互聯(lián)網(wǎng)在飛速發(fā)展，各種基于互聯(lián)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用技術(shù)和安全技術(shù)也在飛速發(fā)展，同樣的互聯(lián)網(wǎng)犯罪也是發(fā)展到了極致。在過去十來(lái)年，網(wǎng)絡(luò)釣魚不斷滲透，在世界各地每日的網(wǎng)絡(luò)釣魚攻擊大約為800萬(wàn)次數(shù)，網(wǎng)絡(luò)釣魚已經(jīng)逐漸成為了互聯(lián)網(wǎng)安全的最大威脅。

網(wǎng)絡(luò)釣魚無(wú)界限

網(wǎng)絡(luò)釣魚——引誘電腦用戶提供敏感信息盜取身份和商業(yè)數(shù)據(jù)——對(duì)企業(yè)和普通消費(fèi)者都構(gòu)成極大威脅。

反網(wǎng)絡(luò)釣魚工作組(APWG)報(bào)道說，在2008年第二季度，光網(wǎng)絡(luò)釣魚攻擊就上升了13%，超過28000次數(shù)。它還報(bào)道稱，在同樣的時(shí)期內(nèi)，被感染了電腦密碼竊取代碼、可用來(lái)惡意軟件傳播的網(wǎng)站就已經(jīng)突破了9500個(gè)——與2007年同期相比，增長(zhǎng)了258%。圖一顯示了網(wǎng)絡(luò)釣魚——魚叉式網(wǎng)路網(wǎng)絡(luò)釣魚在16個(gè)月內(nèi)的增長(zhǎng)情況。

提防最新網(wǎng)絡(luò)釣魚陰謀

Spear phishing(魚叉式網(wǎng)路網(wǎng)絡(luò)釣魚)

魚叉式網(wǎng)路網(wǎng)絡(luò)釣魚 只針對(duì)特定目標(biāo)進(jìn)行攻擊，通常鎖定的對(duì)象并非一般個(gè)人,而是特定公司、組織成員，比如著名的銀行、金融公司及其高管等。

消費(fèi)者并不是魚叉式網(wǎng)絡(luò)釣魚攻擊的唯一目標(biāo)。越來(lái)越多的企業(yè)員工被狡猾的犯罪分子盯上。他們的目標(biāo)是要獲取銀行信息、客戶數(shù)據(jù)和其他資料，以資助他們的網(wǎng)絡(luò)犯罪行徑。

根據(jù)VeriSign iDefense，魚叉式網(wǎng)絡(luò)釣魚攻擊在2008年4月至五月期間對(duì)企業(yè)發(fā)起的攻擊，達(dá)到了前所未有的水平。這些攻擊的目標(biāo)主要是高級(jí)管理人員和公司其他重要人物。在15個(gè)月內(nèi)，受害者企業(yè)用戶數(shù)量達(dá)到了驚人的15000之多。這些受害者包括全球500強(qiáng)公司、政府機(jī)構(gòu)、金融機(jī)構(gòu)和律師事務(wù)所。

商業(yè)服務(wù)網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚

除了魚叉式網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚之外，網(wǎng)絡(luò)釣魚新陰謀還包括有針對(duì)商業(yè)服務(wù)的網(wǎng)絡(luò)釣魚攻擊。比如，利用Yahoo !推出的關(guān)系和谷歌的AdWords進(jìn)行網(wǎng)絡(luò)釣魚。據(jù)PhishTank報(bào)告稱，AdWords用戶會(huì)受到一封電子郵件，提醒他們賬戶需要更新。之后，用戶就會(huì)被要求登陸一個(gè)假冒的AdWords界面并提供信用卡信息。由于很多中小型企業(yè)依賴在線廣告來(lái)提供網(wǎng)站流量，他們的市場(chǎng)管理者很容易受到網(wǎng)絡(luò)釣魚者盯上。

利用經(jīng)濟(jì)恫嚇發(fā)起網(wǎng)絡(luò)釣魚攻擊

當(dāng)前低迷的經(jīng)濟(jì)形勢(shì)，為犯罪分子發(fā)起網(wǎng)絡(luò)釣魚攻擊提供了便利條件。比如，利用電子郵件假扮成來(lái)自某個(gè)金融機(jī)構(gòu)需要獲取受害者銀行卡、存貸款等財(cái)務(wù)信息，以幫助處理企業(yè)破產(chǎn)或者合并、收購(gòu)等事宜。大量的合并和收購(gòu)信息，讓廣大消費(fèi)者感到迷茫。更糟糕的是，缺乏統(tǒng)一通信，更是讓欺詐者有恃無(wú)恐。

混合式網(wǎng)絡(luò)釣魚/惡意軟件威脅

為了提高成功率，一些網(wǎng)絡(luò)釣魚攻擊會(huì)與惡意軟件相結(jié)合的方式進(jìn)行。例如，某個(gè)潛在的受害者收到發(fā)來(lái)網(wǎng)絡(luò)釣魚電子賀卡的郵件，通過點(diǎn)擊該賀卡，用戶就會(huì)在不知情的條件下進(jìn)入一個(gè)偽造的網(wǎng)站上，并感染網(wǎng)站上自動(dòng)下載過來(lái)的木馬程序。另外，受害者可能會(huì)看到一條消息，在查看賀卡的之前需要下載更新軟件(比如Flash)。當(dāng)用戶該軟件的時(shí)候，其實(shí)它就是一個(gè)鍵盤記錄軟件。

基于網(wǎng)絡(luò)釣魚的鍵盤記錄軟件，會(huì)跟蹤用戶的每一個(gè)上網(wǎng)記錄，并監(jiān)視其中有用的信息，比如在線購(gòu)物、銀行卡賬戶和密碼等敏感信息。

另外一種會(huì)讓網(wǎng)絡(luò)釣魚攻擊者捕獲敏感信息的木馬，則是重定向。重定向會(huì)讓用戶進(jìn)入不是其本意的網(wǎng)站。目前，基于網(wǎng)絡(luò)釣魚的鍵盤記錄軟件和重定向正大肆流行。

中間人SSL滲透攻擊

2008年，出現(xiàn)了一種新型的可以讓犯罪分子欺騙加密會(huì)話的惡意軟件。這種標(biāo)準(zhǔn)的中間人攻擊的變種，可以讓罪犯訪問網(wǎng)絡(luò)傳輸上不受保護(hù)的密碼和其他敏感信息。

短信和手機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚詐騙

網(wǎng)絡(luò)釣魚攻擊者可能會(huì)使用短信來(lái)取代電子郵件，以冒充某個(gè)金融機(jī)構(gòu)并獲得機(jī)密賬戶信息。被稱為smishing(通過短消息的網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚攻擊)，屬于一種典型的手機(jī)詐騙，它會(huì)通知用戶銀行賬戶失密或者銀行卡被停用，并要求撥打某個(gè)電話來(lái)恢復(fù)銀行服務(wù)。手機(jī)用戶一旦登陸網(wǎng)站或者通過自動(dòng)電話系統(tǒng)，就會(huì)被騙取透露銀行財(cái)務(wù)信息和PIN號(hào)碼。