王喚

摘要：網(wǎng)絡(luò)釣魚攻擊，特別是針對大型企業(yè)的網(wǎng)絡(luò)釣魚攻擊正在崛起，魚叉式網(wǎng)絡(luò)釣魚攻擊，這也是針對性攻擊最常用的手段，它最主要的方法是向目標群體發(fā)送電子郵件，通過電子郵件里面附帶的惡意程序，感染和實施攻擊。企業(yè)需尋求更多更好的解決方案，保持強大的安全態(tài)勢，幫助用戶及時發(fā)現(xiàn)入侵信號并做出快速響應(yīng)。

關(guān)鍵詞：魚叉式；網(wǎng)絡(luò)釣魚；防御

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）08-0051-01

網(wǎng)絡(luò)釣魚攻擊通常是電子郵件釣魚，然后騙取受害者點擊惡意鏈接，最后使用惡意的漏洞Payload攻擊受害者計算機。換句話說，如果一個員工誤點擊惡意鏈接，可能被黑客盜取賬戶信息，或者電腦被人種上木馬，導(dǎo)致企業(yè)內(nèi)網(wǎng)因此淪陷，業(yè)務(wù)數(shù)據(jù)和敏感信息也會陷入巨大風險之中。目前，反安全領(lǐng)域中最有效的網(wǎng)絡(luò)釣魚攻擊就是魚叉式網(wǎng)絡(luò)釣魚，該攻擊可以侵入所有的防御層。據(jù)統(tǒng)計，約92%的數(shù)據(jù)泄露事件與社會工程學事件和魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)。

1 魚叉式網(wǎng)絡(luò)釣魚攻擊

對于魚叉式釣魚攻擊，鎖定特定目標的攻擊，被正式攻擊效果很好，可以打敗經(jīng)驗豐富的安全專家，因為，這些攻擊都來自準備充分，對你的業(yè)務(wù)很了解的專業(yè)攻擊者，他們知道你的公司業(yè)務(wù)，知道你現(xiàn)在所從事的項目，還有你關(guān)注的利益，和興趣，這種攻擊比簡單的金融偷盜，帶來的危害更嚴重，也更持久。

首先，攻擊者會選擇一個受害者，比如www.contoso.com。然后，攻擊者利用動態(tài)DNS服務(wù)和虛擬服務(wù)器來發(fā)布類似的網(wǎng)站。以下就是一個名稱相似的網(wǎng)站www.comtoso.com，攻擊是基于假設(shè)用戶不會注意到URL中的細微變化。

接下來，攻擊者會利用Automation Anywhere或Ion等抓取工具或數(shù)據(jù)采集工具來復(fù)制www.contoso.com網(wǎng)站中的內(nèi)容。現(xiàn)在，攻擊者就擁有了一個名為www.comtoso.com的相似網(wǎng)站。下一步攻擊者要做的就是將受害用戶吸引到虛假網(wǎng)站，以便獲取受害者輸入的憑證。接下來，攻擊者要做的就是利用Foca和Maltego等指紋識別工具采集盡可能多的電子郵件地址。

現(xiàn)在，攻擊者要做的就是等待使用合法Contoso憑證的用戶登錄到虛假網(wǎng)站，以便他們進行采集，攻擊者采集到憑證之后，攻擊就結(jié)束了。

2 魚叉式網(wǎng)絡(luò)釣魚防御措施

1）防網(wǎng)絡(luò)釣魚技術(shù)

作為網(wǎng)絡(luò)安全行業(yè)的一個重要領(lǐng)域，防網(wǎng)絡(luò)釣魚產(chǎn)品和服務(wù)在很久之前就已經(jīng)面市?，F(xiàn)在的殺毒軟件通常都包括防網(wǎng)絡(luò)釣魚功能，而且多數(shù)瀏覽器都自動配備了Google Safe Browsing功能，這樣的整合可以提供中等水平的網(wǎng)絡(luò)釣魚防護措施，但卻遠不能幫助企業(yè)應(yīng)對復(fù)雜攻擊。

防網(wǎng)絡(luò)釣魚解決方案可以集成到Web瀏覽器或以單機方式運行，這兩種方法采用了相似的方法來檢測網(wǎng)絡(luò)釣魚攻擊。

2）SSL站點搜索保護

由于多數(shù)用戶認為有效的SSL證書可以實現(xiàn)更好的安全保障，因此，利用SSL證書的網(wǎng)絡(luò)釣魚攻擊尤其危險。有些防網(wǎng)絡(luò)釣魚產(chǎn)品能夠檢索超過五百萬的SSL證書，以便查找偽造證書。

3）DNS搜索保護

利用這一防護方法，看似與合法網(wǎng)站相似的域名就可以記錄到代碼倉庫。軟件每天都會監(jiān)控DNS注冊，以發(fā)現(xiàn)特定的警報模式，也可以在通用TLD和.com、.net、.free.fr等注冊點探查潛在域名。

4）域名信譽

所有的防網(wǎng)絡(luò)釣魚廠商都會收集有關(guān)URL黑名單的情報。他們利用信譽分析技術(shù)對域名信譽和列入黑名單的一級域名（TLDs）等數(shù)據(jù)信息進行分析。有些網(wǎng)站可以免費為用戶提供此類信息，http：//www.borderware.com/就是其中之一。從這些服務(wù)中得到的信息也可以從郵件攔截列表和上報站點中獲取。

這種方法的缺點就是，多數(shù)的攻擊者會利用‘用后即丟棄技術(shù)獲得域名，用于惡意URL，但是時間很短。因此可以躲過URL黑名單和信息分析技術(shù)的分析檢測。

5）針對注冊商和托管服務(wù)供應(yīng)商的網(wǎng)絡(luò)釣魚提示

注冊商、托管服務(wù)供應(yīng)商和互聯(lián)網(wǎng)服務(wù)提供商（ISP）能夠持續(xù)追蹤IP地址、名稱服務(wù)器和域名查詢服務(wù)器。他們的防釣魚軟件不斷更新，并根據(jù)上述信息為用戶提供警報。

6）工具欄

目前，各種不同的工具欄都可以安裝在當前最流行的瀏覽器中。這些工具欄會持續(xù)監(jiān)控URL檢索，并向軟件發(fā)送報告，以便匹配基于規(guī)則的策略。

7）安全培訓(xùn)防御網(wǎng)絡(luò)釣魚攻擊最重要也最有效的方式就是進行員工安全教育，提高他們對社會工程攻擊的認知。提供長期且持續(xù)的教育和培訓(xùn)：創(chuàng)建指導(dǎo)方針及公司策略及程序，以保護個人和公司設(shè)備上的敏感數(shù)據(jù)。定期評估內(nèi)部調(diào)查團隊，進行實踐演練，確保用戶擁有有效對抗網(wǎng)絡(luò)威脅的必要技能。

說到底，用戶是最終的安全決定者。安全的好壞最終取決于用戶能否以鑒定的眼光閱讀所有郵件和警報，并判斷信息或鏈接是否安全。只要決策權(quán)在用戶手中，網(wǎng)絡(luò)釣魚攻擊的成功率就會居高不下，這也正是防網(wǎng)絡(luò)釣魚行業(yè)能夠保持持續(xù)增長的原因。企業(yè)還將繼續(xù)尋求更多更好的解決方案，保持強大的安全態(tài)勢：部署多層端點安全防護、網(wǎng)絡(luò)安全防護、加密、強大有效身份的驗證和采取擁有高信譽的技術(shù)，幫助用戶及時發(fā)現(xiàn)入侵信號并做出快速響應(yīng)，增強企業(yè)團隊的安全防范能力。

參考文獻：

[1] 黃文.淺談網(wǎng)絡(luò)信息的安全保密工作[J].科技情報開發(fā)與經(jīng)濟，2010（15）.

[2] 倪天華，朱程榮.網(wǎng)絡(luò)釣魚防御方法研究[J].計算機技術(shù)與發(fā)展，2008（9）.

[3] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站uRL檢測技術(shù)[J].信息網(wǎng)絡(luò)安全，2012（23）.