]其他國家援引了這一判例追蹤並逮捕了網釣者。網釣大戶瓦爾迪爾·保羅·迪·阿爾梅達在巴西被捕。他領導一個最大的網釣犯罪幫派,在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。[95]英國當局在2005年6月收押兩名男子以其在一項網釣欺詐活動扮演的腳色,[96]而這宗案子與美國特勤處《防火牆行動》 (Operation Firewall,目標是當時最大最惡名昭彰的信用卡盜竊網站)有關。[97] 2006年8人在日本被逮捕,日本警方懷疑他們透過假造雅虎日本網站網釣進行欺詐,保釋賠款1億日元(87萬美元)。[98] 2006年美國聯邦調查局逮捕行動繼續,以代號《保卡人行動》 (CardKeeper)在美國與歐洲扣押了一個16人的幫派。[99]
在美國,參議員派崔克·萊希(Patrick Leahy)在2005年3月1日向美國國會提審2005反網釣法案。這項法案,如果它已成為法律,將向建立虛假網站、傳送虛假電子郵件以詐欺消費者的罪犯求處罰款高達25萬美元並且可監禁長達5年。[100]英國在2006年以《2006年欺詐罪法令》(Fraud Act 2006)強化了其打擊仿冒欺詐的法律武器,[101]該法令採用一般欺詐罪,可求刑監禁多達10年,並禁止開發或意圖欺詐下擁有網釣軟體包。[102]
許多公司也加入全力打擊網釣的行列。2005年3月31日,微軟向美國華盛頓西部地方法院提交117起官司。這起訴訟指控「無名氏」的被告非法取得的密碼資訊和機密資訊。2005年3月微軟和澳大利亞政府間合作,向執法人員教學如何打擊各種網路犯罪,包括網釣。[103]在2006年3月,微軟宣布計劃進一步在美國境外地區起訴100案件,[104]隨後該公司信守承諾,截至2006年11月之前,共起訴了129件混合刑事和民事行動的犯罪案件。[105] 美國線上亦加強其打擊網釣的努力[106],在2006年早期根據維吉尼亞計算機犯罪法2005年修訂版[107][108]起訴三起[109]共求償1800萬美元,而Earthlink已加入幫助確定6名男子在康乃狄克州的案子,這6名人士稍後被控以網釣欺詐。[110]
2007年1月,傑弗瑞·布雷特·高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第一位依此法被定罪的被告。他被判犯下對美國線上的使用者傳送成千上萬的電子郵件,並喬裝成AOL的會計部門以催促客戶提交個人和信用卡資料的罪行。面對反垃圾郵件法的101年關押以及其他數十個包括詐欺、未經授權使用信用卡、濫用AOL的商標,這部份他被判處70個月監禁。因為沒有出席較早的聽證會,高汀已被拘留,並立即開始入監服刑。[111][112][113][114]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.