在短短幾周內,我收到了幾家銀行發來的電子郵件,警告我我的網上銀行服務有被停用的危險;eBay 告訴我需要更改密碼;蘋果公司抱怨我拖欠了音樂下載的費用;一家航空公司邀請我填寫一份調查問卷,快速賺取 50 美元;紅十字會請求我捐款幫助中國地震災民。
這些資訊都非常具有說服力,看起來也很真實。除了
eBay 的資訊,然而,它們都是被稱為“網路釣魚”的欺詐性電子郵件。
網路釣魚郵件是由騙子構建的,看起來像是合法的通訊,通常
來自熟悉且信譽良好的公司,並且通常要求受害者採取緊急行動以避免某種後果或獲得獎勵。期望的回應通常涉及登入網站或撥打電話號碼以提供個人資訊。有時,受害者只需要點選連結或開啟電子郵件附件,他們的計算機就會感染惡意軟體——稱為惡意程式——這使得網路釣魚者能夠檢索他們想要的資料或控制受害者的計算機以發起未來的攻擊。儘管網路釣魚詐騙的細節可能有所不同,但結果通常是相同的:成千上萬毫無戒心的受害者向犯罪分子提供資訊,然後犯罪分子利用這些資訊闖入他們的
賬戶並竊取他們的金錢或身份,或兩者兼而有之。
反網路釣魚工作組是一個致力於消除網際網路詐騙和欺詐的國際組織聯盟,它跟蹤網路釣魚活動,包括每月檢測到的唯一網路釣魚網站的數量。2007 年,每月總數高達 55,643 個。在 2007 年的每個月,有 92 到 178 個不同的公司品牌被“網路釣魚”——這意味著他們的名稱或徽標被用來欺騙受害者,讓他們以為自己是在與受信任的機構打交道。根據研究和諮詢公司 Gartner 的資料,估計去年有 360 萬美國人成為網路釣魚的受害者,導致損失超過 32 億美元。
支援科學新聞事業
如果您喜歡這篇文章,請考慮訂閱以支援我們屢獲殊榮的新聞事業。 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續報道有關塑造我們當今世界的發現和思想的具有影響力的故事。
由於利害攸關,計算機安全界一直在爭先恐後地開發技術來打擊網路釣魚,例如電子郵件和網路瀏覽器的過濾器,這些過濾器可以標記網路釣魚企圖。儘管此類軟體已幫助阻止了許多攻擊,但網路釣魚者仍在不斷發展其策略,試圖領先於此類技術一步。由於網路釣魚利用了人性的弱點——一次成功的攻擊需要受害者
屈服於誘惑並採取某些行動——因此它也不僅僅是一個技術問題。因此,我在卡內基梅隆大學的研究小組正在研究教導人們識別和避免網路釣魚詐騙的最佳方法。反過來,這項研究正在為我們反網路釣魚軟體的設計提供資訊,以便人們更有可能正確使用它。由於人為因素是網路釣魚攻擊成功的關鍵要素,我們發現它們也可以成為阻止網路釣魚者的重要武器。
可教育的時刻
當我們在 2004 年開始嘗試瞭解人們為何會上當受騙時,我的同事曼迪·霍爾布魯克和朱莉·唐斯在匹茲堡街頭招募人們進行採訪。大多數人不知道網路釣魚,並認為這個詞“與 Phish 樂隊有關”。其他人知道使用金融機構名稱的電子郵件詐騙,但他們沒有意識到看似來自零售商的訊息也可能是欺詐性的。大多數人對如何識別網路釣魚電子郵件知之甚少,並且傾向於依賴膚淺的特徵,例如徽標或專業外觀,來確定其是否合法。他們也不理解網路瀏覽器顯示的安全訊息,也不知道如何使用網址和電子郵件訊息中的提示來判斷其真實性。
在確認迫切需要對網際網路使用者進行網路釣魚教育之後,我們的下一步是回顧現有的反網路釣魚培訓工作,以試圖瞭解它們為何顯然不起作用。我們發現公司、政府機構和行業協會提供了各種各樣的專門用於反網路釣魚培訓的網站。其中一些網站包含大量技術術語和超出非技術計算機使用者可能消化的資訊。一些網站提供了良好的背景知識來提高對網路釣魚威脅的認識,但在如何保護自己方面幾乎沒有提供可操作的建議。事實上,我們在實驗室研究中發現,一些在提高認識方面最好的反網路釣魚材料卻讓人們對合法網站過於懷疑。
更糟糕的是,公司傳送給員工或客戶以警告他們網路釣魚攻擊的訊息在很大程度上被忽略了。然而,我們確實瞭解到,讓研究志願者閱讀看起來像網路釣魚訊息的電子郵件比讓他們閱讀與安全相關的電子郵件要容易得多。因此,我們的研究似乎表明,抽象地瞭解網路釣魚並不能轉化為保護,但親身經歷網路釣魚可能會提供一個強大的可教育時刻。
考慮到其中的一些見解,我的團隊成員,Ponnurangam Kumaraguru、Alessandro Acquisti 和其他人,開發了一個名為 PhishGuru 的培訓系統,該系統在使用者上當受騙模擬的網路釣魚訊息之後傳遞反網路釣魚資訊。該程式將一套關於網路釣魚的簡潔且可操作的訊息融入到簡短的卡通片中,其中一個名為 PhishGuru 的角色教導潛在的受害者如何保護自己。在一系列研究中,我們證明,當人們
在被我們傳送給他們的模擬網路釣魚電子郵件欺騙後閱讀卡通片時,他們不太可能再次被隨後的攻擊所欺騙。即使在一週後,我們的測試物件仍然保留了他們所學到的知識。相比之下,那些透過電子郵件閱讀傳送給他們的 PhishGuru 卡通片,但沒有經歷模擬攻擊的人,非常容易被隨後的攻擊所欺騙。
擴充套件這一原則,我的研究生之一史蒂夫·盛還開發了一個名為 Anti-Phishing Phil 的線上培訓遊戲,該遊戲教導人們如何在提供被網路釣魚者“抓住”的體驗的同時識別可疑的網站地址。玩家扮演菲爾的角色,一條年輕的魚,它必須檢查與其遇到的蠕蟲相關的網址,並確定哪些是可以安全食用的。當菲爾試圖咬住帶有欺詐地址的蠕蟲時,他會被魚鉤鉤住並被拉出水面。然後,一條更年長、更明智的魚出現在現場,並解釋菲爾錯在哪裡。透過實驗室和實地研究,我們表明該遊戲顯著提高了使用者識別網路釣魚網站的能力。比較他們在培訓前後的表現,我們看到誤報(網路釣魚網站被錯誤地認為是合法的)和誤判(合法網站被判斷為網路釣魚網站)的數量都有所下降。遊戲玩家的表現也優於接受教程或來自其他來源的材料培訓的參與者。
儘管我們已經證明我們可以教導人們保護自己免受網路釣魚者的侵害,但即使是受過教育的使用者也必須保持警惕,並且可能需要定期再培訓以跟上網路釣魚者不斷發展的策略。反網路釣魚工作組報告稱,今年致力於感染計算機密碼竊取程式碼的程式和網站數量急劇增加。 “魚叉式網路釣魚”攻擊是一種日益增長的趨勢,它是專門針對受害者的。這些攻擊可以採取傳送給公司員工的電子郵件的形式,這些電子郵件看起來像是來自該公司的一位經理,從而導致員工信任該訊息並開啟其附件。公司網站和社交網站上提供的資訊可以幫助攻擊者製作這些有針對性的訊息。
由於網路釣魚者是如此堅定的罪犯,因此不能期望個人計算機使用者單獨保護自己。我們的小組還開發了可以識別可能的網路釣魚攻擊的自動過濾器。但在這項工作中,我們也發現人類的反應對於過濾器的成功至關重要。
多管齊下的防禦
許多瀏覽器程式已經包含內建的安全過濾器,或者可以與附加程式協同工作以檢測可疑網站。然而,即使反網路釣魚軟體工具能夠正確識別網路釣魚網站,如果使用者選擇忽略其警告,它們仍然可能無效。為了瞭解為什麼有些人不理會此類安全訊息,我的另一位研究生塞爾吉·埃格爾曼向參與我們研究的志願者傳送了模擬的網路釣魚電子郵件。當接收者上當受騙並點選連結時,他們的 Web
瀏覽器中會觸發警告。然後,埃格爾曼發現,所有使用 Mozilla Firefox 2 瀏覽器的參與者都聽從了警告,而使用 Internet Explorer 7 (IE7) 的使用者經常忽略它們。我們確定,兩組響應的巨大差異很大程度上歸因於以下事實:IE7 使用者要麼沒有注意到警告訊息,要麼將其與不太嚴重的警告混淆了。微軟似乎也吸取了這個教訓,下一代 Internet Explorer 瀏覽器,
IE8,現在具有更清晰的警告訊息,類似於 Firefox 顯示的警告訊息。
除了清晰度之外,我們還發現準確性是影響使用者是否尊重自動過濾器警告的另一個關鍵因素。高誤報率會損害過濾器的可信度,並導致使用者在一段時間後忽略它。我們測試的反網路釣魚過濾器採用多種方法來識別網路釣魚訊息和網站。例如,大多數商業上可用的工具都使用已知網路釣魚網站的黑名單。隨著新網站的報告,它們會很快新增到列表中。一些工具還使用已知合法網站的白名單。
然而,大多數過濾器並不完全依賴此類列表。一些過濾器分析使用者訪問的每個網站,並應用啟發式方法的組合來確定該網站是否可能是欺詐性的。其中一些與我們訓練人們注意的訊號型別相同,例如以所有數字開頭的網址或看起來與知名品牌相似的地址。過濾器審查的其他功能包括人們不易看到的東西;例如,該工具可能會考慮網站的年齡,因為網路釣魚網站通常壽命極短,保持活動狀態的時間短至
幾個小時到幾天或幾周。
時間因素可能會對嚴重依賴黑名單的過濾器的效能產生影響。例如,我們的小組最近測試了八個消費者反網路釣魚程式,方法是向它們提供新鮮的網路釣魚 URL。我們發現,當我們收到 URL 後幾分鐘內對其進行測試時,大多數黑名單程式捕獲的網路釣魚網站少於 20%。五小時後,大多數程式可以檢測到大約 60% 的活動網路釣魚網站。使用黑名單和啟發式方法組合的程式表現要好得多,其中一個程式從
測試開始時就檢測到近 90% 的網路釣魚攻擊。
我們的小組一直在研究使用機器學習技術來檢測網路釣魚電子郵件的程式。這是一種用於檢測垃圾郵件的常用方法,但垃圾郵件檢測器在處理網路釣魚訊息時不是很準確,網路釣魚訊息通常看起來是合法的。我們團隊的一名成員諾曼·薩德正在領導一項開發工具的工作,我們最初稱之為 PILFER,該工具分析電子郵件中可能指示網路釣魚的各種特徵。例如,網路釣魚電子郵件通常包含看起來像知名網站地址的超連結文字,但實際的
嵌入式計算機程式碼將使用者定向到攻擊者的站點。此外,網路釣魚電子郵件中的網址通常包含五個或更多個點,並指向最近註冊的域名。然而,並非所有網路釣魚電子郵件都包含這些特徵,有時合法電子郵件也包含這些特徵。因此,研究人員透過向程式(我們已將其重新命名為 Phish-Patrol)提供大量
合法和網路釣魚電子郵件,以便它可以分析這些訊息並瞭解哪些特徵組合最有可能出現在網路釣魚電子郵件中。在我們最新的實驗中,Phish-Patrol 能夠檢測到超過 95% 的網路釣魚訊息,同時僅對約 0.1% 的合法訊息觸發誤報。
我們還將 PhishPatrol 中使用的一些功能與其他方法結合起來,以檢測網路釣魚網站。傑森·洪一直在領導我們小組開發一種名為 CANTINA 的工具,該工具分析網頁內容並結合其他啟發式方法來確定該頁面是否為網路釣魚網站的一部分。CANTINA 首先採用一種著名的資訊檢索演算法來識別給定網頁上重要但在整個網際網路上相對不常見的五個術語。例如,在 eBay 登入頁面上,這種“詞彙簽名”可能是“eBay、使用者、登入、幫助、忘記”。如果您使用 Google 搜尋這五個術語,合法的 eBay 登入頁面將出現在頂部搜尋結果中。複製了 eBay 登入頁面的網路釣魚網站不太可能出現,因為 Google 的專有演算法在對網頁進行排名時使用的標準之一是來自網際網路上其他頁面的連結數量,因此合法頁面更有可能出現在頂部結果中。然而,這種方法並非萬無一失,特別是如果合法網站是最近建立的;因此,它只是 CANTINA 在評估網站時考慮的幾個功能之一。
不斷演變的威脅
我們計算機安全界並不是唯一不斷尋求提高效能的人。隨著反網路釣魚技術越來越好,攻擊者也在調整他們的策略。網路釣魚訊息現在正在透過即時通訊工具和手機簡訊傳送。網路釣魚者正在使用線上遊戲(如《魔獸世界》)和社交網站(如 MySpace 和 Facebook)的訊息功能來引誘他們的受害者。另一種型別的網路釣魚攻擊涉及在公共場所設定 Wi-Fi 接入點並欺騙(模仿)合法 Wi-Fi 供應商的登入頁面。這些攻擊用於竊取受害者的密碼以及用惡意軟體感染他們的計算機。
有組織的網路釣魚團伙利用數千臺被入侵的計算機作為
他們攻擊的發射點。例如,一個據信總部位於東歐的名為“Rock Phish 團伙”的團伙使用被入侵的計算機將訊息中繼到網路釣魚站點。因此,它可以傳送看起來源自這些計算機的網路釣魚訊息,從而掩蓋實際網路釣魚站點的網址,並使執法部門難以找到攻擊的真正來源。
該團伙使用的另一種規避策略是安全專家稱為“快速通量”的系統,其中網路釣魚者操縱網際網路域名伺服器以不斷更改與網路釣魚域名相對應的數字地址。
當然,只有當網路釣魚者有辦法將盜取的信用卡
號碼和其他憑據兌換成現金時,網路釣魚才有利可圖。因此,網路釣魚者經常透過廣告招募“騾子”來填補在家工作的職位,或者透過與網際網路使用者交朋友並說服他們網路釣魚者需要他們的幫助。“騾子”通常是不起眼的受害者,他們可能認為自己被僱用從事合法工作。然而,“騾子”的真正工作是轉移被盜資金,併成為如果執法部門發現時被抓住的人。
透過不斷改進網路釣魚檢測軟體並向用戶宣傳新型別的網路釣魚攻擊(一旦發現),可以減少網路釣魚受害者的數量。協調國際執法工作並找到使網路釣魚減少利潤的方法也將有所幫助。儘管如此,網路釣魚仍然是一場軍備競賽,如果不從源頭上阻止它,就很難完全消除,因此消費者需要他們可以獲得的各種形式的保護。