首页>>关于启迅>>公司新闻
2005-04-12
斩断“网络黑钩(Phishing)”
盗取网络用户的账号、口令或信用卡信息的犯罪行为,现在有愈演愈烈的势头。
历史上最古老的骗术——“信任欺诈”现在有了新名称:网页仿冒(也叫网络钓鱼)。由于它可能会损害网上业务和数据中心,现在已开始引起IT界的警惕。
[IMG,right]/images/200504120101.jpg[/IMG]
华尔街一家大型投资机构的IT经理Fredrick Pastore说:“把这类活动称为网页仿冒实在是太美化它了。应按它的真实名字来称呼它:意图欺诈。”
网页仿冒欺诈利用垃圾电子邮件将Internet用户诱骗到看似合法的商务网站上,常常以更新账户信息为幌子,要求用户提供口令、银行账户或信用卡号等敏感信息。
许多人已意识到了这种诡计。但是,据反网页仿冒工作组说,近5%的收信人仍对网页仿冒邮件做出了回应:远高于回应普通垃圾邮件的比例(不到1%)。
安全人士称,网页仿冒者正在使用更复杂的技术,如隐藏在图像的恶意代码、打开电子邮件就下载的键盘记录程序以及看似完全合法的欺骗网站。人们担心,随着网页仿冒欺诈变得越来越狡滑,越来越多的人上当受骗,顾客会放弃网上商务,转向离线购物,或将与业务有关的电子邮件直接发送到删除文件夹中。这对于电子账单支付和电子邮件广告来说也不是什么好兆头。
安全解决方案厂商Sophos公司的高级安全分析师Gregg Mastoras说:“假如消费者不理睬来自企业的信件,不再使用网上服务,这将给企业带来非常负面的影响。”
盯上了企业数据库
安全专家预测,网页仿冒问题今年会变得更糟,几乎每个企业都不能幸免。
美国一家同时还从事在线销售的零售商的网络经理Mark Merton说:“预计我们公司会在2005年成为网页仿冒的目标。我们已经开始让雇员每天检查Internet,向我们通告任何有关的网页仿冒活动。”
由于网页仿冒是数据整合时代中的主要身份偷窃手段,因此预计它将引发更多针对数据中心的黑客攻击。
Tizor Systems是一家开发企业安全监测产品的厂商。公司CEO Prat Moghe指出:“对欺诈者来说,侵入企业数据中心的回报太高了。”Moghe认为网页仿冒欺诈很快会把重点放在针对企业数据库的大规模身份偷窃上。偷窃的信息可被用做实施针对性的网页仿冒欺诈。例如,对于网页仿冒者来说,向已知使用某家银行的顾客发送垃圾邮件,比随机发送邮件效率更高,而且至少在理论上也更有效。简而言之,他们想要进来。
Moghe说:“想要网络钓鱼,就需要有鱼钩。大规模信息偷窃的鱼钩就是内部情报。一旦盗贼进入数据库,伪装成真正的用户,一网捞上来的鱼可能等于数百万个身份偷窃案。信息偷窃欺诈正变得越来越复杂,因此,来自大型数据库内部的身份偷窃将会增加。”
网络钓鱼季节正式开始了。不过,好消息是,许多防止病毒的安全措施可以保护企业不受网页仿冒者的伤害。
更鲜活的鱼饵
同计算机病毒一样,网页仿冒欺诈最初是由那些急于得到地下世界吹牛权的黑客发起的。最早的欺诈者似乎没有造成太大的破坏。然而据FBI Internet犯罪举报中心(IC3)单位负责人Dan Larkin说,情况迅速恶化到了有组织犯罪的程度。
澳大利亚媒体报道说,该国4名中学生最近被指控帮助洗钱,将网上银行账户的数百万美元由澳大利亚转移到东欧。罪犯分子利用假广告和垃圾邮件安装特洛伊木马,捕获口令和其他银行信息。这几位澳大利亚少年涉嫌参与帮助将被盗资金转移到东欧的银行账户中。
Sophos的Mastoras说:“经过教育,消费者已对普通的网页仿冒和身份偷窃有了很多的了解。不幸的是,有组织犯罪分子利用更复杂的技术来做出回应。”
目前,犯罪分子不仅打算洗劫整个账户,而且还想吸干保存登录ID、口令和其他敏感数据的数据库,用于他们以后的犯罪。网页仿冒者需要真正的回报,会想方设法实现这一目的。设计低劣的网页仿冒欺诈,即那些有着拼写错误和奇怪英语的网页仿冒(银行什么时候称呼你“亲爱的”?)正在为不需要用户点击URL的技术诡计所取代。
最近出现了一种新的网页仿冒欺诈手段,只要用户在修补的或老版本Microsoft Outlook中打开恶意电子邮件,它就会被激活。在查看空白的信件时,计算机的主机文件被隐藏在邮件中的一小段代码迅速修改。当用户下一次试图登录银行网站时,被不知不觉地连接到假网站上。没有几个人知道自己正在与安装在俄国某地的服务器打交道。这种欺诈最初以巴西的多家金融机构的顾客为目标,不久后,针对多家英国银行的类似攻击也采用了这种欺诈。安全专家预期,这种欺诈的变种不久就会得到广泛使用。
网页仿冒(Phishing)的来源
[IMG,right]/images/200504120102.jpg[/IMG]
Phishing一词是由偷窃AOL账户和口令的黑客在1996年前后创造的。与钓鱼运动类似,互联网欺诈者使用邮件诱饵,钓取互联网用户的口令和财务信息。Phishing一词首次出现在1996年1月的alt.2006 黑客新闻组中。黑客一般将Ph替代f,以示该词是根据盗用电话线路(phone phreaking)一词而创造的。
电子邮件安全解决方案提供商MessageLabs公司信息安全分析师Natasha Stately说:“网页仿冒者将开始以拥有网上设施的企业为目标。”
网页仿冒还可以影响企业的网络安全。例如,如果允许用户选择自己的登录名和口令,他们可能在许多网站上使用同样的登录名和口令。当网页仿冒者知道John Smith用Jsmith13名字和“superman”的口令字登录到eBay上时,他们会洗劫在线设置和数据库,获得有关Smith的更多的信息。如果他们发现John Smith在的公司,他们可以尝试利用Jsmith以及superman登录,进入公司的网络。
斩断网络黑钩
当问及什么是最有效的打击网页仿冒的方法时,专家们马上提到用户教育。安全顾问Robert Ferrell说:“人们很容易忽视用户教育,认为它没有用,因为我们只听到失败的信息。尽管可能很难相信,但却真有学会了不点击附件的人。尽管如此,你不能升级人的常识,不能安装智力。人类永远是系统安全链子中最薄弱的一环。”
[img]/images/200504120103.jpg[/img]
专家们一致认为:仅仅警告人们注意网页仿冒欺诈是不够的。安全专家敦促企业在发送给顾客的电子邮件中不要包含可点击的网址URL。Ferrell说:“应当采取无嵌入链接的政策,一定要让顾客知道这个政策。也就是:让用户来找你。告诉他们你所在的位置,而不是派车去接他们。”
许多公司正在利用专用信件中心发送信函。eBay为所有用户提供一个安装在公司网站上的名为“My Messages”的收件箱。JPMorgan Chase也采取这样的方法。如果顾客经常访问你的网站,并且你不用广告塞满他们的收件箱,这样的方法将取得成功。
EarthLink和Comcast则在顾客电子邮箱——以及在自己的网站——明确地说明他们的技术支持或客户代表所要求的信息类型,并指定传送这类请求的渠道。例如,在开始实时技术支持会话之前,EarthLink代表可能通过电话或网络要求用户提供社会保险号的后4位:但是从不利用电子邮件做这件事。
从长期看,企业必须在通用、易用的合法电子邮件的认证方法上达成一致,并进行部署。为大多数电子邮件程序所支持的用于S/MIME的可信赖发信人证书,可以帮助让收信人确信收到的电子邮件是合法的,并得到了独立证书机构的验证。
[img]/images/200504120104.jpg[/img]
但是,网页仿冒者可能最终会找到一种攻击S/MIME证书机制的途径,正如他们设法欺骗了其他安全证书和曾经十分神圣的安全挂锁图标那样。据专家们说,解决网页仿冒的手段是利用一项全球认证标准,证实电子邮件的确发自它所宣称的域。他们建议将这种电子邮件“发送方ID”与和网络浏览器集成的认证工具相结合,当用户登录欺诈网站时,认证工具向用户发出警告。
同时,IT界还应当监测注册类似合法企业域名的企图。一种常用的网页仿冒伎俩涉及建立像“paypaI.com”(与著名的paypal.com类似)这样的域名。(请仔细观察这个URL。你发现了其中的诡计了吗?如果没有,让我来告诉你,真的网站使用小写字母“l”,假冒者则使用大写字母“I”。)Cyveillance公司专门监测试图注册“接近得让人感到不舒服”的域名的行为。
此外,如果您的企业成了网页仿冒欺诈的目标,执法人员强烈要求您立即与当地的执法机构联系。如果ISP(互联网服务提供商)的大部分收入是靠迎合垃圾邮件制造者和欺诈者赚来的,那么要求ISP封闭网页仿冒网站的投诉将是徒劳的。
在公司网站上发布警告并为顾客设置报告网页仿冒企图的电子邮件地址也是很好的主意。加入像反网页仿冒工作组或Digital PhishNet这样的行业组织也可以有所帮助。同以往一样,最好的安全防御是公开共享可靠的信息。
一家全国性在线零售商网络经理Mark Menton在提到保持所有系统可用和可靠的挑战时,强调了一项网页仿冒逼迫企业采用的流行战略:“我们将加强研究对顾客账户活动的监测,这可能意味着升级软件,我们正在调查用户名和口令之外的认证方法。”
(来源:《infoworld》)
链 接
围捕网络钓鱼者
网页仿冒者要小心了!螳螂捕蝉,黄雀在后。当你们窥探他人时,IT技术也在监测你们。安全机构也会把你们送进监狱。
美国企业开始联合起来,组成一个叫做“Digital PhishNet”的联盟来相互分享并与FBI共享有关网页仿冒阴谋活动的信息。
Microsoft公司欺诈调查员Stirling McBride早已在从事这项工作。像America Online、EarthLink和Lycos等其他重量级击球手一样,Microsoft的安全小组长期以来一直在互联网上搜寻网页欺诈活动,将有关信息转交给FBI的互联网犯罪举报中心(IC3)。
PhishNet的主要反网页仿冒工具将是一个共享数据库。联盟成员将向这个数据库中输入像IP地址、欺诈网站注册人和网站主机等信息。国家计算机取证和培训联盟将对数据进行分析,建立犯罪档案,最后将犯罪档案转交给执法机构。
IC3单位负责人Dan Larkin说:“关于网页仿冒阴谋的协调信息,将帮助我们把打击重点放在最严重的罪犯身上。Digital PhishNet将会有帮助采集大量犯罪目标之间的关键数据,并实时建立一条直接与执法机构连接的渠道,不让网页仿冒者有时间跑掉。”
时间至关重要。Larkin说:“我们的行动必须与网页仿冒者一样快。他们非常迅速地建立假网站,收集信用卡和其他个人信息,几天之后删除网站。”
Digital PhishNet的创始成员包括AOL、Digital River、EarthLink、Lycos、Microsoft、Network Solutions、VeriSign、FBI、联邦贸易委员会、美国联邦经济情报局和美国邮政检查局。Digital PhishNet邀请企业通过在www.digitalphishnet.org上注册加盟。
尽管Digital PhishNet不会终结网页仿冒活动,但是人们希望它的作用超过怀疑者的预期。
网页仿冒是个国际问题,执法机构必须应付官僚机构的律师和各类不同的有关网上欺诈的法律。
打击网页仿冒的行动在很大程度上取决于公司是否愿意公开分享欺诈活动的信息,而这是许多企业不愿意做的事情。在Digital PhishNet宣布成立不久后,InfoWorld 询问EarthLink大多数网页仿冒网站设在哪些国家。EarthLink的PR公司给出了以下答复:“本公司不主动讨论哪里设有最多的网页仿冒网站这个问题。”
链 接
网页仿冒欺诈愈演愈烈
据反网页仿冒工作组(APWG)日前公布的数据显示,去年12月份,有关“网页仿冒”的在线身份偷窃报告的数量再次增加。当月,共报告了1700多个活动的网页仿冒网站,比前一个月增长10%。
据一份APWG报告说,尽管假日季节减缓了网页仿冒报告和活动,但是去年12月份,网页仿冒灾祸并没有显现出减少的迹象,网页仿冒网站和电子邮件信件数量双双稳步增加,而且有证据显示出现了更复杂的劫持个人数据的技术。
网页仿冒欺诈是一种在线犯罪活动,它利用垃圾电子邮件将Internet用户诱骗到被设计成看似合法电子商务站点但由盗贼控制的网站。常常以更新账户信息为幌子,用户被要求提供敏感信息,如口令、银行账户或信用卡号。
APWG说,它在去年12月确定了9000多个与网页仿冒欺诈有关的不同电子邮件信件,比一个月前增加6%,比去年7月份报告的数字增加了38%。
去年12月份,金融服务公司再次成为网页仿冒欺诈的头号目标。据APWG的报告说,所有网页仿冒欺诈中的85%是针对金融服务行业的公司的。APWG说,ISP和零售公司也是网页仿冒欺诈的主要目标。
同前几个月一样,美国是世界上拥有网页仿冒网站最多的国家。32%以上的网页仿冒网站设在美国。中国(12%)和韩国(11%)也属于仿冒网站数量最多的国家。APWG说,网页仿冒网站在关闭之前平均在线时间不到6天,最长的开设30多天。
APWG的成员包括来自执法机构和私营公司(包括主要ISP、银行和技术厂商)的代表。该组织再次警告说,网页仿冒欺诈正在变得越来越复杂,不再只是简单地试图诱骗用户提供敏感信息。APWG说,最新的欺诈活动利用Web浏览器安全漏洞和从网页仿冒网站下载的特洛伊木马程序,来攻击存在漏洞的计算机,获取敏感数据。
过去一年里,网页仿冒攻击的数量呈爆炸式增长,在线身份盗窃已经成为开展在线业务的企业主要担心的问题,从而促使有关机构推出许多打击网页仿冒犯罪的建议和计划。
去年12月,包括Microsoft、America Online、VeriSign和EarthLink在内的公司与美国联邦调查局、美国联邦经济调查局和美国邮政检查局联手合作,成立了一家名为Digital PhishNet的新组织。该组织的目标是改进政府与业界之间的交流,以使执法机构可以更迅速地摧毁网页仿冒网站。
来源:
资料来源:计算机世界报 2005年第06期 A16、A17
作者:无
历史上最古老的骗术——“信任欺诈”现在有了新名称:网页仿冒(也叫网络钓鱼)。由于它可能会损害网上业务和数据中心,现在已开始引起IT界的警惕。
[IMG,right]/images/200504120101.jpg[/IMG]
华尔街一家大型投资机构的IT经理Fredrick Pastore说:“把这类活动称为网页仿冒实在是太美化它了。应按它的真实名字来称呼它:意图欺诈。”
网页仿冒欺诈利用垃圾电子邮件将Internet用户诱骗到看似合法的商务网站上,常常以更新账户信息为幌子,要求用户提供口令、银行账户或信用卡号等敏感信息。
许多人已意识到了这种诡计。但是,据反网页仿冒工作组说,近5%的收信人仍对网页仿冒邮件做出了回应:远高于回应普通垃圾邮件的比例(不到1%)。
安全人士称,网页仿冒者正在使用更复杂的技术,如隐藏在图像的恶意代码、打开电子邮件就下载的键盘记录程序以及看似完全合法的欺骗网站。人们担心,随着网页仿冒欺诈变得越来越狡滑,越来越多的人上当受骗,顾客会放弃网上商务,转向离线购物,或将与业务有关的电子邮件直接发送到删除文件夹中。这对于电子账单支付和电子邮件广告来说也不是什么好兆头。
安全解决方案厂商Sophos公司的高级安全分析师Gregg Mastoras说:“假如消费者不理睬来自企业的信件,不再使用网上服务,这将给企业带来非常负面的影响。”
盯上了企业数据库
安全专家预测,网页仿冒问题今年会变得更糟,几乎每个企业都不能幸免。
美国一家同时还从事在线销售的零售商的网络经理Mark Merton说:“预计我们公司会在2005年成为网页仿冒的目标。我们已经开始让雇员每天检查Internet,向我们通告任何有关的网页仿冒活动。”
由于网页仿冒是数据整合时代中的主要身份偷窃手段,因此预计它将引发更多针对数据中心的黑客攻击。
Tizor Systems是一家开发企业安全监测产品的厂商。公司CEO Prat Moghe指出:“对欺诈者来说,侵入企业数据中心的回报太高了。”Moghe认为网页仿冒欺诈很快会把重点放在针对企业数据库的大规模身份偷窃上。偷窃的信息可被用做实施针对性的网页仿冒欺诈。例如,对于网页仿冒者来说,向已知使用某家银行的顾客发送垃圾邮件,比随机发送邮件效率更高,而且至少在理论上也更有效。简而言之,他们想要进来。
Moghe说:“想要网络钓鱼,就需要有鱼钩。大规模信息偷窃的鱼钩就是内部情报。一旦盗贼进入数据库,伪装成真正的用户,一网捞上来的鱼可能等于数百万个身份偷窃案。信息偷窃欺诈正变得越来越复杂,因此,来自大型数据库内部的身份偷窃将会增加。”
网络钓鱼季节正式开始了。不过,好消息是,许多防止病毒的安全措施可以保护企业不受网页仿冒者的伤害。
更鲜活的鱼饵
同计算机病毒一样,网页仿冒欺诈最初是由那些急于得到地下世界吹牛权的黑客发起的。最早的欺诈者似乎没有造成太大的破坏。然而据FBI Internet犯罪举报中心(IC3)单位负责人Dan Larkin说,情况迅速恶化到了有组织犯罪的程度。
澳大利亚媒体报道说,该国4名中学生最近被指控帮助洗钱,将网上银行账户的数百万美元由澳大利亚转移到东欧。罪犯分子利用假广告和垃圾邮件安装特洛伊木马,捕获口令和其他银行信息。这几位澳大利亚少年涉嫌参与帮助将被盗资金转移到东欧的银行账户中。
Sophos的Mastoras说:“经过教育,消费者已对普通的网页仿冒和身份偷窃有了很多的了解。不幸的是,有组织犯罪分子利用更复杂的技术来做出回应。”
目前,犯罪分子不仅打算洗劫整个账户,而且还想吸干保存登录ID、口令和其他敏感数据的数据库,用于他们以后的犯罪。网页仿冒者需要真正的回报,会想方设法实现这一目的。设计低劣的网页仿冒欺诈,即那些有着拼写错误和奇怪英语的网页仿冒(银行什么时候称呼你“亲爱的”?)正在为不需要用户点击URL的技术诡计所取代。
最近出现了一种新的网页仿冒欺诈手段,只要用户在修补的或老版本Microsoft Outlook中打开恶意电子邮件,它就会被激活。在查看空白的信件时,计算机的主机文件被隐藏在邮件中的一小段代码迅速修改。当用户下一次试图登录银行网站时,被不知不觉地连接到假网站上。没有几个人知道自己正在与安装在俄国某地的服务器打交道。这种欺诈最初以巴西的多家金融机构的顾客为目标,不久后,针对多家英国银行的类似攻击也采用了这种欺诈。安全专家预期,这种欺诈的变种不久就会得到广泛使用。
网页仿冒(Phishing)的来源
[IMG,right]/images/200504120102.jpg[/IMG]
Phishing一词是由偷窃AOL账户和口令的黑客在1996年前后创造的。与钓鱼运动类似,互联网欺诈者使用邮件诱饵,钓取互联网用户的口令和财务信息。Phishing一词首次出现在1996年1月的alt.2006 黑客新闻组中。黑客一般将Ph替代f,以示该词是根据盗用电话线路(phone phreaking)一词而创造的。
电子邮件安全解决方案提供商MessageLabs公司信息安全分析师Natasha Stately说:“网页仿冒者将开始以拥有网上设施的企业为目标。”
网页仿冒还可以影响企业的网络安全。例如,如果允许用户选择自己的登录名和口令,他们可能在许多网站上使用同样的登录名和口令。当网页仿冒者知道John Smith用Jsmith13名字和“superman”的口令字登录到eBay上时,他们会洗劫在线设置和数据库,获得有关Smith的更多的信息。如果他们发现John Smith在的公司,他们可以尝试利用Jsmith以及superman登录,进入公司的网络。
斩断网络黑钩
当问及什么是最有效的打击网页仿冒的方法时,专家们马上提到用户教育。安全顾问Robert Ferrell说:“人们很容易忽视用户教育,认为它没有用,因为我们只听到失败的信息。尽管可能很难相信,但却真有学会了不点击附件的人。尽管如此,你不能升级人的常识,不能安装智力。人类永远是系统安全链子中最薄弱的一环。”
[img]/images/200504120103.jpg[/img]
专家们一致认为:仅仅警告人们注意网页仿冒欺诈是不够的。安全专家敦促企业在发送给顾客的电子邮件中不要包含可点击的网址URL。Ferrell说:“应当采取无嵌入链接的政策,一定要让顾客知道这个政策。也就是:让用户来找你。告诉他们你所在的位置,而不是派车去接他们。”
许多公司正在利用专用信件中心发送信函。eBay为所有用户提供一个安装在公司网站上的名为“My Messages”的收件箱。JPMorgan Chase也采取这样的方法。如果顾客经常访问你的网站,并且你不用广告塞满他们的收件箱,这样的方法将取得成功。
EarthLink和Comcast则在顾客电子邮箱——以及在自己的网站——明确地说明他们的技术支持或客户代表所要求的信息类型,并指定传送这类请求的渠道。例如,在开始实时技术支持会话之前,EarthLink代表可能通过电话或网络要求用户提供社会保险号的后4位:但是从不利用电子邮件做这件事。
从长期看,企业必须在通用、易用的合法电子邮件的认证方法上达成一致,并进行部署。为大多数电子邮件程序所支持的用于S/MIME的可信赖发信人证书,可以帮助让收信人确信收到的电子邮件是合法的,并得到了独立证书机构的验证。
[img]/images/200504120104.jpg[/img]
但是,网页仿冒者可能最终会找到一种攻击S/MIME证书机制的途径,正如他们设法欺骗了其他安全证书和曾经十分神圣的安全挂锁图标那样。据专家们说,解决网页仿冒的手段是利用一项全球认证标准,证实电子邮件的确发自它所宣称的域。他们建议将这种电子邮件“发送方ID”与和网络浏览器集成的认证工具相结合,当用户登录欺诈网站时,认证工具向用户发出警告。
同时,IT界还应当监测注册类似合法企业域名的企图。一种常用的网页仿冒伎俩涉及建立像“paypaI.com”(与著名的paypal.com类似)这样的域名。(请仔细观察这个URL。你发现了其中的诡计了吗?如果没有,让我来告诉你,真的网站使用小写字母“l”,假冒者则使用大写字母“I”。)Cyveillance公司专门监测试图注册“接近得让人感到不舒服”的域名的行为。
此外,如果您的企业成了网页仿冒欺诈的目标,执法人员强烈要求您立即与当地的执法机构联系。如果ISP(互联网服务提供商)的大部分收入是靠迎合垃圾邮件制造者和欺诈者赚来的,那么要求ISP封闭网页仿冒网站的投诉将是徒劳的。
在公司网站上发布警告并为顾客设置报告网页仿冒企图的电子邮件地址也是很好的主意。加入像反网页仿冒工作组或Digital PhishNet这样的行业组织也可以有所帮助。同以往一样,最好的安全防御是公开共享可靠的信息。
一家全国性在线零售商网络经理Mark Menton在提到保持所有系统可用和可靠的挑战时,强调了一项网页仿冒逼迫企业采用的流行战略:“我们将加强研究对顾客账户活动的监测,这可能意味着升级软件,我们正在调查用户名和口令之外的认证方法。”
(来源:《infoworld》)
链 接
围捕网络钓鱼者
网页仿冒者要小心了!螳螂捕蝉,黄雀在后。当你们窥探他人时,IT技术也在监测你们。安全机构也会把你们送进监狱。
美国企业开始联合起来,组成一个叫做“Digital PhishNet”的联盟来相互分享并与FBI共享有关网页仿冒阴谋活动的信息。
Microsoft公司欺诈调查员Stirling McBride早已在从事这项工作。像America Online、EarthLink和Lycos等其他重量级击球手一样,Microsoft的安全小组长期以来一直在互联网上搜寻网页欺诈活动,将有关信息转交给FBI的互联网犯罪举报中心(IC3)。
PhishNet的主要反网页仿冒工具将是一个共享数据库。联盟成员将向这个数据库中输入像IP地址、欺诈网站注册人和网站主机等信息。国家计算机取证和培训联盟将对数据进行分析,建立犯罪档案,最后将犯罪档案转交给执法机构。
IC3单位负责人Dan Larkin说:“关于网页仿冒阴谋的协调信息,将帮助我们把打击重点放在最严重的罪犯身上。Digital PhishNet将会有帮助采集大量犯罪目标之间的关键数据,并实时建立一条直接与执法机构连接的渠道,不让网页仿冒者有时间跑掉。”
时间至关重要。Larkin说:“我们的行动必须与网页仿冒者一样快。他们非常迅速地建立假网站,收集信用卡和其他个人信息,几天之后删除网站。”
Digital PhishNet的创始成员包括AOL、Digital River、EarthLink、Lycos、Microsoft、Network Solutions、VeriSign、FBI、联邦贸易委员会、美国联邦经济情报局和美国邮政检查局。Digital PhishNet邀请企业通过在www.digitalphishnet.org上注册加盟。
尽管Digital PhishNet不会终结网页仿冒活动,但是人们希望它的作用超过怀疑者的预期。
网页仿冒是个国际问题,执法机构必须应付官僚机构的律师和各类不同的有关网上欺诈的法律。
打击网页仿冒的行动在很大程度上取决于公司是否愿意公开分享欺诈活动的信息,而这是许多企业不愿意做的事情。在Digital PhishNet宣布成立不久后,InfoWorld 询问EarthLink大多数网页仿冒网站设在哪些国家。EarthLink的PR公司给出了以下答复:“本公司不主动讨论哪里设有最多的网页仿冒网站这个问题。”
链 接
网页仿冒欺诈愈演愈烈
据反网页仿冒工作组(APWG)日前公布的数据显示,去年12月份,有关“网页仿冒”的在线身份偷窃报告的数量再次增加。当月,共报告了1700多个活动的网页仿冒网站,比前一个月增长10%。
据一份APWG报告说,尽管假日季节减缓了网页仿冒报告和活动,但是去年12月份,网页仿冒灾祸并没有显现出减少的迹象,网页仿冒网站和电子邮件信件数量双双稳步增加,而且有证据显示出现了更复杂的劫持个人数据的技术。
网页仿冒欺诈是一种在线犯罪活动,它利用垃圾电子邮件将Internet用户诱骗到被设计成看似合法电子商务站点但由盗贼控制的网站。常常以更新账户信息为幌子,用户被要求提供敏感信息,如口令、银行账户或信用卡号。
APWG说,它在去年12月确定了9000多个与网页仿冒欺诈有关的不同电子邮件信件,比一个月前增加6%,比去年7月份报告的数字增加了38%。
去年12月份,金融服务公司再次成为网页仿冒欺诈的头号目标。据APWG的报告说,所有网页仿冒欺诈中的85%是针对金融服务行业的公司的。APWG说,ISP和零售公司也是网页仿冒欺诈的主要目标。
同前几个月一样,美国是世界上拥有网页仿冒网站最多的国家。32%以上的网页仿冒网站设在美国。中国(12%)和韩国(11%)也属于仿冒网站数量最多的国家。APWG说,网页仿冒网站在关闭之前平均在线时间不到6天,最长的开设30多天。
APWG的成员包括来自执法机构和私营公司(包括主要ISP、银行和技术厂商)的代表。该组织再次警告说,网页仿冒欺诈正在变得越来越复杂,不再只是简单地试图诱骗用户提供敏感信息。APWG说,最新的欺诈活动利用Web浏览器安全漏洞和从网页仿冒网站下载的特洛伊木马程序,来攻击存在漏洞的计算机,获取敏感数据。
过去一年里,网页仿冒攻击的数量呈爆炸式增长,在线身份盗窃已经成为开展在线业务的企业主要担心的问题,从而促使有关机构推出许多打击网页仿冒犯罪的建议和计划。
去年12月,包括Microsoft、America Online、VeriSign和EarthLink在内的公司与美国联邦调查局、美国联邦经济调查局和美国邮政检查局联手合作,成立了一家名为Digital PhishNet的新组织。该组织的目标是改进政府与业界之间的交流,以使执法机构可以更迅速地摧毁网页仿冒网站。
来源:
资料来源:计算机世界报 2005年第06期 A16、A17
作者:无
