捕鱼攻击的反网捕鱼技术对策
明显的缺陷是浏览器的安全用户界面(UI)不足以应对当今强大的威胁。通过TLS和证书的安全认证有三个部分:显示连接处于授权模式,显示用户连接到哪个站,显示管理机构说确实是这个站点。这三者都需要为授权做好准备,并需要发送给用户进行确认。
安全连接:1990年代中期到2000年代中期安全浏览的标准显示是锁,这一点很容易被用户忽略。Mozilla在2005年推出了一个黄色的URL栏,使安全连接更容易识别。可惜这个发明后来因为EV证书被撤销了:取而代之的是对一些高价证书显示绿色,而其他证书显示蓝色(翻译:Mozilla Firefox版对没有EV证书的安全浏览网站显示蓝色)。
哪个站:用户要确定浏览器的地址栏里的域名确实是自己想去的地方。网站地址可能太复杂,不容易进行语法分析。用户通常不知道或者无法识别自己想要链接的正确网址,所以识别真伪没有意义。有意义的服务器认证条件是让服务器的识别码对用户有意义;但是很多电商网站都把域名改了,成为其整体网站组合之一(极端例子:化妆品零售部A、百货部B、营销公司C、电视台的子域名结构),这就使得混淆的概率增加了。但是,对于一些反钓鱼工具栏来说,仅显示访问过的网站的域名是不够的。
另一个选择是Firefox的petname插件,它允许用户键入自己的网站标签,这样他们将来再次访问该网站时就可以认出它们。如果该网站未被识别,该软件将警告用户或完全阻止该网站。这代表了以用户为中心的服务器身份管理。有人提出,用户选择的形象会比宠物名更好。
随着EV证书的出现,浏览器一般会显示绿底白字的机构名称,这更容易让用户识别并满足他们的期望。不幸的是,浏览器厂商选择将EV证书限制为独占显示,将其他证书留给用户。
谁是管理组织:浏览器需要指出用户请求连接对象的管理组织是谁。在最低安全级别的阶段,管理机构没有命名,所以就用户而言,浏览器就是管理机构。浏览器供应商通过控制可接受的证书颁发机构(CA)的根列表来承担这一责任。这是目前的标准做法。
这里的问题是,无论浏览器供应商如何努力控制质量,市场上的CA质量良莠不齐,不进行检验。并不是所有签CA的公司拿到证书都只是为了认证同样模式和理念的电商机构。证书制造是一种低交易证书,仅用于交付信用卡和电子邮件交付确认。这两种用途都很容易被欺诈者扭曲。由此看来,一个高交易量的网站可能很容易被另一个CA认证所迷惑。这种情况可能是CA位于地球的另一边,对高流量的电商站不熟悉,或者用户根本不关心。因为CA只负责保护自己的客户,不会照顾其他CA客户,所以这个漏洞在这个模式中根深蒂固。
此漏洞的解决方案是浏览器应该显示并且用户应该熟悉管理组织的名称。这将CA视为品牌的体现,并让用户知道在他们的国家和地区内可以联系到几个CA。品牌的使用对CA供应商来说也是非常重要的,这样可以刺激他们改进证书的审核:因为用户会意识到品牌的差异,并要求高容量的站点在GAI进行检查。
这个解决方案首先在IE7的早期版本上实现。当它显示EV证书时,颁发的CA将显示在URL区域。然而,这只是一个孤立的案例。CA对浏览器面板进行品牌化还是有阻力的,导致只有上面提到的最低最简单的安全级别:浏览器是用户事务的管理机构。
目前国际上使用最高级别的SSL证书,有效防止钓鱼攻击。全球可信CA(GlobalSign)向网站颁发EVSSL证书,激活浏览器的绿色地址栏,实施256位安全加密,确保客户与网站之间的通信不被窃听,并在认证后显著显示网站本身的身份。改进安全用户界面的实验在给用户带来便利的同时,也暴露了安全模型中的基本缺陷。以往安全浏览中使用的SSL认证失败的根本原因有很多,纵横交错。
威胁之前的安全:由于安全浏览发生在任何威胁出现之前,安全显示在早期浏览器的“房地产战争”中被牺牲了。网景浏览器的原始设计有一个突出的网站名称和它的CA名称。用户现在通常习惯于根本不检查安全信息。对抗网络钓鱼的另一种流行方法是保留一个已知网络钓鱼网站的列表,并随时更新。微软的IE7浏览器、Mozilla Firefox 2.0和Opera都包含这种类型的反钓鱼措施。在火狐2中使用谷歌反钓鱼软件。Opera 9.1使用来自PhishTank和GeoTrust的黑名单,即时使用来自GeoTrust的白名单。这种方法的一些软件实现会将访问的网站发送到中央服务器进行检查,这引起了个人隐私问题。根据Mozilla基金会2006年底的报告,援引一家独立软件测试公司的研究,Firefox 2被认为比Internet Explorer 7更能有效地发现欺诈网站。
2006年年中,启动并实施了一种方法。这种方法包括切换到一个特殊的DNS服务并过滤掉已知的钓鱼域名:这将与任何浏览器兼容,并且它使用类似于使用主机文件来阻止在线广告的原理。
为了缓解钓鱼网站通过嵌入受害者网站的图像(如商标)来冒充的问题,一些网站所有者改变图像来向访问者发送消息,一个网站可能是欺骗性的。可能会将图像移动到新的文件名,并永久替换原始文件名,或者在正常浏览条件下不会请求服务器可以检测到的图像,然后会发送警告图像。美国银行的网站是许多要求用户选择个人图像并在任何需要输入密码的场合显示用户选择的图像的网站之一。该银行在线服务的用户只有在看到他们选择的图片时,才会被要求输入密码。然而,最近的一项研究表明,当图像不出现时,只有少数用户不键入他们的密码。此外,这种功能(像其他形式的双因素身份验证一样)容易受到其他攻击,例如2005年底斯堪的纳维亚半岛的Nordia银行案和2006年的花旗银行案。
安全外壳是一种相关的技术,它涉及用用户选择的图片覆盖注册表表单,作为显示表单是否合法的视觉提示。但是,与基于网站的图像系统不同,图像本身只在用户和浏览器之间共享,而不在用户和网站之间共享。该系统还依赖于相互认证协议,这使得它不太容易受到来自仅认证用户系统的攻击。65438+2004年6月26日,美国美国联邦贸易委员会对涉嫌网捕渔民提起第一次诉讼。被告是美国加州的一名青少年。据说,他设计并建立了一个看起来像美国在线网站的网页,并用它来窃取信用卡数据。其他国家也引用这一先例来追踪和逮捕网钓者。巴尔迪尔·保罗·迪·阿尔梅达,一个大网渔民,在巴西被捕。他领导着一个最大的从事网络钓鱼的犯罪团伙,据估计他在两年内窃取了大约18万美元到3700万美元。2005年6月,英国当局拘留了两名参与网络钓鱼骗局的男子,该骗局与美国特勤局的防火墙行动有关,该行动的目标是当时最大和最臭名昭著的信用卡盗窃网站。2006年,8人在日本被捕,日本警方怀疑他们通过假冒雅虎日本网站行骗,并以赔偿6543.8亿日元(87万美元)保释。2006年,美国联邦调查局在美国和欧洲逮捕了一个代号为“持卡人”的16人团伙。
在美国,参议员帕特里克·莱希于2005年3月6日向美国国会提交了2005年反网络钓鱼法案。这一法案如果成为法律,将对建立虚假网站、发送虚假邮件欺诈消费者的犯罪分子处以最高25万美元的罚款和最高5年的监禁。2006年,英国通过《2006年欺诈法案》加强了其打击假冒欺诈的法律武器,该法案采用了一般欺诈罪,最高可判处65,438+00年监禁,并禁止开发或拥有意图欺诈的钓鱼软件包。
许多公司也加入了反对网捕的斗争。2005年3月31日,微软向美国华盛顿西区地方法院提起117诉讼。这起诉讼指控被告“匿名者”非法获取密码信息和机密信息。2005年3月,微软与澳大利亚政府合作,教导执法人员如何打击包括网络钓鱼在内的各种网络犯罪。2006年3月,微软宣布计划在美国境外进一步起诉65,438+000起案件。随后,公司信守承诺,截至2006年6月底,* * *以刑事和民事混合行动起诉了65,438+029起刑事案件。AOL也加大了打击网络钓鱼的力度。2006年初,根据2005年修订的弗吉尼亚计算机犯罪法,Earthlink起诉了三起案件,要求赔偿65,438+08百万美元,Earthlink也参与了帮助确定康涅狄格州六名男子的案件,他们后来被指控犯有网络钓鱼欺诈罪。
2007年6月5438+10月,Jeffrey Brett Gauting被陪审团引用的2003年CAN-SPAM法案定罪,成为加利福尼亚州第一个根据该法定罪的被告。他被判有罪,罪名是向美国在线用户发送数千封电子邮件,并冒充美国在线的会计部门,敦促客户提交个人和信用卡数据。根据反垃圾邮件法和包括欺诈、未经授权使用信用卡和滥用AOL在内的数十项其他商标,他被判处70个月监禁101年监禁。因为没有出席早些时候的听证会,高挺被拘留,并立即开始在监狱服刑。