网络钓鱼的原理及相关案例

《计算机网络信息安全与应用》课程《网络钓鱼的原理及案例分析》学生姓名邓梦佳学号5011213614所属学院信息学院专业计算机科学与技术班级17-6指导教师李鹏塔里木大学教务处制0摘要：随着网络化、信息化的时代，人们的日常生活活动已经离不开网络。网上包含了自己的各种隐私信息，甚至是自己的银行账号和密码，在这种环境下滋生了一些如网络钓鱼这种手段，来诈骗用户的各种重要信息。本文从网络钓鱼的定义、特点及危害方式、鉴别方法和网络钓鱼利用的手段等方面对网络钓鱼进行分析，并列举出了相关案例，提出了防范网络钓鱼的方法。关键词：网络钓鱼手机短信诈骗邮件诈骗网络钓鱼案例1正文网络钓鱼通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。在这网络化、信息化的时代，越来越多的人的日常活动已经离不开网络，如网上查阅资料，网上交易，通过聊天软件进行交友、交流等。网上包含了自己的各种隐私信息，甚至是自己的银行账号和密码，垃圾邮件越来越频繁在我们的生活中出现。在这种环境下滋生了一些如网络钓鱼这种手段，来诈骗用户的各种重要信息。所以一个安全的环境对我们普通用户是越来越重要。了解网络钓鱼的原理和一些相关案例将让我们掌握如何识别和预防网络钓鱼这种诈骗手段。21网络钓鱼定义所谓“网络钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。“网络钓鱼”近来在全球频繁出现，严重地影响了在线金融服务、电子商务的发展，危害公众利益，影响公众应用互联网的信心。网络钓鱼会通过相似域名、相似网页对用户进行欺骗。传播样式多样化，比如通过电子邮件、搜索引擎、论坛、微博等，几乎是无孔不入。网络钓鱼通常伪装成为银行网站，窃取访问者提交的账号和密码信息。它一般通过电子邮件或者手机短信传播，此类邮件或短信中一个经过伪装的链接将收件人联到网络钓鱼。网络钓鱼的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说网络钓鱼结构很简单，只有一个或几个页面，URL和真实网站有细微差别。2网络钓鱼特点及危害方式最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。网络钓鱼其实就是网络上众多诱骗手法之中的一种，由于它的手段基本就3是通过网络用一些诱饵（比如假冒的网站）等使用户上当，很像现实生活中的钓鱼过程，所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息，使用户受到经济上的损失。网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件或者手机短信，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。3网络钓鱼的鉴别方法钓鱼在大多数情况下是关于你的银行账号、密码、信用卡资料、社会保障卡号以及你的电子货币帐户信息。关于用户的paypal、yahoo邮件、gmail及其他免费邮件和手机短信服务。只要记住上述那些正式公司绝不会通过电子邮件让你提供任何信息。如果你收到类似要求，让你提供资料，或者在邮件和短信中带有指向网站的链接，那么它一定是网络钓鱼诈骗。网民在查找信息时，应该特别小心由不的字母数字组成的CN类网址，最好禁止浏览器运行JavaScript和ActiveX代码，不要上一些不太了解的网站。4网络钓鱼所利用的手段4.1利用邮件进行诈骗像垃圾邮件一样，钓鱼是一种未经允许的电子邮件形式。尽管一些垃圾邮件可能只不过是讨厌的广告，而钓鱼则是试图从用户手中进行诈骗。不幸的是，人们落入了它的圈套。钓鱼是指用电子邮件作“鱼饵”，从而骗取访问金融账户必需信息的一种手段。通常，电子邮件会看起来像来自一家合法公司。4它试图诱惑用户把账号和相关密码给他们。电子邮件经常解释说，公司记录需要更新，或者正在修改一个安全程序，要求用户确认你的账户，以便继续使用。从表面上看很难辨别这封电子邮件是否是诈骗。像垃圾邮件一样，来自钓鱼黑客的电子邮件通常在电子邮件地址中包含伪造的“发件人”或者“回复”标，使电子邮件看起来像来自一家合法公司。除了欺骗的“发件人”或者“回复”地址之外，伪造电子邮件通常基于HTML。第一眼可能看起来像真的一样。电子邮件经常包含真正的商标，看起来拥有真正公司的网站地址。建议用户“小心”保管密码。电子邮件的所有的表象和措词都用来使它看起来是真的。然而，当用户查看HTML(电子邮件内的电脑代码)时，用户可以看到网站地址是伪造的，点击链接实际上会把你带到另一个位置。它经常会把你带到一个看起来一样的外国网站。这些网站只是暂时开放，设计得跟真的一模一样，从而诱惑你输入你的登录信息和密码。一旦他们获得信息，就会试图从用户的帐户中汇钱出去，或者收取费用。钓鱼的一种常见做法是在电子邮件中包含一个表格，供收件人填写自己的姓名、账号、密码或者PIN号。4.2利用手机短信进行诈骗短信诈骗是指犯罪分子以获取非法利益为目的，采用虚构事实、掩盖真相的手法，使用短信发送设备将虚假信息发送至他人手机，使被害人在不明真相的情况下自愿交付数额较大的财物的行为。它是一种通过发送手机短信的方式进行5诈骗的新型犯罪，犯罪分子向不特定多数人或特定群体的手机用户发布虚假事实，使受害人上当受骗。短信诈骗是传统诈骗与现代通信技术相结合而产生的一种新的诈骗犯罪形式，与传统诈骗犯罪相比，此类案件的作案人通常不需要与受害人见面，但以非法占有为目的、用虚假事实或隐瞒真相的方法骗取财物的本质没有改变。犯罪嫌疑人通过技术手段强制摄取一定范围内的手机信号后，由伪装成运营商的伪基站，冒用他人电话号码，强行向这些手机用户发送短信。并附上链接，诱使用户点开填写重要信息。4.3网络钓鱼4招骗客敛财1.群发短信“善意”提醒，诱使网民上网操作；2.境外注册域名，逃避网络监管；3.高仿真网站制作，欺骗网民透露隐私信息；4.连贯转账操作，迅速转移网银款项。4.4牟利模式1、黑客通过网络钓鱼设下陷阱，大量收集用户个人隐私信息，通过贩卖个人信息或敲诈用户获利；2、黑客通过网络钓鱼收集、记录用户网上银行账号、密码，盗取用户的网银资金；3、黑客假冒网上购物、在线支付网站，欺骗用户直接将钱打入黑客账户；4、通过假冒产品和广告宣传获取用户信任，骗取用户金钱；5、恶意团购网站或购物网站，假借“限时抢购”、“秒杀”、“团购”等噱头，让用户不假思6索地提供个人信息和银行账号，这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息，进而获利。4.5网络钓鱼传播途径目前互联网上活跃的网络钓鱼传播途径主要有八种：1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播网络钓鱼链接；2、在搜索引擎、中小网站投放广告，吸引用户点击钓鱼网站链接，此种手段被假医药网站、假机票网站常用；3、通过Email、论坛、博客、SNS网站批量发布网络钓鱼链接；4、通过微博、Twitter中的短链接散布网络钓鱼链接；5、通过仿冒邮件，例如冒充“银行密码重置邮件”，来欺骗用户进入钓鱼网站；6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口，用户点击后进入钓鱼网站；7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口，点击后进入钓鱼网站；8、伪装成用户输入网址时易发生的错误，如gogle.com、sinz.com等，一旦用户写错，就误入钓鱼网站。5手机短信案例分析手机收到一条短信，按照步骤操作却被骗走银行卡内资金。今年以来，深圳市公安局共接到20起以手机短信发送木马链接的方式进行诈骗的报案，涉案金额超过30万元。7　　23日，市民曹小姐的丈夫手机上收到信息：“小张，我是蒋美根啊，看看你对这些东西还有印象吗？下载看看：j.gg1116.com/5-18/5.apk？”曹小姐的丈夫并未点击链接，而是顺手把短信转发给了曹小姐。　　收到短信后，曹小姐以为是客户发来的资料，于是点击链接查看，并下载链接中的软件。24日晚上，曹小姐给客户转账时，发现银行卡少了1万元，这才发现被骗。　　下载手机软件，为何会导致银行卡被盗刷？深圳市公安局反信息诈骗中心民警为记者演示了犯罪分子的诈骗手法。“诈骗分子通过不法渠道获取事主银行卡、姓名等个人信息，再向事主发送短信，并以各种理由吸引事主点击短信内附链接。”深圳市民警告诉记者，一旦事主点开链接下载软件，就会被植入病毒，让犯罪分子可以远程操控。　　“网上消费快捷支付无需银行卡密码，犯罪分子通过木马程序截获快捷支付的验证码，让受害人手机上无法显示验证码短信，从而实施转款盗刷。”民警表示，手机收到有网址链接的短信时，市民最好不要随意点击，勿按照提示操作，应拨打对应人员的电话确认。“如发现链接有病毒，要及时彻底查杀病毒软件，并拨打110或拨打相应咨询电话咨询、举报。”民警说。6技术分析网络安全技术人员认为网络钓鱼技术含量不高，个人要会防范。目前，“网络钓鱼”主要集中在两方面：一种是模仿央视、腾讯等假冒抽奖网站，如多地出现的仿冒“非常6+1”节目中奖信息骗取网民钱财的网络诈骗事件，主8要特征是以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息；另一种是模仿淘宝、工行等在线支付网页，骗取网民银行卡信息或支付宝账户。在安全技术人员眼里，“网络钓鱼”没有太多技术含量，主要是利用人们的心理来实现诈骗。中国互联网络信息中心的专家认为，一是人们受中奖或其他物质奖励诱惑而放松戒备；二是人们缺乏对网站真伪性验证的知识和方法。另外，多数受骗用户在网上填报个人信息，特别是财务信息时缺乏防范意识，没有仔细验证网页的真实性。因为“网络钓鱼”都是以大奖诱惑消费者，因此消费者要对网络中奖活动提高防范意识；而在时也要小心谨慎，通过域名注册信息、第三方权威认证服务等多种手法验证网站真实性，同时，网民一定要重视个人信息的保护，包括个人联系方式、身份证号码、银行卡信息等。7防范方法7.1查验“可信网站”通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”，可帮助网民判断网站的真实性。“可信网站”验证服务，通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份，通过认证后，企业网站就进入中国互联网络信息中心（ＣＮＮＩＣ）运行的国家最高目录数据库中的“可信网站”子数据库中，从而全面提升企业网站的诚信级别，网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络9交易时应养成查看网站身份信息的使用习惯，企业也要安装第三方身份诚信标识，加强对消费者的保护。7.2核对网站域名假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母Ｉ被替换为数字１，ＣＣＴＶ被换成ＣＣＹＶ或者ＣＣＴＶ－ＶＩＰ这样的仿造域名。7.3比较网站内容假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开。7.4查询网站备案通过ＩＣＰ备案可以查询网站的基本情况、网站拥有者的情况，对于没有合法备案的非经营性网站或没有取得ＩＣＰ许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站。7.5查看安全证书目前大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“ｈｔｔｐｓ”打头的，如果发现不是“ｈｔｔｐｓ”开头，应谨慎对待。结语网络钓鱼的泛滥会严重威胁网络的安全环境，也阻碍了互联网应用的健康发展。我们应该了解像网络钓鱼这种对我们造成个人信息和经济损失的网络毒瘤，才能够对它进行有效的防范。同时也呼吁网络安全工作者可以改进网络系统10的安全性，提高防范技术。同时政府也应该加大对网络钓鱼这种行为的打击力度。我们作为网络的使用者，我们也应该对网络环境抱有积极的态度，不要从事一切危害网络安全环境的违法工作，遇到违法行为要勇于举报，不能怕麻烦。只要我们大家一起努力就会还网络世界一片净土。参考文献[1]程宇贤.网上银行身份认证系统的安全性研究[D].上海交通大学,2010.[2]郭敏哲.基于浏览器的网络钓鱼检测机制的研究与实现[D].北京林业大学,2008.[3]杨明星.基于登录页面及Logo图标检测的反钓鱼[D].太原理工大学,2015.[4]梅蒙.假淘宝钓鱼网站诈骗案例分析[D].湖南大学,2012.[5]杨明.网络钓鱼手段分析与防范对策研究[J].网络安全技术与应用,2012,09:22-24+7.