摘要
網路釣魚玫擊與防護(下)
反網路釣魚工作小組
APWG(Anti-Phishing Working Group) 是一國際性組織,成立目的是為了要消除 phishing、pharming 或是偽造信件等類型的詐騙,提供關於這些詐騙的資訊與解決方式。
反網路釣魚技術與工具探討
就現今網路使用者而言,瀏覽器這一類工具已經是上網必備。而使用者上網不外乎透過瀏覽器來觀看及瀏覽網站、或是透過郵件軟體來收發E-Mail這一切方便的工具無形中也成為詐騙者所仰賴的媒介。
就 anti-phishing
技術而言,目前我們依照現今電腦架構來做區分,分成用戶端與主機端。但就詐騙技術而言,硬要把詐騙手法分成用戶端與主機端是不容易的。詐騙者最終的目的是
要從使用者身上獲取其所擁有的帳號、密碼等資料。就防治詐騙行為的管理者而言,區分為用戶端與主機端,將可容易進行有效的管理與工具的開發。
Server 端 Anti-Phishing 技術與工具探討
APWG 主席 David Jevans 提到就技術面而言,由於 Phishing
也是一種垃圾郵件,因此,人們可以運用相同的垃圾郵件處理工具對它進行隔絕;就社會角度來說,指導和教育是關鍵。其實無論是在哪個層面,要做到避免服務提
供者與使用者遭受網路釣魚、攻擊時,則需對網頁和電子郵件進行過濾,並定期對DNS進行掃描,以檢查是否存在一個與公司已註冊的相類似網域。在
E-Mail 的防治上面我們運用了較基本的 Procmail 與 Mail Scanner 、 Spamassassin 、 ClamAV...
等軟體,於伺服器端進行過濾病毒信。
Procmail
大多數郵件主機都是使用 Procmail 這個程式來擔任郵件分配的工作。它是一支存在於 MDA(Mail Delivery Agent)
郵件傳遞代理人底下運作的軟體。MDA 的主要功能就是用來決定要將郵件送到哪裡,是將郵件放到本機帳號下的 Mailbox?還是將郵件轉送到下一個
MTA 去?然而郵件的過濾也是在這裡進行的。
Procmail 扮演 MDA 的角色,它可仔細分析、過濾每封進到郵件伺服器的郵件。我們可以經過底下的設定方式過濾出簡單的廣告、詐騙信。 |
/^Subject:.*av66.*色情/? DISCARD drop header inavalid /^Subject:.*DVD.*新片I? DISCARD drop header inavalid /^Subject:.*墨水夾/? DISCARD drop header inavalid /^From:.*創意行銷I? DISCARD drop header inavalid
|
在 Procmail 中我們使用正規表示法表示郵件的過濾規則:
「﹒」:代表任意字元。 「\」:代表跳脫字元,可以讓後面接的一個字元變成一般字元。 「*」:代表重複零個或多個前一個RE的字元。 「^」:代表「這一行的第一個字元需要符合規則」。 「$」:代表這一行的最後一個字元需要符合規則。 「.*」:代表任意零個或多個字元的意思。 |
SpamAssassin
然而,光是使用基本的 Procmail 是不足以應付層出不窮的詐騙信與廣告信。Spamassassin 是一套具有較進階過濾功能的軟體、他具有底下幾種功能。
- 表頭檢測
- 本文內容檢測
- 貝氏過濾法
- 自動的位址白名單&黑名單功能
- 手動的位址白名單&黑名單功能
- 支援垃圾郵件識別資料庫
- 支援DNS阻隔清單
- 字元集與地區檢測
- 可自動學習,提升判斷力
表頭檢測是垃圾郵件最常被用來進行辨識的部份,因為垃圾郵件通常都會在表頭上大做文章,使用 Mail Server 誤認為合法的郵件表頭,而 Spamassassin 會試著掃描表頭內容,讓垃圾郵件無所遁形。
除了表頭之外,許多垃圾郵件的本文,常會包含如廣告或色情等內容,Spamassassin 便會利用這些特性,正確的辨識出垃圾郵件。
黑/白名單的功能,可以將來自整個網域的信件全部攔截下來,這是目前最常用的方式,在 Spamassassin 中也同樣支援此功能。
Rozar 是一種垃圾郵件的資料庫,可以用來記錄所有的垃圾郵件,如果有一封垃圾信同時寄給大量的使用者,當下次再傳送此封電子郵件時,Spamassassin 便會利用此資料庫中的記錄,自動攔截此封垃圾郵件。
Spamassassin 透過分數累加的方式來辨識垃圾郵件,若信件符合某些條件便給予一個分數,當總分累加至設定的標準以上,便視為垃圾郵件。
Spamassassin 可以自動訓練 Bayes 資料庫,分析高得分的垃圾郵件,或是低得分的非垃圾郵件。
MailScanner
另外一套 MailScanner 則可加強對郵件內容的偵測。若當郵件伺服器收到一封許騙信,MailScanner 會檢查信件內容,若內容中所顯示的超連結文字與其所要連結的網址不同時,MailScanner 將會對此信件進行攔阻。
Clam AV
Clam AV 病毒掃描器,這是一套伺服器端的防毒系統,主要也是針對郵件。是一套裝在 Linux 上免費的 Mail Server
掃毒軟體,目前可以偵測超過 50,000 種病毒、蠕蟲與木馬程式,其中也包括 Microsoft Office 與 Mac Office
等巨集病毒。它可
成功偵測以下多種檔案類型:Zip、RAR(2.0)、tar、przg、bzip2、MSOLE2、MS Cabinet、MSCHM、MSSZDD 等壓縮格式。在使用者檢視電子郵件前,就由伺服器先進行過濾因此只需由 Server 端定期更新病毒碼即可。
Client 端 Anti-Phishing 技術與工具探討
透過 Server 端的技術將可有效防治大部份的詐騙信件、同時透過 Server 端的先行運作更可有效進行分工、降低在重復檢測詐騙信件上所浪費的系統資源,並維持正常的使用者動作。
雖然 Server 端的防護機制己能達到相當豐碩的效果、但 Client 端仍舊不能掉以輕心,在郵件方面 MUA 可使用的防護程式有:
CLOUDMARK、Comodo Antispam 2005... 等。網頁瀏覽方面
NetCreft、SpoofGuard、SpoofStick、Deepnet Explorer...
等。另外可再配合加上各家的防毒軟體,如此一來將可達到防治病毒、詐騙的最大效果。
CLOUDMARK
CLOUDMARK 是一套需付費的軟體,但它提供使用者可以在每一封信加上 Cloudmark 個人化簽名檔告訴收件者 Cloudamrk
的好處。每成功介紹一位朋友使
用 CLOUDMARK,你的使用期限將免費增加一個月。它是一套必需依附在 MUA 端運作的軟體,諸如 Microsoft Outlook
2003/XP/2000、Microsoft Outlook Express 5/6。透過信任度評價系統 (Trust Evaluation
System,TeS) 和特殊的功能,立即處理來自全球的垃圾郵件。
自動評等機制,一開始使用者會被列為一般等級。隨著回饋次數的增加,等級會隨著提高。如果使用者都回饋不正確的內容,會馬上被降等。使用者正確的回饋會馬
上處理,而干擾與搗蛋的回饋會被拒絕。因此使用者不必擔心垃圾郵件會偷偷的溜進你的收件匣。
- 收到信件時,Cloudmark 立即產生一組數位指紋向 Cloudmark 資料庫進行檢查比對。
- 資料庫立即分析數位指紋,進行過濾的動作,區分正常信與垃圾信。資料庫的基礎是由每位 Cloudmark 的使用者回報所集結而成。
- 指紋分析結果若判定為垃圾郵件,馬上加以封鎖,移到垃圾郵件 SPAM 信件匣。
- 如果遇到 Cloudmark 判斷錯誤的時候,使用者可以利用封鎖或放行按鈕讓 Cloudmark
智慧學習。當使用者按下封鎖鍵,會產生一組指紋回報到 Cloudmark
中心進行分析,信任度評價系統依照使用者的等級以及這封郵件的風險值決定是否被封鎖。這些動作完全是即時發生,以保護我們 E-Mail
免於被垃圾郵件淹沒。
NetcraftToolbar
NetcraftToolbar
是一套安裝於使用者瀏覽器的工具,他可以在使用者瀏覽網站時做最即時的檢查。他可以針對每一個使用者參觀過的網站,查看其主機名稱及風險率的評估。也可以
針對網站的DNS網域進行調查、比對。並與 Netcraft
所提供的資料庫進行比對,並在瀏覽器上即時顯示出使用者所瀏覽中的網站之安全性。若達到危險性高時,利用彈跳視窗提醒使用者。
Netcraft 另外一個特色是允許使用者查詢所瀏覽的網站 DNS
網域相關資訊,包括該網站所使用的平台等資訊均可一覽無遺。並提供檢舉功能,使用者若發覺所瀏覽的網站可能是一詐騙網時,可以向 Neteraft
回報。Neteraft 便會寫入其資料庫,並提供給其他使用者。
SpoofStiek
相較於 NeteraftToolbar、SpoofStiek 是一套較為陽春的 Toolbar。他的目的主要在於用醒目的文字,提醒使用者所正在瀏覽的網站其主機位址為何,並給予簡易的提醒。例如當使用者瀏覽網站時,所顯示的網址過長:
http://signin.ebay.eom/aw-egi/eBayISAPI.dll?Signln&UsingSSL=O&pUserld=&ru=http%3A%2F%2
Feontaet.ebay.eom%2Fws1%2FeBayISAPl.d11%3FShowCoreAskSellerQuestion%26requested%3Odominiesmusie
%26de%30off%26iid%3037I1129021%26frm%30284%26aeeepteookie%300%26logineonfnrmed%300%26redireet
%300%26pass%30%7B_pass%70%26userid%30&pp=pass&eo_partnerid=2&pageType=711
SpoofStiek 會把其 DNS 主機給顯示出來 " You're on ebay.com " 。
Deepnet Explorer
Deepnet Explorer 則是使用瀏覽器的型態提供使用者較安全、完整的防護。是世界上第一套同時俱有 RSS 新聞閱讀器、P2P 客戶端介面、與釣魚警告機制於一身的瀏覽器。使用者亦可自行設定黑、白名單。本身也具有快顯、跳窗封鎖列功能。
研究與使用成果
經過測試,Server 端的工具對於過濾廣告垃圾或是釣魚郵件的成果是有效的,約百分之八十的機率真的能夠針對相關特徵去過濾。而且其實
Server
端的判別機制也不能太嚴苛,因為每個人對於信件的分類定義(像是垃圾郵件、普通信件、廣告信件等)不一,所以必須用大眾化且明顯的特徵去篩選,否則可能誤
刪使用者所訂閱的廣告信件也是另一種問題了。當然現在日新月異的手法還是得靠著人工的方法去判別,Client
端的工具有很大的彈性是可以根據自己的需求去判別是否為 phishing 或 Spam,並累積自己一套的過濾、機制(像建立完善黑白名單等),配合
Server 端將可以更有效降低被網路詐騙的機會。
落實資安教育方為根本
透過網路釣魚技術與手法和防護工具與理論的探討後,應該可以發現現今的網路釣魚、方式千奇百怪,防不勝防。然而,最有效的方法還是需建立起使用者的
認知,讓使用者有了良好的資訊習慣以及網路知識和充分的教育訓練,如此才能有效杜絕網路詐騙。在本文所探討的皆屬於技術層面,但是如果沒有相對應的教育訓
練或是概念的話,單單靠工具是毫無作用的。例如可以在學校內明確規定資料傳送或取得應透過哪幾個步驟與安全政策、要怎麼回報偵測到的釣魚網站與信件等,或
是個人密碼要多久更改一次,並且善用數位簽章、雙重認證 (two-dimension authentieation)
(例如自然人憑證&密碼) 與上述談到的工具,相信是可以大幅減低上當受騙的機率。