“你中了一台PSX!请马上登录到以下网站,输入你的居住地址”、“未交纳系统使用费。请在以下网页上输入用户ID与口令察看详细说明”。
通过类似的邮件将用户诱导到假冒网站上输入个人信息,日本国内也开始面临这样的网络欺诈问题了。这种网络诈骗活动被称作是“phishing”。
开头的两个邮件分别冒充索尼(http://www.sony.co.jp/SonyInfo/News/ServiceArea/040618/)与日本雅虎(http://docs.yahoo.co.jp/info/notice10.html),将用户诱导到某个网站,都完全是冒牌的。邮件所链接的网站当然也冒牌的,输入的个人信息将落入不怀好意的人手里…。
通过假冒邮件“引诱”用户
自2003年以来,phishing在美国已经成为一项大问题。phishing的目的是盗取信用卡号码和密码等用户个人信息。被盗的个人信息不可避免地遭到恶意使用。phishing的基本手法如下:
试图进行phishing的人(被称作“phisher”)首先向大量非特定用户发送看起来像是来自著名企业的邮件。邮件正文含有诱导用户登录到某一指定网站的内容。在美国,phishing邮件大多采用“如果不立即登记,你的帐户很快就会失效。失效后将无法利用在线服务”等威胁性词句(见左下画面)。
用户赶忙点击邮件中的链接,出现一个与著名企业非常相似的假冒网页(见右下画面)。为了让用户深信不疑,假冒网页有时还利用真正网页作掩护。如果把个人信息输入到假冒网页上,这些信息就被发送到phisher那里。
.jpg)
假冒美国城市银行,试图将用户诱导至假冒网页的邮件。写有“为确认帐户,请点击以下链接,按照要求输入相应信息。否则帐户将会失效”的内容。正文中的URL是正宗的,但由于对链接做了手脚,点击后就会被链接到假冒网页。
.jpg)
点击左边画面后就被诱导到这个网页上。利用了真正网页上的画面,看起来与真正网页非常相似。另外,为了避免用户看清URL,网页不显示地址栏
利用用户轻信“邮件发件人名称”与“网页印象”
要想“成功”地进行phishing,必须让用户觉得:(1)“认为假冒邮件的发送者是著名企业”;(2)“以为假冒邮件中给出的链接可以链接到著名企业的网站”;(3)“以为链接到的网页就是著名企业的网页”。全部满足这些条件似乎非常困难,但实际上并不是很难。因为他们利用了用户过于轻信“自己的感觉印象”
首先是第(1)项,只要邮件发送者名称“差不多”,许多用户都会上当。例如,当显示“Citibank Support”与“support@citibank.com”等名称的时候,大都会以为是来自城市银行(Citibank)的邮件。邮件发件人名称(From地址)所显示的信息不过是正文的一部分,发件人可以随意编造。
关于第(2)项,如果使用的是HTML邮件,可以将实际链接对象(链接到假冒网页)隐藏起来。例如,正文中显示为“http://www.citibank.com/”的部分可以链接为一个与显示内容毫不相干的假冒网站的URL。同样,对于第(3)项,只要将著名企业网页的图像数据搬过来,可以做得想有多像就有多像。再加上地址栏不显示出来,用户也就不会再怀疑是不是真正的URL了。
此外还出现了恶意利用邮件软件的安全漏洞,伪装状态条的phishing(见下图)。发到编辑部来的邮件中就有突破Outlook Express安全漏洞并做了手脚的邮件。因此,尽管在状态条中显示的是以“http://www.usbank.com/”开头的URL(该URL实际上是美国城市银行的URL),但用鼠标点击后却进入到与该公司毫不相干的假冒网页上。
除此之外还有各种各样的phishing。在当前情况不能再相信“感觉印象”了。
.jpg)
突破邮件软件Outlook Express安全漏洞的phishing邮件。在显示链接对象的状态条下(画面最下方),显示的是以“http://www.usbank.com/”开头的URL,但点击后却链接到完全不同的另外一个网页上。
防范对策是“怀疑一切”
面对这些挖空心思诱人上当的phishing,最重要的是不要轻信邮件,也不要轻易点击邮件中的链接,尽量不在邮件链接的网页上输入个人信息。准备输入个人信息的网页,最好是亲自在地址栏中输入URL。如果能做到这些,就不用担心会被假冒网页欺骗了。
首先不要理会来路不明的邮件。绝对不要对邮件内容做出回应而去点击链接,更不能回复邮件。如果对邮件内容实在是难以定夺的话,通过“直接向这家公司打电话”或“登录该公司网页”来进行确认。但此时绝对不要使用邮件上提供的电话号码或URL。要使用自已查到的确凿可靠的公司电话号码或URL。
说起网络诈骗,目前在日本国内受害最多的还是“虚拟申请邮件”。实际上国民生活中心等已经全力提请公众注意(http://www.kokusen.go.jp/soudan_now/twoshotto.html)。但正如本文开头所提到的那样,日本国内也开始出现phishing。何时流行只是一个时间问题。在开始流行之前,希望大家都能对phishing有一个充分的认识。
