在短短幾周內,我收到了幾家銀行發來的電子郵件,警告我我的網上銀行服務有被停用的危險;eBay 告訴我我需要更改密碼;蘋果公司抱怨我拖欠了音樂下載的賬單;一家航空公司提供給我一個快速賺取 50 美元的機會,讓我填寫一份調查問卷;紅十字會要求我捐款幫助中國地震災民。這些資訊都非常令人信服,看起來也很真實。然而,除了 eBay 的資訊外,它們都是被稱為“網路釣魚”的欺詐性電子郵件。
網路釣魚郵件是由騙子構建的,看起來像是合法的通訊,通常來自熟悉且信譽良好的公司,並且通常要求受害者採取緊急行動以避免後果或獲得獎勵。期望的回應通常涉及登入網站或撥打電話號碼以提供個人資訊。有時,受害者只需點選連結或開啟電子郵件附件,他們的計算機就會感染惡意軟體——稱為惡意軟體——從而使網路釣魚者能夠檢索他們想要的資料或控制受害者的計算機以發起未來的攻擊。儘管網路釣魚詐騙的細節可能有所不同,但結果通常是相同的:成千上萬毫無戒心的受害者將資訊提供給犯罪分子,然後犯罪分子利用這些資訊闖入他們的帳戶並竊取他們的金錢或身份,或兩者兼而有之。
反網路釣魚工作組是一個致力於消除網際網路詐騙和欺詐的國際組織聯盟,它跟蹤網路釣魚活動,包括每月檢測到的唯一網路釣魚網站的數量。2007 年,每月總數高達 55,643 個。在 2007 年的每個月中,有 92 到 178 個不同的公司品牌被“網路釣魚”——這意味著他們的名稱或徽標被用來欺騙受害者,讓他們以為自己正在與受信任的機構打交道。根據研究和諮詢公司 Gartner 的資料,去年估計有 360 萬美國人成為網路釣魚的受害者,導致損失超過 32 億美元。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和思想的具有影響力的故事的未來。
由於事關重大,計算機安全界一直在爭先恐後地開發技術來打擊網路釣魚,例如用於電子郵件和 Web 瀏覽器的過濾器,這些過濾器可以標記網路釣魚嘗試。儘管此類軟體已幫助阻止了許多攻擊,但網路釣魚者仍在不斷發展其策略,以試圖領先於此類技術一步。由於網路釣魚利用了人類的脆弱性——一次成功的攻擊需要受害者屈服於誘惑並採取某些行動——因此,這也不僅僅是一個技術問題。因此,我在卡內基梅隆大學的研究小組正在研究教人們識別和避免網路釣魚詐騙的最佳方法。反過來,這項研究正在為我們反網路釣魚軟體的設計提供資訊,以便人們更有可能正確使用它。由於人為因素是網路釣魚攻擊成功的關鍵要素,我們發現它們也可以成為阻止網路釣魚者的重要武器。
可教育的時刻
當我們於 2004 年開始嘗試瞭解人們為何會上當受騙進行網路釣魚攻擊時,我的同事曼迪·霍爾布魯克 (Mandy Holbrook) 和朱莉·唐斯 (Julie Downs) 在匹茲堡街頭招募人員進行採訪。大多數人都沒有意識到網路釣魚,並認為這個詞“與 Phish 樂隊有關”。其他人知道利用金融機構名稱的電子郵件詐騙,但他們沒有意識到看似來自零售商的訊息也可能是欺詐性的。大多數人對如何識別網路釣魚郵件知之甚少,並且傾向於依賴膚淺的特徵,例如徽標或專業外觀,來確定其是否合法。他們也不瞭解 Web 瀏覽器顯示的安全訊息,也不知道如何使用 Web 地址和電子郵件訊息中的線索來判斷其真實性。
在確認確實非常需要教育網際網路使用者瞭解網路釣魚之後,我們的下一步是審查現有的反網路釣魚培訓工作,以試圖瞭解它們顯然不起作用的原因。我們發現公司、政府機構和行業協會提供了各種專門用於反網路釣魚培訓的網站。其中一些網站包含大量技術術語和比非技術計算機使用者可能消化的更多資訊。一些網站提供了良好的背景知識來提高對網路釣魚威脅的認識,但幾乎沒有關於人們如何保護自己的可行建議。事實上,我們在實驗室研究中發現,一些在提高意識方面最好的反網路釣魚材料讓人們對合法的網站過於懷疑。
更糟糕的是,公司傳送給員工或客戶以警告他們注意網路釣魚攻擊的訊息在很大程度上被忽略了。然而,我們確實瞭解到,讓研究志願者閱讀看起來像網路釣魚郵件的電子郵件比讓他們閱讀與安全相關的電子郵件要容易得多。因此,我們的研究似乎表明,對抽象的網路釣魚的認識並不能轉化為保護,但與網路釣魚的第一手經驗可以提供一個強有力的可教育的時刻。
考慮到其中的一些見解,我的團隊成員龐努朗加姆·庫馬拉古魯 (Ponnurangam Kumaraguru)、亞歷山德羅·阿奎斯蒂 (Alessandro Acquisti) 和其他人開發了一個名為 PhishGuru 的培訓系統,該系統在使用者上當受騙模擬的網路釣魚郵件後提供反網路釣魚資訊。該程式將一套關於網路釣魚的簡潔且可操作的訊息融入到簡短的卡通片中,其中一個名為 PhishGuru 的角色教導潛在的受害者如何保護自己。在一系列研究中,我們證明,當人們在上當受騙我們傳送給他們的模擬網路釣魚郵件後閱讀卡通片時,他們不太可能再次上當受騙。即使在一週後,我們的測試物件仍然保留了他們所學到的知識。相比之下,那些閱讀透過電子郵件傳送給他們的 PhishGuru 卡通片的人,而沒有經歷模擬攻擊,則非常容易上當受騙。
擴充套件這一原則,我的研究生史蒂夫·盛 (Steve Sheng) 還開發了一款名為 Anti-Phishing Phil 的線上培訓遊戲,該遊戲教人們如何在提供被網路釣魚者“抓住”的體驗的同時識別可疑的網站地址。玩家扮演菲爾 (Phil) 的角色,菲爾是一條年輕的魚,必須檢查與他遇到的蠕蟲相關的網站地址,並確定哪些蠕蟲可以安全食用。當菲爾試圖咬住地址欺詐的蠕蟲時,他會被魚鉤鉤住並被拖出水面。然後,一條年長而智慧的魚出現在現場,並解釋菲爾錯在哪裡。透過實驗室和實地研究,我們已經證明,該遊戲對使用者識別網路釣魚網站的能力產生了重大影響。比較他們在培訓前後的表現,我們發現假陰性(被錯誤地認為合法的網路釣魚網站)和假陽性(被判斷為網路釣魚網站的合法網站)的數量有所下降。遊戲玩家的表現也優於接受教程或其他來源材料培訓的參與者。
儘管我們已經證明我們可以教會人們保護自己免受網路釣魚者的侵害,但即使是受過教育的使用者也必須保持警惕,並且可能需要定期再培訓才能跟上網路釣魚者不斷變化的策略。例如,反網路釣魚工作組報告稱,今年致力於用密碼竊取程式碼感染計算機的程式和網站數量急劇增加。“魚叉式網路釣魚”攻擊是一種日益增長的趨勢,它是專門為受害者量身定製的。這些攻擊可以採取傳送給公司員工的電子郵件的形式,這些電子郵件看起來像是來自該公司經理的電子郵件,從而導致員工信任該訊息並開啟其附件。公司網站和社交網站上提供的資訊可以幫助攻擊者製作這些有針對性的訊息。
由於網路釣魚者是如此堅定的罪犯,因此不能期望個人計算機使用者單獨保護自己。我們的小組還開發了可以識別可能的網路釣魚攻擊的自動過濾器。但是在這項工作中,我們也發現人類的反應對於過濾器的成功至關重要。
多管齊下的防禦
許多瀏覽器程式已經包含內建的安全過濾器,或者可以與用於檢測可疑網站的附加程式一起使用。然而,即使反網路釣魚軟體工具能夠正確識別網路釣魚網站,如果使用者選擇忽略其警告,它們仍然可能無效。為了瞭解為什麼有些人不理會此類安全訊息,我的另一位研究生謝爾蓋·埃格爾曼 (Serge Egelman) 向參與我們研究的志願者傳送了模擬的網路釣魚郵件。當接收者上當受騙並點選連結時,他們的 Web 瀏覽器中觸發了警告。然後,埃格爾曼發現,所有使用 Mozilla Firefox 2 瀏覽器的參與者都注意到了警告,而那些使用 Internet Explorer 7 (IE7) 的參與者通常會忽略它們。我們確定,兩組人的反應差異如此之大的主要原因在於,IE7 使用者要麼沒有注意到警告訊息,要麼將其與不太嚴重的警告混淆了。微軟似乎也吸取了這一教訓,下一代 Internet Explorer 瀏覽器 IE8 現在具有更清晰的警告訊息,這些訊息與 Firefox 顯示的訊息類似。
除了清晰度之外,我們還發現準確性是影響使用者是否尊重自動過濾器警告的另一個關鍵因素。高誤報率會破壞過濾器的可信度,並導致使用者過一段時間後忽略它。我們測試的反網路釣魚過濾器採用多種方法來識別網路釣魚郵件和網站。例如,大多數商業上可用的工具都使用已知網路釣魚站點的黑名單。隨著新站點的報告,它們會迅速新增到列表中。一些工具還使用已知合法站點的白名單。
然而,大多數過濾器並不完全依賴此類列表。有些過濾器會分析使用者訪問的每個網站,並應用啟發式方法的組合來確定該網站是否可能是欺詐性的。其中一些與我們培訓人們注意的訊號型別相同,例如以所有數字開頭的 Web 地址或看起來類似於知名品牌的地址。過濾器審查的其他功能包括人們不易看到的東西;例如,該工具可能會考慮網站的年齡,因為網路釣魚網站通常壽命極短,僅保持活動狀態幾個小時到幾天或幾周。
時間因素可能會影響嚴重依賴黑名單的過濾器的效能。例如,我們小組最近測試了八個消費者反網路釣魚程式,方法是將新鮮的網路釣魚 URL 饋送給它們。我們發現,當我們收到 URL 後幾分鐘內對其進行測試時,大多數黑名單程式捕獲的網路釣魚站點不到 20%。五個小時後,大多數程式可以檢測到大約 60% 的活動網路釣魚站點。使用黑名單和啟發式方法組合的程式表現要好得多,其中一個程式從測試開始就檢測到幾乎 90% 的網路釣魚攻擊。
我們的小組一直在致力於開發使用機器學習技術來檢測網路釣魚電子郵件的程式。這是一種用於檢測垃圾郵件的常用方法,但垃圾郵件檢測器在檢測通常看起來合法的網路釣魚郵件時不是很準確。我們團隊的一名成員諾曼·薩德 (Norman Sadeh) 一直在領導開發一種工具(我們最初稱之為 PILFER),該工具分析電子郵件中可能表明存在網路釣魚的各種特徵。例如,網路釣魚電子郵件通常包含看起來像知名網站地址的超連結文字,但實際嵌入的計算機程式碼將使用者定向到攻擊者的網站。此外,網路釣魚電子郵件中的 Web 地址通常包含五個或更多點,並指向最近註冊的域名。然而,並非所有網路釣魚電子郵件都包含這些特徵,有時合法的電子郵件也包含這些特徵。因此,研究人員透過向程式(我們已將其重新命名為 PhishPatrol)提供大量合法和網路釣魚電子郵件來訓練該程式,以便它可以分析這些訊息並瞭解哪些特徵組合最有可能出現在網路釣魚電子郵件中。在我們最近的實驗中,PhishPatrol 能夠檢測到超過 95% 的網路釣魚郵件,同時僅對大約 0.1% 的合法郵件觸發誤報。
我們還將 PhishPatrol 中使用的一些功能與其他方法相結合,以檢測網路釣魚網站。傑森·洪 (Jason Hong) 一直在領導我們小組開發一種名為 CANTINA 的工具,該工具分析網頁的內容並結合其他啟發式方法來確定該頁面是否是網路釣魚站點的一部分。CANTINA 首先採用一種眾所周知的資訊檢索演算法來識別五個術語,這些術語在給定的網頁上很重要,但在整個網際網路上相對不常見。例如,在 eBay 登入頁面上,此“詞彙簽名”可能是“eBay、使用者、登入、幫助、忘記”。如果您使用 Google 搜尋這五個術語,合法的 eBay 登入頁面將出現在頂部搜尋結果中。複製了 eBay 登入頁面的網路釣魚網站不太可能出現,因為 Google 的專有演算法在對網頁進行排名時使用的一個標準是來自網際網路上其他頁面的連結數量,因此合法頁面更有可能出現在頂部結果中。然而,這種方法並非萬無一失,尤其是當合法網站是最近建立的時候;因此,這只是 CANTINA 在評估網站時考慮的幾個功能之一。
不斷演變的威脅
計算機安全界的我們並不是唯一不斷尋求提高自身效能的人。隨著反網路釣魚技術的不斷改進,攻擊者也在調整他們的策略。現在,網路釣魚訊息正在透過即時通訊工具和手機簡訊傳送。網路釣魚者正在使用《魔獸世界》等線上遊戲以及 MySpace 和 Facebook 等社交網站的訊息傳遞功能來誘騙受害者。另一種型別的網路釣魚攻擊涉及在公共場所設定 Wi-Fi 接入點並欺騙(模仿)合法 Wi-Fi 供應商的登入頁面。這些攻擊用於竊取受害者的密碼以及用惡意軟體感染他們的計算機。
有組織的網路釣魚團伙利用數千臺被入侵的計算機作為其攻擊的發射點。例如,一個據信總部位於東歐、被稱為“Rock Phish 團伙”的團伙使用被入侵的計算機將訊息中繼到網路釣魚站點。因此,它可以傳送看起來源自這些計算機的網路釣魚訊息,從而掩蓋實際網路釣魚站點的 Web 地址,並使執法部門難以找到攻擊的真正來源。
該團伙使用的另一種規避策略是安全專家稱為“快速通量”的系統,該系統中的網路釣魚者操縱網際網路域名伺服器以不斷更改與網路釣魚域名相對應的數字地址。
當然,只有當網路釣魚者有辦法將盜取的信用卡號和其他憑據兌換成現金時,網路釣魚才有利可圖。因此,網路釣魚者經常透過宣傳在家工作的工作來招募“騾子”,或者透過與網際網路使用者交朋友並說服他們網路釣魚者需要他們的幫助。騾子通常是不知情的受害者自己,他們可能認為自己已被僱用從事合法工作。然而,騾子的真正工作是轉移被盜的錢,併成為執法部門抓住時被抓住的人。
透過不斷改進網路釣魚檢測軟體並教育使用者瞭解新型別的網路釣魚攻擊(當發現這些攻擊時),可以減少網路釣魚受害者的數量。協調國際執法工作並找到使網路釣魚利潤降低的方法也將有所幫助。儘管如此,網路釣魚仍然是一場軍備競賽,如果不從源頭上阻止它,就很難完全消除它,因此消費者需要他們可以獲得的每一種形式的保護。
注意:這篇文章最初以標題“網路釣魚可以被阻止嗎?”釋出。