安全研究：网络钓鱼的原理与防范

　　几个月前，很多用户收到了一封貌似来自美国花旗银行的 Email，若点击邮件正文中的超级链接，便会打开美国花旗银行的页面，尽管IE地址栏中显示的是 https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp(美国花旗的网址)，但大家千万不要认为自己进入了真正美国花旗银行的网站，你所造访的不过是一个假冒网站而已。

　　上述这种欺骗方法就是“网络钓鱼(Phishing)”，一种正趋于流行的网络诈骗手段。

　　其实在该网页上单击鼠标右键，选择右键菜单中的“属性”选项便可确认真正的URL地址。

　　小知识

　　网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合词，由于黑客的“老祖宗” 起初是以电话作案，所以用“Ph”来取代“F”，创造了“Phishing”这个词汇。它利用欺骗性的Email和伪造的Web站点来进行诈骗活动，使受骗者泄露自己的重要数据，如信用卡号、用户名和口令等。

　　“渔”具剖析

　　仿冒网址的技术很早就已经被发现，实现的方法也有很多种。据德国的安全研究人员弗兰兹分析，若黑客在一个网页的HTML href标签中放置两个URL和一个表格，那么IE浏览器就会显示“欺骗性”的那个链接，这种假冒的链接会在用户毫不知情的情况下将他们带到一个完全陌生的网站。

　　就目前笔者所掌握的资料看来，除了上述所讲的方法外，还可以在网页中添加JavaScript 等语言所制作的脚本，通过更改状态栏所显示的内容来进行欺骗；另外利用人们的疏忽大意，根据英文字母“o”、“l”与数字“0”、“1”相似的特点，让这些字符与真正的网址内容混淆，使用户将仿冒的网址当成正确的网址进行点击。

　　不久前，一恶意网站(www.1enovo.com)伪装成联想主页(www.lenovo.com)，前者将数字 1取代英文字母L，并利用多种IE漏洞种植网页木马，同时散布“联想集团和腾讯公司联合赠送 QQ币”的虚假消息，结果造成很多用户访问该网站时感染了病毒，李逵与李鬼让人真假难辨！

　　“鱼”死网“破”

　　从仿冒地址的技术成因以及实现手段来看，它一直奉行着“姜太公钓鱼，愿者上钩”的策略。大多数用户通过点击Email中所提供的地址进入假冒网站，进入后基本上都会为了实现某种需要而进行各种操作，这些操作往往会把你的重要数据泄露出去，从而造成巨大的损失。

　　据著名的市场调查研究公司Gartner公司最近一项调查表明，约5700万名美国消费者收到过此类仿冒的Email，有高达5%的人都会对这些骗局做出响应。由于仿冒网址技术不断升级， Gartner公司还预测，这种诈骗会快速蔓延到通过Email与客户通信的所有商业领域，任何拥有在线业务的公司都将成为潜在的受害者。

　　拒绝“鱼饵”

　　对于个人用户，可以通过实施一些反垃圾邮件措施去抵御这些邮件。假如不幸中招，应尽快更改重要数据，例如银行的账户及密码等，将损失减少到最低限度。

　　除了上述个人的应对之策外，一些公司也积极开发出了防范仿冒网址的软件产品。专业身份认证企业CoreStreet在其站点上就提供了一种被称为Spoofstick的免费浏览器助手，当用户在登录合法站点，如signin.cpcw.com/aw-cgi/..时，地址栏的下方会出现一个明显的注释，并显示“You're on cpcw.com”，若用户被骗到了一个伪造的站点，那么该注释便会显示 “You're on 10.19.32 .4”，这足以引起我们重视。

　　美国的EarthLink公司也推出了具有防止仿冒功能的工具条，它包含有一些臭名昭著的网站地址数据库，当用户试图访问已被确认的诈骗网站时，该工具条便会发出警告，并且将用户重定向到EarthLink公司的网页。

　　反“渔”联盟

　　为了防范那些利用仿冒网址而危及用户利益的事件发生，在美国和英国已经成立了专门反假冒网址等网络诈骗的组织，比如2003年11月成立的APWG(Anti-Phishing Working Group)和 2004年6月成立的TECF(Trusted Electronic Communications Forum)。一些国外公司的主页底部也设有明显链接，以提醒用户注意有关Email诈骗的问题。而国内许多公司的主页似乎还没有这种安全防范意识，同时也没有类似的组织去专门研究这方面的应对之策。

　　随着国内外的各种交流越来越频繁，这种新型网络诈骗的发生率必然也会上升，更何况黑客病毒技术的迅速发展，仿冒网址技术肯定也会“日新月异”，倘若今后我们遇到了这种局面，该如何去应对呢？

出处：PConline

在网上继续横行 灰名单真能阻止垃圾邮件吗？

　　防止垃圾邮件是一件复杂的事情，而且可能比大多数用户所理解的更复杂。尽管在这场战争中有几件武器可用，但它们都有其局限性。了解一个被称为灰名单(greylisting)的新方法可以帮助在垃圾邮件到达SMTP服务器之前阻止它。

　　如果你问十个人他们在Internet上遇到的最令人沮丧的事情是什么，我敢打赌其中九个人会提到电子邮件。尽管Internet上确实还有其他安全问题，但是有好几个Internet安全问题都涉及到了电子邮件。

　　并不意外的是通常许多危及Windows系统安全的病毒和木马程序都具有能够将自己假扮成电子邮件代理的特性。垃圾邮件就是重要的一类，而且不幸的是它在Internet中横行的现状很有可能继续下去。

　　类似许多Internet应用协议，简单邮件传输协议(SMTP)的设计初衷并没有考虑到安全。作为补充，开发者只是在这些年简单地扩展了SMTP的安全特性。

　　然而，保护电子邮件系统的自身安全和防止垃圾邮件是两个不同的问题。需要记住的是 Internet上的大部分电子邮件通信都是危及宽带网络中Windows PC安全的垃圾邮件，而不会危及公司的邮件服务器的安全。

　　尽管广告邮件的发送者从肆无忌惮的广告中赚取了数百万，但是垃圾邮件对所有使用 Internet的人来说都是占用时间，耗费带宽，因此也就浪费金钱。作为证明，只需考察商业垃圾邮件过滤服务的市场，就足以明白有多少用户认为垃圾邮件是Internet上最令人头疼的问题。

　　但是阻止垃圾邮件是一件复杂的事情，可能比大多数用户所认为的都要复杂。而且即使是模式匹配和基于统计的邮件内容过滤都有其自身的缺陷。除此之外，根据我曾经多次使用实时黑名单（relay block lists，RBL） 和过滤器的经验，某个人的垃圾邮件对另一个人却成了合法邮件。这主要归结于确实没有能够阻止垃圾邮件的单独自动有效的解决方案。

　　当然，这并不是说目前的方法没有效果；只是它们的效果不是非常理想，或者说没有达到我们的预期。和Internet的任何其他安全领域一样，电子邮件安全(或者是本文中的垃圾邮件预防)当分层应用的时候效果最好。安全分层越细，整体的安全保护就变得越有效。

　　每种方法都有其局限性。例如，“黑名单”和“白名单”实施起来冗长乏味。他们需要用户的大量操作，但是如果你的列表是准确的，他们相当有效。

　　尽管我们付出了大量的努力，但是垃圾邮件好像总是能找到某个方法进入我们的收件箱，而有时甚至合法的邮件都进不来。但是放弃希望还为时尚早：一个对付垃圾邮件的新方法，也就是所谓的“灰名单”被证明是一个预防垃圾邮件的有效方法，它可以在垃圾邮件到达目的SMTP服务器之前阻止它们。

　　除了有助于预防垃圾邮件，灰名单还可以弥补另一个SMTP的缺陷：该协议无法区分邮件服务器和邮件客户端。

　　灰名单尝试在SMTP服务器和邮件客户端之间建立这种特殊差别。通过这样做，它可以有效地阻止垃圾邮件代理。虽然邮件服务器和邮件客户端都利用SMTP，但是合法的专用SMTP系统能够识别特定的返回代码。

　　SMTP是典型的“存储转发”系统，排列电子邮件直到发送出去。一个启用了灰名单的SMTP 服务器记录它收到连接的信息，并且返回一个状态代码告诉一个连接中的计算机，它暂时无法接受电子邮件。

　　一个合法的电子邮件系统“对话”SMTP。例如，微软Outlook或某个运行微软Exchange的电子邮件服务器，Sendmail，或其他SMTP服务器软件，将再次尝试传送邮件。也就是说，启用了灰名单的SMTP服务器将通过该消息。

　　当有效的SMTP连接再次尝试发送电子邮件，由于启用了灰名单的服务器将从前一次的尝试中匹配IP地址，以及MAIL FROM和RCPT TO，SMTP头字段中的信息，服务器就不会阻挡有效的消息。如果它们是匹配的，服务器就接受该邮件。灰名单通常灰直接拒绝垃圾邮件代理，因为这些代理不保存邮件。

　　然而，发送广告邮件的人正在适应灰名单，所以这样做将很难一直有效。但是因为灰名单记录发送和接受电子邮件地址的同时，也记录IP地址，所以进一步扩展灰名单以监视这类信息并采用相应策略是可能的。例如，一个应用了灰名单的SMTP服务器可以监视不存在的“种子” 用户的连接，然后用这些识别垃圾邮件代理和源IP地址。

　　所以你可以向何处求助以满足你的灰名单需求呢？虽然Postfix SMTP服务器包含了一个简单的灰名单应用，但是称为Postgrey的具有产品级质量的系统对电子邮件系统是一个更好的选择。然而，由于灰名单是一个应用在SMTP服务器级的功能，并且考虑到它是一个新方法，所以你可能不会看到灰名单内嵌在你的SMTP服务器中。

　　在某些情况下，在目前的SMTP服务器中用Postfix和电子邮件接收中继“前端化”你现有的电子邮件服务器。这可以使你无需对现有的电子邮件服务器做任何的变动就可以使用灰名单。

　　实际上，我已经为运行在公司环境中的许多微软Exchange和Lotus Domino服务器应用了 Postgrey，这些公司曾经不堪垃圾邮件之苦。在利用多余的空间在常用的PC硬件中安装了 Fedora Linux之后，只需15分钟就可以配置好Postfix和Postgrey，以使它们和现有的SMTP服务器共同工作，只需对现存的基础架构稍做调整就可以提供灰名单的所有特性。

电信行业混合型病毒和垃圾邮件解决方案

　　从“主动防御、主动反应” 这一观点出发，协助运营商建立适用电信业务、可伸缩、抗打击的防病毒网络。各种信息技术的不断发展为电信运营商带来了广阔的商机，同时也带来了新的威胁和新的风险。在传统电信网络上，大多数网络捆绑单一业务：电话网提供电话业务以及部分补充业务;DDN网络提供点到点数据专线业务;帧中继网络提供数据专线以及虚拟专用网业务;同步网提供网络同步服务;信令网为电话网提供信令服务;即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离，因此一般不会影响网络安全。

　　然而随着新业务的出现和基础带宽的不断提高，新兴运营商已不满足于每个业务建一张网的思路：网络不但需要承载多种业务，还必须在用户使用同一个接入线路的条件下提供多种业务。为此，网络为识别统一接入线路上的多种业务，不可避免地将部分智能性转移到终端，IP 网络成为承载多业务网络的重要选择。恶意用户可以使用计算机系统干扰业务流程，甚至发起黑客攻击使网络瘫痪，这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用，IP 网络需要与传统电话网络互通，IP网络的安全隐患进而会影响传统电话网络的安全。

　　电信业安全威胁分析

　　作为基础网络提供商的电信企业，影响最大、威胁最大的风险就是那些消耗基础带宽、影响网络性能的威胁，主要包括混合型威胁和各种垃圾邮件。

　　现在互联网面临的威胁已经由传统的病毒威胁转化为现在的包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁被业界称为混合型威胁。混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。同时，混合型威胁传播速度极快，通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强，受感染的系统通常伴随着木马程序种植除了破坏被感染的机器，在传播过程中会形成DDoS攻击，阻塞网络。混合型威胁正是近几年电信行业所面临的主要威胁。

　　而垃圾邮件则泛指未经请求而发送的电子邮件，如未经发件人请求而发送的商业广告或非法的电子邮件，甚至一些不存在的产品和服务。垃圾邮件是某些想利用Internet致富的人藉以散播广告或色情的媒介，传送邮件者只需极少的花费，即可造成收件者严重的损失：CPU及服务器硬盘、终端机用户硬盘都极有可能因垃圾邮件影响速度和空间;除了使网络陷入动弹不得的境地外，更令人忧心的便是其夹带的病毒，将同时危害企业网络。

　　方案介绍

　　赛门铁克安全方案借鉴最新的安全思想，从“主动防御、主动反应”这一观点出发，协助运营商建立适用电信业务、可伸缩、抗打击的防病毒网络。相对于被动式病毒响应技术而言，主动式反应技术可在最新的混合型威胁没有出现之前就形成防御墙，静侯威胁的到来而避免威胁带来的损失。

　　通用漏洞利用阻截技术

　　通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状 ”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征—甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征，也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。

　　行为阻截技术

　　行为阻截的思想就是：在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本。只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。

　　多层过滤反垃圾邮件技术

　　没有一种技术能完全彻底地解决垃圾邮件问题，赛门铁克通过采用全面的、多层级的过滤技术来防御垃圾邮件。通过为电信运营商设计智能、多层的混合型威胁和垃圾邮件防护架构，优化全系统内混合型威胁和垃圾邮件事件的全面监控、及早发现、及时通报、快速处理等环节，缩短响应时间，有效降低病毒可能造成的损失。建立多层、分布式的混合威胁和垃圾邮件防御架构既与电信运营商现有行政管理模式相匹配（总部指导省公司，省公司指导下级公司），有效提高管理效率，同时又能体现“统一规划，分级管理”的思想，让各省级单位分担总部，地市级单位分担省公司的运行维护负担。

　　功能逻辑

　　该解决方案包括Symantec Network Security 7100系列入侵防护设备、Symantec Brightmail AntiSpam反垃圾邮件解决方案、Symantec Client Security 2.0集成式客户端安全解决方案等产品。通过应用赛门铁克相关防病毒、反垃圾邮件及管理类产品，电信运营商整体防护架构得以充实。如图描述了不同类型产品在电信运营商混合威胁和垃圾邮件防护架构中存在的功能逻辑，以清楚显示各产品对电信运营商业务系统支撑性作用。

　　建议在电信运营商网络内部建立统一的混合威胁和垃圾邮件事件管理和报告机制，用于统一存储、统计报告在电信运营商内部网络或生产网络发生的相关事件，以便及时了解全网的混合威胁和垃圾邮件、病毒的发作情况、混合威胁的类型情况、在什么地方、什么时候感染了什么威胁。同时该事件管理中心可以根据以后的安全需求扩展成为安全事件管理和响应中心。如现在或以后公司可能需要部署其他的安全产品如防火墙、入侵检测系统、漏洞扫描系统等，可以通过安全管理中心来集中收集、存储、分类、关联来自其他安全产品的安全事件，从而使安全管理员在一个地方就可以了解到全网发生的所有安全事件，并采取相应的响应措施。