“渔”具剖析
仿冒网址的技术很早就已经被发现,实现的方法也有很多种。据德国的安全研究人员弗兰兹分析,若黑客在一个网页的HTML href 标签中放置两个URL和一个表格,那么IE 浏览器就会显示“欺骗性”的那个链接,这种假冒的链接会在用户毫不知情的情况下将他们带到一个完全陌生的网站。
就目前笔者所掌握的资料看来,除了上述所讲的方法外,还可以在网页中添加JavaScript等语言所制作的脚本,通过更改状态栏所显示的内容来进行欺骗;另外利用人们的疏忽大意,根据英文字母“o”、“l”与数字“0、“1”相似的特点,让这些字符与真正的网址内容混淆,使用户将仿冒的网址当成正确的网址进行点击。
不久前,一恶意网站(www.1enovo.com)伪装成联想主页(www.lenovo.com),前者将数字1取代英文字母L,并利用多种IE漏洞种植网页木马,同时散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,结果造成很多用户访问该网站时感染了病毒,李逵与李鬼让人真假难辨!
“鱼”死网“破”
从仿冒地址的技术成因以及实现手段来看,它一直奉行着“姜太公钓鱼,愿者上钩”的策略。大多数用户通过点击E-mail中所提供的地址进入假冒网站,进入后基本上都会为了实现某种需要而进行各种操作,这些操作往往会把你的重要数据泄露出去,从而造成巨大的损失。
据著名的市场调查研究公司Gartner公司最近一项调查表明,约5700万名美国消费者收到过此类仿冒的E-mail,有高达5%的人都会对这些骗局做出响应。由于仿冒网址技术不断升级,Gartner公司还预测,这种诈骗会快速蔓延到通过E-mail与客户通信的所有商业领域,任何拥有在线业务的公司都将成为潜在的受害者。
拒绝“鱼饵”
对于个人用户,可以通过实施一些反垃圾邮件措施去抵御这些邮件。假如不幸中招,应尽快更改重要数据,例如银行的账户及密码等,将损失减少到最低限度。
除了上述个人的应对之策外,一些公司也积极开发出了防范仿冒网址的软件产品。专业身份认证企业CoreStreet在其站点上就提供了一种被称为Spoofstick的免费浏览器助手,当用户在登录合法站点,如signin.cpcw.com/aw-cgi/ ..时,地址栏的下方会出现一个明显的注释,并显示“You’re on cpcw.com”,若用户被骗到了一个伪造的站点,那么该注释便会显示“You’re on 10.19.32.4”,这足以引起我们重视。
美国的EarthLink公司也推出了具有防止仿冒功能的工具条,它包含有一些臭名昭著的网站地址数据库,当用户试图访问已被确认的诈骗网站时,该工具条便会发出警告,并且将用户重定向到EarthLink公司的网页。
反“渔”联盟
为了防范那些利用仿冒网址而危及用户利益的事件发生,在美国和英国已经成立了专门反假冒网址等网络诈骗的组织,比如2003年11月成立的APWG(Anti-Phishing Working Group)和2004年6月成立的TECF(Trusted Electronic Communications Forum)。一些国外公司的主页底部也设有明显链接,以提醒用户注意有关E-mail诈骗的问题。而国内许多公司的主页似乎还没有这种安全防范意识,同时也没有类似的组织去专门研究这方面的应对之策。
随着国内外的各种交流越来越频繁,这种新型网络诈骗的发生率必然也会上升,更何况黑客病毒技术的迅速发展,仿冒网址技术肯定也会“日新月异”,倘若今后我们遇到了这种局面,该如何去应对呢?
