網路釣魚玫擊與防護（上）

在本文中，筆者將會探討現今的網路釣魚詐騙方式與現有的防護工具，並研究將目前的技術做整合，配合伺服器端與客戶端郵件過濾機制來降低使用者收到釣 魚郵件或網路釣魚與其延伸的網址嫁接(Pharming)，主要目的是讓使用者體認詐騙方式層出不窮，透過相關知識提高使用者認知與判斷，進而減少損失。

近年來網際網路的便利性提升，使得網際網路交易數量也隨之提高，其安全性也不斷的改進，各界紛紛的將傳統實體的交易方式改為利用網際網路方式來傳送與服 務。發展至今，很明顯可以觀察到因網路的便利性與安全性的提升讓使用者對於IT技術之運用與依賴有正面的提高，然而大多數使用者的資訊知識判斷能力仍無法 隨著時代大幅變動而跟進，而網路釣魚則為其中明顯的例子。根據反網路釣魚工作小組(APWG)定義，網路釣魚是利用偽造的電子郵件與假以亂真的知名網站作 為誘餌，讓使用者誤認而洩漏銀行帳號與密碼或其它敏感資訊。是一種結合社會工程和技術詐欺並透過網路進行之犯罪行為。

而在進行整個過程之前，駭客須先架設假冒網站。攻擊者會先從網路掃描有漏洞的主機，當查詢到可以入侵的電腦時，則先植入後門程式以便日後方便進出，之後將建立好的假冒網站上傳至建立後門的主機中，開始發送網路釣魚郵件直到受害人上鉤後取得其敏感資訊或金錢。

近年來網路詐騙手段不斷翻新，從Phishing又衍生出一個更高段的手法「網址嫁接(Pharming)」，藉由入侵DNS的方式將使用者哄騙至假冒網 站，也稱之DNS poisoning。例如假設IP 134.15.25.91對應tw.yahoo.com如果DNS被入侵，駭客將會將DNS與IP的對應轉換，如此一來，使用者毫無知覺的被引導至一個假 冒網站，即使輸入正確的URL仍會被導向惡意網站。

網路釣魚實例

一般而言，網路釣魚都是經由郵件的大量寄送，以虛擬資訊引誘使用者去假冒的網站，多以中獎、信用卡遭盜刷、系統更新等理由來要求使用者進入信件中所 附上的URL網站內填入個人私密資訊。根據APWG在2004年統計，大約百分之七十以上的網路詐騙都是鎖定金融機構。然而在大部分的釣魚郵件都是有機可 循的，以下為一釣魚郵件實例。

 
電子郵件主旨：
Please confirm your account details with Citibank
假自對象：Citibank
寄件者：cash@citibank.com看到的連結:
https://wwww.citibank.com/signin/confirmation.jsp

實際連結:
http://22.33.44.55/scripts/confirmation.htm

上面的例子看起來像是一封來自合法的銀行郵件，以系統將使用者的一些資訊遺失為理由，希望使用者能夠透過附上的URL進去更新自己的資訊。使用者可能會不在意的點擊超連結，並且認為它將指向正確的銀行網站，其實駭客可能利用HTML的語法矇騙使用者，例如:

 
<a href= https://http://22.33.44.55/scripts/confirmation.htm > https://wwww.citibank.com.signin/confirmation.jsp </a>

透過這樣的HTML語法就可以讓使用者無法快速察覺到錯誤，或是可以直接將URL轉換成IP方式呈現，如此一來，使用者依然無法對於此IP有所警 覺。另外駭客也可能會將信件的底色用成白色，然後利用HTML中藏入幾個白色的字，讓這些字無法在白色底的信件中讓使用者輕易查覺，這樣是要躲過一般的垃 圾過濾防護軟體，或是在某些特定字眼用別的相近字與相近音來表示，例如sex可用SIX、fuck可用fock等就可以輕易躲掉傳統的過濾，因為傳統的垃 圾防護機制只針對信件中的特定字眼來加以過濾。

網路釣魚常見手法與技術

網路釣魚的技術不外乎就是利用人心的弱點加上網際網路的應用讓使用者無法正確並快速判斷，以下將目前慣用的手法做一詳細探討：

IP位置

IP是由一組四個八位元所組成且具有唯一性的網路位址，之所以會用DNS來對應IP就是因為人們對於IP位址記憶相當困難，且不易從中得知其對應的 網站起點為何。如果有一台釣魚伺服器要隱藏自己的話就是將自己以IP位址顯現，因此對於大多的使用者而言是根本不會產生懷疑或察覺。所以在釣魚信件中，可 以用中文呈現，但其真實對應位址可能IP時，則很難判定是真是假。例如 <a href=44.55.66.77>請按這裡</a> 或是直接以 http://44.55.66.77 呈現。

欺騙性的超連結

一個超連結標題與它實際連結的位址是完全不相關的，也就是說標題的URL與背後的實際連結的URL是不同的。又加上使用者通常不會注意是否標題與實 際位址相同，而且如果又遇到轉換為IP的話，更是令人頭痛。或是突如其來的彈跳廣告視窗，雖然乍看之下是知名廠商的廣告，但也許不是這麼一回事。將其實的 廣告複製下來，然後只要利用欺騙性的超連結用法，並將它放置於假冒的知名 網站上就可以吸引到很多人。而且只要將主機名稱與IP位址的格式轉換一下，例如十六進位轉至ASCII Text或是將IP位址轉至十六進位，依然可以達到欺騙效果。

相近字眼、變數、網域

這也是駭客常常使用的技巧之一，就算使用者會去注意標題與實際連結的差別，但是如果在URL中藉由相近的字眼來掩飾，不但可以躲過那種只針對絕對的網址瀏覽器過濾的工具，更使一般使用者無法察覺。其例子為下：

 
正確的「http://www.icbc.com」造假的「http://www.1cbc.com」

上述例子，原正確的URL是i而駭客用1(數字)替代，在不經意的瀏覽下根本就毫無差別。

 
正確的「http://tw.yahoo.com」造假的「http://tw.yah00.com」

原正確的雅虎網址應該yahoo(英文的O)，但數字的0卻也非常接近，故也常常被利用來替代。其它如1(數字)與I(L小寫)，c與o或q與p等 等都是可能用來當障眼法的字眼。另外一種情況是可能在真的變數下增加一些假的變數，一樣也可以躲過使用者的注意，如ebay.com用ebay- members.com代替等。最後是利用近似的網域企圖矇騙，例如：

 
合法的ULR 「http://login.mybank.com」近似的網域「http://login-mybank.com」

彈跳視窗

上述作法，多以攻擊者製作一個假冒的網站，利用一些技巧讓使用者前往填入一些敏感性資訊，然而有些攻擊雖然在瀏覽器中所顯示的網站是真實的官方網站，但是頁面上出現了彈跳視窗要求使用者填入個人資訊。

DNS Spoofing

DNS系統冒名欺騙(DNS Spoofing)是駭客利用特殊的方法將其實的DNS系統攻陷下來，使原始的DNS系統無法正常回應使用者的查詢，且引導使用者至假冒的DNS系統並回傳假的結果。 目前攻擊DNS伺服器多是進行DOS阻斷服務攻擊或DDOS分散式阻斷服務攻擊來攻擊DNS伺服器，讓伺服器無法正常提供服務，並取代原伺服器或取得控制權引導使用者至己部署好的釣魚網站。

惡意程式

通常透過寄送郵件(附加檔案)或是在網站中隱藏特洛伊木馬，讓使用者在不知情的狀況下安裝了木馬，安靜常駐於使用者的電腦並利用鍵盤側錄等技術將使用者的帳號或密碼等機密資訊傳送回給釣魚駭客。木馬程式無所不在，常會利用造 假的理由或是圖片讓用戶下載，例如微軟最新修補程式，系統更新程式，最新防病毒碼等藉口。其中，目前運用於釣魚技術中最有名的木馬程式就是鍵盤側錄。

即時通訊

由於最近的即時通訊軟體都是支援置入式動態內容，例如照片或是URL等，因此釣魚駭客就能透過這樣的即時通訊來讓使用者大量傳播惡意程式或是引導至 設定的網站上。而且目前很多網路病毒與網路釣魚結合在一起，一但某使用者中毒後，將會自動轉送即時訊息給通訊錄上所有的人，不但快速也因為是好友傳送更不 會產生警戒。

利用第三者提供縮短URL的功能

由於冗長的URL與其複雜度難以發掘異樣與記憶，故目前已經有第三者的組織免費提供縮短URL的功能。例如目前很有名的 http://Orz.net/ 、 http://tinyurl.com/ 與 http://smallurl.com/ 即提供這樣功能，讓冗長的網址可以縮短。這樣使用者就會在未預期的狀況下，執行釣魚、駭客所添加的程式或是網址。如果是惡意程式的話，更可能早以把自己的資訊往外送了。

社會工程

其實釣魚攻擊不僅在技術上誘騙使用者上鉤，也可能利用廣告或是一些具威脅性的消息來要求用戶依照指示執行，如停止服務或是關閉帳號皆是威脅理由。如果使用者有使用雅虎信箱即可能常常收到那種要求使用者轉寄信件給多少人否則將收費或是關閉帳號等的警告訊息。

網址嫁接(Pharming)

DNS與IP對應，就是網站為了讓使用者可以用更有邏輯或是有跡可循的方式去記憶URL替代掉只有數字的IP位址。換言之，使用者通常對於一個正常 DNS所轉換的URL是毫無疑問，就因如此，魔高一丈的釣魚駭客腦筋動到了DNS上。只要攻陷DNS伺服器，駭客就能隨心所欲的將正常的URL對應到釣魚 主機的IP上了。例如，125.13.22.58轉換成網址為www.google.com.tw一旦DNS被入侵，經過駭客將DNS與IP轉換後，同樣 的Google網址對應的IP就會不同而被引導至假冒的網頁。Pharming可以說是Phishing的下一個趨勢，而且採用更高段的手法，讓使用者更 難發覺網站是偽造的。