網絡釣魚現象與安全分析論文

前言：本站為你精心整理了網絡釣魚現象與安全分析論文范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]文章主要關注的是對網絡銀行安全構成重大威脅的釣魚欺詐：首先對釣魚欺詐進行了概括性的討論和分析；由于在此前的諸多研究中，客戶的作用與地位往往被忽視，于是文章做了一個旨在了解客戶識別及判斷釣魚欺詐能力的調查，以充分說明網絡銀行安全的兩個關鍵要素是網絡銀行提供商和網絡銀行客戶；最后，從客戶視角出發，提出了一些建議，希望能讓在客戶層面的網絡安全防御能與提供商層面的安全防御一樣固若金湯。

[關鍵詞]釣魚欺詐；網絡銀行提供商；網絡銀行客戶

由于網絡技術的日新月異和人們對方便、迅捷的銀行交易需求的日益高漲，越來越多的銀行都開始不遺余力地推廣網絡銀行。網絡銀行作為電子銀行或者電子資金轉移的一種重要形式，依靠強大的技術支持為客戶和企業提供各種金融服務?？蛻艨梢岳弥T如PDA/PC或者手提電腦等終端設備連接到互聯網后，在任何時間、任何地點進行各種交易，而不必擔心交通擁塞、停車不便或者事務繁忙而無法辦理業務。

在客戶享受到網絡銀行提供便捷服務的同時，詐騙者也同樣蠢蠢欲動：他們對網絡銀行所帶來的便利覬覦已久，一旦詐騙者能夠成功的截取賬戶信息或者誘騙客戶提供賬戶信息，那么他們也可以在任何時間、任何地點侵入客戶賬戶。這就需要網絡銀行提供商和網絡銀行客戶對于網絡銀行安全保持高度的關注，對潛在的風險保持高度的警惕。

一、釣魚欺詐

（一）釣魚欺詐（Phishing）本義

釣魚欺詐（Phishing）是在20世紀90年代中期，由黑客創造出來的詞語，它原本指的是竊取美國在線（American-Online）客戶的賬戶。釣魚欺詐讓毫無警覺的網絡銀行客戶無意中泄露他們的個人信息，從而使詐騙者獲取他們的敏感數據。當詐騙者獲得這些數據后，他們就會非法侵入客戶賬戶，大肆獲取其他敏感信息，最后通常會將客戶賬戶上的資金非法轉移到自己的賬戶上或者將客戶的個人資料在黑市上出售。

（二）釣魚欺詐的種類

1.誘騙式釣魚欺詐(Deceptivephishing)。誘騙式釣魚欺詐最常用的載體就是電子郵件：在典型的情況下，詐騙者發出大量誘騙電子郵件，其中包含有HTML表格和一些誘使客戶填寫表格的敘述；更多情況下，郵件含有超鏈接：只要客戶一點擊，就會將客戶鏈接到一個偽造的網站上。

2.惡意軟件式釣魚欺詐(Malware-basedphishing)。惡意軟件式釣魚欺詐指的是這種釣魚欺詐會讓惡意軟件運行在客戶電腦上。而惡意軟件的傳播主要是通過社會工程式詐騙或者利用安全漏洞進行的。

3.域名欺騙式釣魚欺詐(Pharming)。Pharming這個名字產生于2005年3月的一次大規模域名服務緩存毒害事件，它的意思是“域名欺騙式釣魚欺詐”，指的是欺騙客戶在假扮合法網站的非法網站上輸入敏感信息，如密碼、信用卡卡號等的一種欺詐方式。這種方式不需要客戶點擊郵件中的超鏈接，甚至即便是客戶正確的輸入了網頁地址URL，詐騙者仍然可以將客戶鏈接到非法網站上。

4.內容植入式釣魚欺詐(Content-injectionphishing)。內容植入式釣魚欺詐指的是將惡意內容植入合法網站，這些惡意內容可能會將客戶鏈接到其他網站，或者在客戶電腦上安裝并運行惡意軟件，從而將數據傳輸到釣魚欺詐服務器上。

5.中間人釣魚欺詐(Man-in-the-middlephishing)。中間人釣魚欺詐是指詐騙者將自己置于客戶與合法網站之間。本應傳送到合法網站的內容被詐騙者所獲取，他們截留下有用的信息后，繼續將內容傳遞給合法網站，同時也將來自合法網站傳遞給客戶的信息截留后傳遞。中間人釣魚欺詐也可以用作信息流截取。這種釣魚欺詐也有多種不同變化形式，但是通常對中間人釣魚欺詐的定義是：一個網絡安全的分支，在該欺詐中，詐騙者截取并且很有可能篡改傳輸中的數據。

6.搜索引擎式釣魚欺詐(Searchenginephishing)。詐騙者采用的另外一種詐騙手段就是為一些虛假的商品開設網頁出售，同時搜索引擎如Google，Baidu等索引到這些網頁或者商品。這些商品看上去價廉物美，當客戶決定購買這些商品，輸入交易所需的信息后，敏感數據就會被詐騙者所獲取。sp;

7.分布式釣魚欺詐(Distributedphishing)。分布式釣魚欺詐是一種新出現的詐騙方式，釣魚欺詐網站所用的主機不是傳統的網絡提供商而是私人電腦。這是因為如果使用傳統的網絡提供商所提供的主機構建網站，這些網站會很快被反釣魚欺詐聯盟所甄別并且摧毀。分布式釣魚欺詐的出現對于防治釣魚欺詐來說是一次巨大的挑戰，追蹤分布式主機顯然要比追蹤網絡提供商的主機困難的多。

（三）釣魚欺詐的變化

在釣魚欺詐的早期，大多數的詐騙主要依賴含有非法超鏈接的詐騙郵件誘使客戶泄露自己信息。然而，在過去的數年內，詐騙者利用更為先進的技術手段和更多樣化的載體，使釣魚欺詐的形式更為多樣化。例如近年來出現的網絡語音欺詐以及短信釣魚欺詐等。

（四）釣魚欺詐流程

如圖-1所示，釣魚欺詐的基本信息流按照其步驟依次如下。

（1）詐騙者為釣魚欺詐做準備，他們創建域名和服務器，并將惡意軟件或者詐騙傳播載體植入其中。

（2）詐騙載體通過不同的傳播途徑到達目的地。例如，在誘騙式釣魚欺詐中，詐騙載體通常是含有詐騙內容的電子郵件；又如在惡意軟件釣魚欺詐中，詐騙載體往往是惡意程序代碼或者客戶無意中下載的軟件或者是安全漏洞。

（3）客戶做出反應，如點擊超鏈接從而被鏈接到欺詐網站或者是鏈接到合法網站，但是其一舉一動被鍵盤記錄軟件所監控，從而使自己暴露在潛在的威脅之下。

（4）網站唆使客戶泄露敏感數據；這些網站可能是合法網站被植入惡意代碼也可能是非法網站等。

（5）由于惡意服務器，或者本地運行的惡意軟件，抑或是在監聽軟件竊取下，用戶泄露敏感信息，如用戶名或者密碼等。（6）敏感信息通過本地運行的惡意軟件，如鍵盤記錄、屏幕記錄程序或者網頁木馬傳遞給詐騙者。具體傳遞方式取決于釣魚欺詐的具體種類。（7）所獲取的敏感信息被非法使用，以入侵客戶賬戶。（8）詐騙者獲得非法金錢收入或者將這些信息非法出售以斂財。

二、調查

我們知道，客戶是詐騙者主要的攻擊目標，但是這從來未引起足夠的重視。網絡銀行提供商和研究者應該重視供應商和客戶之間的密切關系，重視客戶的看法，尊重他們的選擇，并且積極主動的傾聽他們的建議?；谏鲜隹紤]，筆者設計了這個調查。

（一）調查設計

1.問卷設計。問卷共分為3部分，第一部分是選擇題，我們希望了解客戶是否經歷過釣魚欺詐以及他們對待釣魚欺詐的一般觀點。第二部分為排序題，要求參與者根據自己的判斷，對出現的內容按照一定的次序進行排列。我們想要了解是哪些方面造成詐騙郵件或者網頁具有迷惑性，同時為什么一些合法的郵件或者內容會讓客戶覺得模棱兩可。第三部分是選擇題，我們想了解客戶的一般上網習慣，這對于有效防止釣魚欺詐至關重要。整個調查采用標準化測試，參與者需要在15分鐘之內，獨立完成問卷，而且在此期間他們不能上網或者查閱資料。為了讓我們的調查更具體、更有說服力，在問卷部分結束后，我們鼓勵所有參與者向我們及時反饋他們的想法或觀點。

2.受訪者選擇。根據受訪者不同的背景，我們將受訪者分為三組：IT背景、金融背景和其他背景。一共有39名參與者，我們在有效問卷中，隨機從每個組別選出了6份問卷，因此最終有效參與者為18人，年紀從19歲至45歲不等。我們需要強調的是：目前幾乎沒有針對中國進行的釣魚欺詐研究，所以我們有意識地僅選擇中國人作為受訪者；因此，調查結果將代表性地展示釣魚欺詐在中國的特點以及客戶對待釣魚欺詐的態度。

（二）調查結果

整個調查帶給我們諸多啟示，這些都有助于我們更好的了解客戶行為，制定防治釣魚欺詐的措施。

1.釣魚欺詐在中國的情況與在北美地區有所不同。知道釣魚欺詐的參與者比例接近67%，但是這一比例仍然偏低；有些參與者雖然在使用網絡銀行服務，但是表示他們從未聽說過釣魚欺詐，這顯然是一個重大的安全隱患。在知道釣魚欺詐的67%中，只有少數確定他們曾經收到過釣魚欺詐郵件，這一點與北美地區大多數人都曾收到過釣魚欺詐郵件有著比較明顯的區別。

2.大多數人無法真正識別釣魚欺詐郵件。根據調查，雖然有75%的參與者說他們“能夠”區分釣魚欺詐郵件，但他們的理由是：他們從不相信任何含有銀行賬戶信息或者其他個人信息的郵件，而不是他們曾經對釣魚欺詐有過比較充分的了解或者熟悉一些簡單判斷釣魚欺詐郵件的辦法。這充分說明了，大多數中國網絡銀行客戶對網絡銀行服務缺乏信心和熱情，同時也說明了網絡銀行提供商在盲目推廣他們的產品的時候，沒有積極和客戶交流，沒有積極聽取客戶的反饋。

3.沒有采用可以有效防治釣魚欺詐的方法。87%的受訪者表示，他們在收到釣魚欺詐郵件后，會立即刪除，而不會采取其他行動；只有1位參與者表示，他打算向有關部門反映，但是他坦言，他并不知道哪個部門會受理此類投訴。這對于網絡銀行提供商來說是一種巨大的警示：任何一項防治措施，如果沒有客戶真正參與進來，那么這項措施都是毫無益處的。

4.電子郵件最具釣魚欺詐性，手機短信和手機彩信其次，電話和傳真最不具有欺詐性。在所有參與者看來，電子郵件最具釣魚欺詐性，但是他們也對手機短信或者手機彩信釣魚欺詐性的擔憂快速增加：超過25%的參與者認為短信或者彩信最具釣魚欺詐性。這個特點需要網絡銀行提供商和研究者充分重視，因為大多數銀行提供通過手機短信或者手機彩信進行實時交易提醒的服務，如果詐騙者利用這個漏洞，將會造成更多的損失。

5.客戶對郵件主題比較敏感。大約89%的參與者認為，中獎信息最具釣魚欺詐性，但是其他的郵件主題對于參與者而言幾乎沒有區別。這說明，目前在中國釣魚欺詐的手段和形式比較單一：一方面釣魚欺詐在控制范圍中，一方面提醒我們一旦詐騙者采用多樣化的手段，就會造成巨大的損失，因為客戶沒有任何防御準備。

6.郵件的樣式會有一定作用。78%的參與者表示，一旦郵件中含有超鏈接，他們會非常警惕；同時一封郵件過分強調安全性，他們也會產生懷疑。參與者同時建議，郵件不應該作為緊急事件的通知途徑，如果密碼修改、賬戶安全性提示等。

7.第三方的安全認證取決于該認證品牌認可度。調查中，我們列出了諸多第三方安全認證產品，從已有的品牌McAfee，TrustWatch到編造的品牌BankSecurity。我們發現，在具有IT背景的參與者中，他們幾乎做出了相同的排序：McAfee,TrustWatch和微軟旗下品牌OneCare是值得信任的，但是對于其他品牌，如FinjanSecureBrowsing由于其在中國較低的知曉度，也被排列在受懷疑的序列中。而對于金融背景和其他背景的受訪者而言，所有品牌都被列為受懷疑序列。部分參與者建議，如果有一個權威的機構或者組織第三方安全認證信息，這樣更容易讓所有人接受和信賴。

8.人們關心URLs。我們發現，參與者對網頁的URLs地址非常關注，同時他們都善于發現網站地址的細微差別。但SSL安全標識作用有限：參與者表示在打開新頁面的時候，他們很少去關注SSL安全標識，同時僅有39%的參與者能夠區分http和https的區別。所以，我們再次確信，雖然網絡銀行提供商、軟件制造商和ISPs竭盡全力強化系統安全，但是如果客戶沒有積極參與其中，所有的措施都顯得事倍功半。

上述結論充分表明了客戶與網絡銀行提供商在了解上存在真空區域，而這正是造成先進的安全系統無法充分發揮作用的原因。如果我們不對客戶的反饋和看法予以充分的重視，更具威脅的釣魚欺詐將會頻繁襲來。

三、防范措施

眾多的研究者認為，由于詐騙者會持續不斷的改善其技術手段，網絡銀行提供商也應該深化并精化其技術設備以構建更為安全的網絡安全系統。我們為，進行技術優化固然重要，然而他們卻完全忽視了網絡銀行客戶。只有結合提供商和客戶的力量，才能讓使兩者進行良性互動、協同共“戰”。

（一）在交易前進行教育

網絡銀行提供商應該確保在客戶進行交易前，對他們進行足夠的安全教育。

1.熟悉交易流程。有位調查參與者在訪問中表示，雖然他沒有系統了解過釣魚欺詐，但是由于他非常熟悉網絡交易的整個過程，一旦交易中有任何異常，他都能立刻察覺。所以，我們建議網絡銀行提供商應該讓客戶充分熟悉交易流程，從而構建起第一道有效防線。

2.熟悉常見釣魚欺詐手法。我們已經證實，如果客戶對常見的釣魚欺詐手法有一定了解的話，那么客戶會更容易避免釣魚欺詐的襲擊。從這個角度而言，網絡銀行提供商在客戶開戶的時候，就應該充分告之客戶常見的釣魚欺詐手法，因為預防措施永遠比事后補救更為有效。

3.熟悉銀行正確的工作方式。網絡銀行提供商應該使客戶了解銀行正確的工作方式，客戶了解的越清楚，他們被詐騙者誤導的可能性就越低。比如，客戶應該清楚，雖然銀行會給客戶打電話進行業務處理，但是他們永遠不會索要客戶的個人敏感信息，比如密碼、PINs等，而且客戶決不能信任在電子郵件中出現的所謂的“客服電話”等，當需要撥打客服電話時，客戶可以從銀行卡背面找到。這些都有助于使客戶進一步識別釣魚欺詐。

（二）在交易中進行溝通

交易中，客戶與網絡銀行提供商進行及時有效的溝通會有效降低釣魚欺詐的影響，就算客戶受到釣魚欺詐的襲擊，雙方也可以采取有效的措施進行彌補，以避免更大程度的損失。

1.定期發送提示資料。釣魚欺詐手段隨時隨地都在進行變化，為了使客戶能夠及時了解最新動態，定期發送相關提示資料可以讓網絡銀行提供商與客戶進行有效的溝通；這樣可以盡可能降低由于新式釣魚欺詐手段所帶來的伴隨效應。

2.多渠道交易提示。通常來說，當賬戶發生資金變動時，網絡銀行提供商會通過電子郵件或者短信或者依據客戶定制發送資金變動信息。但是這就存在著一個明顯而危險的漏洞，如果客戶面臨中間人釣魚欺詐，詐騙者就能截取從銀行發給客戶的提示信息。因此，如果采用多渠道交易提示，毫無疑問這會大幅度增加詐騙者進行欺詐的難度，而不會對客戶造成任何額外的不便。

（三）在交易后進行反饋

客戶的反饋常常會幫助銀行做出許多有益的改善，因此網絡銀行提供商應該鼓勵客戶積極反饋信息，并且也應該主動的與客戶進行聯系，從而讓客戶與他們的互動更為充分。

1.提供商主動提供交易安全報告。對于客戶來說，如果他進行了大量的交易，而僅僅在某個交易發生釣魚欺詐，他很容易忽視，從而遭受莫名的損失。因而，網絡銀行提供商可以定期向客戶發送交易安全報告，在報告中，提供商可以詳細列出交易的金額、時間，并且根據IP地址顯示交易地址以及瀏覽器類型等信息。一旦有任何異常信息，網絡銀行提供商應該醒目標識并等待客戶確認，同時這還可以借助數據挖掘工具對交易記錄進行分析。超級秘書網

2.建立無障礙反饋通道，鼓勵客戶反饋。我們已經在調查中指出，很多客戶想要與網絡銀行提供商進行溝通，但是他們從來沒有找到合適的方式。因此，我們建議網絡銀行提供商開設無障礙反饋通道，這樣可以讓客戶與網絡銀行提供商進行無縫對接式交流。

（四）用科技手段保障交易

最后，我們還可以充分利用技術手段確保各個環節都萬無一失。目前，各家銀行主要采用兩種交易工具來確?？蛻艚灰讜r的安全。

1.動態密碼卡。動態密碼卡在收到交易指令后，會隨機產生交易動態密碼，這就彌補了傳統靜態密碼的不足。對于那些企圖“推斷”出密碼的詐騙者來說，這種方式應該是牢不可破的。2.U盾。U盾在芯片中保存有身份真實文件和加密數據，它具有唯一性和不可復制性，充分確保了數據的真實性和準確性。理論上，采用U盾作為交易工具，任何詐騙者都無法破解其密碼。

四、結論

我們必須意識到網絡銀行安全的兩個關鍵要素——網絡銀行提供商和網絡銀行客戶，兩者相輔相成、缺一不可。但是目前存在于客戶與網絡銀行提供商之間的“代溝”仍然讓詐騙者有機可乘。一方面，我們需要密切關注釣魚欺詐的發展趨勢，并且積極利用先進的信息技術；另一方面，我們建議網絡銀行提供商應該充分尊重客戶，因為后者是整個網絡銀行體系不可或缺的一環，也是詐騙者試圖突破的一環。

為了保證整個網絡交易的安全，網絡銀行提供商應該采用互動式體系，在交易前對客戶進行充分教育，在交易過程中充分的與客戶進行溝通同時在交易結束后，主動與客戶進行聯系，獲取客戶反饋；此外利用先進的技術手段，一定能夠確保安全、穩定的網絡交易環境，從而為客戶提供可靠、便捷的網絡銀行服務。

[參考文獻]

[1]FinancialManagementService,www.fms.treas.gov/eft.