另類Spam:不能忽略的「釣魚」手法
David Berlind‧陳奭璁整理 2004/02/26
如果你還不曾聽說過phishing(網路釣魚),那麼你應該對它有個認識。正如許多垃圾郵件(spam)一樣,phishing是一種未經許可擅自寄送的商業郵件。差別在於,垃圾郵件不一定是涉及詐欺,但所有的phishing都是駭客惡意設下的一種騙局。無論對企業還是消費者來說,跌進phishing陷阱都難免造成巨大的損失。
數位版的姜太公釣魚
phishing這個新名詞,是將英文fishing(釣魚)的第一個英文字母"f",改變為"ph"。其實兩者意義上也差不多,英文的fishing是釣魚,於是phishing便有了一個很好的中文直譯典故:「姜太公釣魚,願者上鉤」。正如字面所暗示的,phishing是透過垃圾郵件來詐騙網友的個人資料,一般多半是藉口他們的資料需要更新,或者基於安全理由需要重新進營身份驗證,如此便可騙取網友的帳號ID與密碼。電子郵件接收人在毫無懷疑的情況下提供了他們的資訊,然而就在數小時甚至幾分鐘的短時間內,那些未經授權的交易就將使受騙者蒙受巨大損失。
現在,大多數人都能夠意識到不能在網際網路上隨意透露個人資訊。但是對於新型態的phishing電子郵件騙局來說,網友卻很難加以判別真偽,因為詐騙者所捏造的收件人與寄件人跟合法公司所寄的一模一樣。
除了捏造資料外,這類詐騙郵件通常也會使用HTML格式的網頁電子郵件。乍看之下,這類電子郵件仿佛是值得信任的,不管是商標、標識、圖形,以及公司的鏈結全都一映俱全。事實上,在很多情況下,HTML頁面都直接使用了正牌網站的圖檔。我收到過許多仿冒PayPal公司網頁的phishing電子郵件,所顯示的網址似乎是真實的,似乎只需要輕輕點下這些鏈結就能夠登錄PayPal網站。然而這些鏈結卻正是仿冒網頁設置的陷阱,它們實際上鏈結的是一個無法解讀的IP網址,而非PayPal網域中的真實頁面。
EBay拍賣網站旗下的PayPal公司是phishing最常利用的目標。如果你收到一封來自PayPal的電子郵件,而你並非PayPal成員,那麼很容易就能斷定這是一個phishing陷阱。另一方面,如果你像我一樣是PayPal會員,或許就很難透過郵件本身判斷其內容的真實性。
根據網路釣魚防制工作小組(Antiphishing Working Group)主席David Jevans指出:PayPal並非是詐騙集團唯一利用的目標。網路上雖然有35%詐騙案是利用Paypal網頁,但其他包括幾乎所有的金融機構、信用卡發行公司、零售商或其他類型的商業交易,都不可避免的成為詐騙成員利用的對象。2003年10月,英國NatWest由於受到這種惡意攻擊,不得不在12月份關閉公司網站。那麼,Visa也曾在假日旺季期間成為歹徒的目標
企業成了頂罪羔羊
Jevans還表示,大多數針對消費者的詐騙金額大都在100美元之內。這是由於在短時間內,小規模的交易往往不易引起大眾的特別注意。迄今為止,phishing攻擊報告中記錄的最大金額案例是16,000美元。如果詐騙者釣到用戶的信用卡帳戶資訊,那麼無論對持卡者或銷售商來說,都意味著將面臨損失的風險。Jevans同時指出,詐騙者利用phishing進行大額詐欺時,其攻擊對象通常由消費者個人轉向公司或企業。
不過,因信用卡交易引起的金融風險還不算是企業的最大損失。許多案例中,為了保持良好的客戶關係,若客戶因此而有金錢損失時,被冒用的機構往往會全額賠償,即使他們有明文政策聲明沒義務這麼做。這些成本也會轉嫁到企業營運成本上,比如多家澳洲銀行便撥出200萬美元專門當作跟釣魚詐騙相關的賠償基金。
Jevans同時例舉了因phishing引起的其他損失。當NatWest被迫關閉其網站時,為方便與消費者進行聯繫,它們不得不支出大筆費用架設客服專線。在這種情形下,由於線路繁忙很可能導致消費者失去耐心,從而放棄購買。
此外,當大量用戶帳號被「釣魚」成功獲取之後,將導致另一種意想不到的費用的產生。即:為每個用戶發行新信用卡、帳號和密碼的費用大約是50-60美元。由此可見,如果有2000個帳戶遭到竊取,其費用的極速增長是驚人的。同樣,一旦詐騙成員成功地仿冒了一家合法公司的網頁,原本企業與消費者之間的email信賴感也會跟著被破壞,結果導致合法公司更難透過電子郵件與客戶做溝通。
賠償責任也是被盜用的合法企業所關注的主要議題。目前,反釣魚工作小組旗下成員就有一個企業成員遭到客戶提出控告。對於公司而言,無論這場官司的輸贏結果如何,他們都還是得自行吸收官司費用。另外,為試圖掩蓋竊取手段,大多數的釣魚詐騙者還會非法潛入被害公司的網路伺服器發佈仿冒網頁。在這種情形下,網站管理員還有可能因安全疏忽而受到訴訟。
反應永遠不夠快
由於每家企業都有可能詐騙集團覬覦的對象,因此大家還是希望想出得以阻止受害的方式。正如解決垃圾郵件一樣,解決方案主要還是依賴技術、法律與社會自約。目前最亟待解決的問題是,一旦出現釣魚情況時,企業應該如何處理。很顯然的,首先絕對是趕快把詐騙網頁取下。Jevan指出這涉及好幾種技術問題。例如:當詐騙者非法侵入一個合法的伺服器進行網頁發佈時,不能僅僅只是停掉該台伺服器,或者光由ISP切斷所有連結過來的連線。在某些情況下,上述措施是需要的;但有時候你還需要與伺服器操作員(或管理員)合作一起刪除那些仿冒網頁。
Jevans提醒說:即使再反應再怎麼快也會覺得時間不夠,這是因為你可能得花上19個小時到6天的時間來隔離某個網頁或切斷網站。此外,若是網站設在國外,所需時間更多,現在有越來越多網站出現於東歐和亞洲。通常,當你把網站或網頁拿掉後,傷害也早已造成了。Jevans指出,詐騙者利用釣魚手法竊取的資金往往透過臨時性帳戶,最終以轉帳方式流入他們的國外帳戶。因此,期望追蹤被竊資金的流向幾乎是不可能的。
「就技術面而言,由於phishing也是一種垃圾郵件,因此,人們可以運用相同的垃圾郵件處理工具對它進行隔絕。例如:對網頁和電子郵件進行過濾,」Jevans說。同時,建議公司定期對DNS進行掃描,以檢查是否存在一個與公司已註冊的相類似網域。Visa上個月受到攻擊時,釣魚者正是使用了visa-security.com。此外,銀行在他們發出的電子郵件中啟動數位簽章,可只是客戶還必須學習如何辨識有簽章跟沒簽章的郵件。
從社會角度來說,指導和教育是關鍵。例如:用戶需要獲得教育,提高對欺詐性電子郵件的識別和處理能力。
對phishing問題感興趣的企業則可加入antiphishing.org。會員之間可分享如何處理這類問題的許多情報與概念。同時,這個組織與其他一些之名產業工作小組結盟,共同致力於phishing問題的探索與解決。
記得在自己的辦公室門上貼上「Gone phishing」(釣魚再見),毫無疑問這一定會引起同事好奇和詢問。這正是在公司內部施展教育的好機會。
fr.:http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087713,00.htm
0 Comments:
Post a Comment
<< Home