前進！瓦片西西里 大搜秘！

相對於過去時常爆發大規模的蠕蟲癱瘓網路事件 (Slammer 、 Ninda 、 Netsky…) ，這兩三年來網路世界似乎平靜很多，主要的原因在於駭客已經改變了攻擊的目的，不再想出名炫耀、也不只是要證實自己的技術有多好，而是要實質的獲取利益，就如同 知名銀行搶匪 Willie Sutton 被問及為何要搶銀行時說了一句話：「因為那裏有錢。」。駭客運用的手法繁多，其中，網路釣魚 (Phishing) 已成為身份盜竊「產業」中成長最快速的技術之一。 2004 年 1 月，反網釣工作小組 (Anti-Phishing Working Group) 辨識出 174 個網釣網站，同年 12 月居然暴增超過 1,000 個。 2006 年，網路詐欺造成的消費者財務損失估計在 5 億 ( 根據美國聯邦交易委員會的統計 ) 到 20 億 ( 根據反網釣工作小組統計 ) 美元之間。國際知名資安組織 SANS 甚至發佈告警訊息： 2007 年將成為網路釣魚災害嚴重氾濫的一年。

網路釣魚？要怎麼釣？我被釣了嗎？

一般來說，網路釣客 (Phisher) 會發出大量的電子郵件偽稱自己是銀行、購物網站，基於某些因素 ( 例如用戶資料稽核需要、密碼到期或是中獎需要談報資料等 ) 要求收件者點閱信中的網址後進行資料確認或是更改。圖一是網路釣客盜用 PayPal 名義發出的釣魚信件內容：

圖一：偽稱 Paypal 的釣魚信件內容

如果收件者不疑有他，果真依照信中的說明連結該網址，將會看見如圖二的網頁畫面 ( 酷似 PayPal 的假網頁 ) ，並要求輸入一些重要的個人機密資料：

圖二：酷似 PayPal 的假網頁

這一類網路釣魚手法的登入頁面大都具有許多共通特徵，包括：從真正知名網站抓下來的圖片和連結、走 HTTP ( 而非 HTTPS ) 協定，以及在網址列中呈現 IP 位址 ( 而非一個網域名稱 ) 。當被害者輸入帳號密碼之後，網路釣客就可以輕易地得到這些資料。更甚者，有些釣魚網頁還會要求受害者繼續填寫其他更多的個人資料像是身分證字號、地址與聯絡電話、親屬名稱 ( 因為銀行行員會問及，網路釣客日後要到用帳號時必須知道 ) 等。

網路釣魚手法再精進：網址嫁接 (Pharming) 與魚叉式網路釣魚 (Spearing)

當然，經過媒體的大量報導之後，我們都被教育學會不要隨意亂點閱電子郵件中的網址連結，以免變成被釣的大魚。於是乎騙術更高明、設計更細膩的網釣技術 -- 網址嫁接 (Pharming) 以及魚叉式網路釣魚 (Spearing) 漸漸成為網路釣客們的主流作為。網址嫁接 (Pharming) 最早在 2004 年時就已經發現，它的實施手法是：網路釣客先設法入侵 DNS(Domain Name Server) 系統後，再竄改其存在 cache 裡的 Domain Name 與 IP 對映紀錄 ( 有人稱作 DNS cache 放毒 ) 。當使用者向這台 DNS 查詢網址時，就會被導引到一個網路釣客偽造的網站上而完全不自覺。受害者有可能在假網站中 ( 如仿真的網路銀行登入首頁 ) 留下重要的帳號密碼資料，或是因為瀏覽含有惡意程式的網站而遭植入木馬 (Trojan) 與鍵盤測錄程式，在往後的日子裡洩露更多的個人訊息。

除了在 DNS 伺服器動手腳，網路釣客也可以透過各種方式設法誘使受害者下載 %SYSTEMROOT%/system32/drivers/etc/hosts 檔案 (Windows 使用者 ) 存在自己的電腦中 ，這個檔案裡就包含了 IP 與 Domain Name 的對應紀錄，當使用者瀏覽網頁時，電腦會優先使用這個檔案中的紀錄，如果在該檔案中查無資料才會轉而詢問當地的 DNS 伺服器。利用這個手法，網路釣客就可以輕易迫使受害者連到自己預設的惡意網站中並留下珍貴的資料。

那麼，魚叉式網路釣魚 (Spearing) 又是怎麼做的呢？許多網站 ( 特別是 Portal) 的寫法大都採取多層次架構或是 Cross Site 連結的方式，當瀏覽者點擊網站某個按鍵或是超連結圖示時，就會被導引到另一個 Site( 可能是 AP 伺服器 ) 執行一段程式或是開啟網站內頁的畫面。利用這樣的架構，網路釣客先入侵 Portal Si te( 銀行與 B 2C 、 C 2C 網站往往是首選 ) 後，竄改連結內頁的路徑到自己架設的網站 ( 當然外表看起來與真的內頁網站一模一樣 ) ，於是，當受害者開啟瀏覽器瀏覽這個 Portal 站時，就會非常容易在毫無防備的情況下連結到假網頁，即使一開始連線的 Portal 站正確無誤。

如何做到有效的網路釣魚防禦？

當網路金融活動越來越頻繁，網路釣客也就變得越來越貪婪。網路犯罪有相當的隱匿性，不僅破案困難，加上獲利可觀，因此也就不難想像為什麼幾乎每週都有網路釣魚事件被媒體報導。想要做到有效的防禦，當然要先從了解網路釣魚手法開始，再逐步思考防護之道。圖三中詳述了網路釣客實行網路釣魚的過程：

• 入侵一台電腦，通常會選擇 Web 伺服器。
• 植入信件發送程式，大量寄發含有釣魚欺騙訊息的電子郵件。
• 收到信件的受害者依照信中指示點擊內含的網頁連結。
• 釣魚網站呈現在受害者的電腦螢幕上。
• 受害者在釣魚網站中輸入重要的個人資料。

圖三：網路釣魚過程五部曲

想要防護網路釣魚，除了不要隨意點擊電子郵件中的網頁連結之外，許多人會在自己的電腦中加裝辨識軟體，對惡意的釣魚網站建立黑白名單，以避免誤連後洩漏資料。然而，僅使用簡單的比對黑名單或是垃圾郵件過濾規則就希望杜絕網路釣魚的侵擾並不容易。於是，在網路的閘道端建置防禦機制 ( 例如入侵防禦系統 --IPS) ，針對進出的電子郵件與網頁連結做分析後，阻絕網路釣魚活動的進行是許多資安專家建議的方式。

網路釣客之所以可以讓釣魚手法順利進行，找到可以入侵的 Web 伺服器是很重要的關鍵。網路世界中有太多的 Web 伺服器存在有太多的漏洞 (Vulnerability) ，不論是作業系統本身；亦或是網站建置者常用的 IIS/Apache 軟體，如果更新稍有延遲，很容易遭駭客入侵後建立最高管理權限，植入各種程式。所以說，漏洞防禦的完整與否與網路釣魚是否可以順利開始息息相關，善用入侵防禦技術可以在閘道端將意圖入侵的封包攔阻，也是避免遭到網釣的關鍵。別忘了，網路釣客很可能利用您手上的 Web 伺服器去釣其他非您單位裡的人，常常會讓您成為代罪羔羊而不自知。

接下來的工作才是針對電子郵件內容以及網頁裡傳輸的訊息加以辨識與過濾。其中，幾個有效的作為諸如：

• 偵測並阻擋 mess-mailer 軟體發送大量的釣魚郵件。
• 阻攔以 HTML 格式內嵌偽造 eBay/PayPal 連結的電子郵件。
• 將電子郵件裡所列的網址連結與真實的 HTML page 不符的電子郵件。
• 電子郵件裡內嵌有 HTML 個是的表格，受害者填寫資料在表格中後會傳送到網路釣客預設的目的地中。
• 偵測是否使用 HTTP( 非 HTTPS) 傳送機密的金融帳號密碼資料、信用卡資料。
• 各個知名金融機構 ( 如花旗銀行 ) 登入網站的確認。

釣魚網站的辨識工具 -- 猴爪 (Monkeyspaw)

國際上有一個專門研究防範網路釣魚手法的組織 --APWG(Anti-Phishing Working Group) ，其首席專家 Tod Beardsley( 目前任職於 TippingPoint 的數位疫苗實驗室 DVLabs) 撰寫出一套可以偵測釣魚網站的工具程式叫做「猴爪」 ( Monkeyspaw ) ， 使用者可以免費下載後安 裝在自己的電腦上 (PS ： 瀏 覽器必需使用 FireFox) 。該工具會分析您所瀏覽的每個網站的詳細 資料， 包括 IP 位址與所屬所在地；運用 DNS Lookup 查詢 Domain 的登記者；伺服器基本資料；同時也支援將 異常網站資料傳送給資安組織與廠商功能。其詳細的安裝與操作方式請參看下面的網 址， 裡面的說明非常清楚易懂 http://www.planb-security.net/userscripts/monkeyspaw-howto.html

其他更多關於釣魚技術的訊息可以到 APWG 的網址找尋 http:// www.antiphishing.org

DVLabs-- 數位疫苗 (Digital Vaccine) 實驗室： TippingPoint DVLabs 網羅了業界的精英人員，如 Tod Beardsley--APWG(Anti-Phishing Working Group) 的首席專家、 Rohit Dhamankar--SANS 二十大攻擊報告的總編輯，也因此 DVLabs 不但於日前獲得 Frost & Sullivan 研究機構評選為成長最快速的新安全弱點發現者，同時也是發現高嚴重性資安威脅和 Microsoft 安全弱點的領導組織。