什么是Web Phishing　

    　网络应用的快速发展，使得电子商务成为重要的商业模式，网上交易、电子支付已成为重要手段。为确保网上交易成功，必须解决内容保密和通信双方身份验证两个方面的安全问题。

　　数字签名及各种身份验证机制在协议层能够保证通信双方身份的真实性，但仍无法防御基于使用者的身份欺骗问题，这种身份欺骗的描述如下：

　　通信发起：协议方为Client，使用者为M，身份为I(M)；

　　通信接受：协议方为Server，合法者为A，身份为I(A)，欺骗者为B，身份为I(B)，B仿冒A的行为A(B)；

　　通信内容：Content。

　　B仿冒A欺骗M的流程：

　　通过上述四个步骤，B仿冒A对M进行欺骗。B通过各种技术手段，欺骗使用者M，使之认定B为A；之后，协议层实际上对B，而不是A的身份进行实际验证；而使用者M认为一直在和A进行通信；最终，B获得了M的所有秘密信息。

　　上述攻击采取各种技术，利用用户界面，对使用者进行欺骗。其通信行为符合正常的协议交互和验证规则，现有的身份验证机制，无法对其进行有效的监测和防御。因此，它对基于Web的应用，带来了巨大的安全威胁，这种威胁被定义为Web Phishing。

　　Phishing来源于两个词，Phreaking +Fishing=Phishing。其中，“Phreaking”是找寻在电话系统内的漏洞，不付电话费用；“Fishing”是使用鱼饵吸引猎物，也就是通常所讲的钓鱼。

　　其体现为借助社会行为（Society Engineering）和技术手段（Technical Subterfuge），通过模拟相同或相似的Web页面或网站，假冒合法者身份，误导用户通过网络，泄露个人身份（Identity）、银行账号及各种隐私信息，从而获取非法政治和经济利益。

　　攻击方式及防范技术

　　攻击方式

　　Web Phishing进行攻击的典型方式：

　　1.电子邮件（E-mail）群发；

　　2.即时信息（IM）传播；

　　3.终端代码网络重定向（Redirect）等。

　　攻击者使用群发工具，仿冒一个正规通知邮件（如银行），邮件内容中设置伪装覆盖的超级链接，诱使用户进入非法网站，然后通过各种技术获取个人信息；借助即时通信工具的普及性（如MSN、ICQ、QQ等），向终端用户发布伪造的官方通知，然后通过与E-mail相同的方式将用户引至非法网站，骗取受害人的个人信息；终端代码网络重定向则是将恶意代码植入用户终端，通过监视用户对特定域名或地址的访问，并重新定向至仿冒网站，进而获得有用信息。基于E-mail进行的Web Phishing，因易于实施而成为常用的攻击形式。

　　Web Phishing对社会造成了重大经济损失，APWG（Anti-Phishing Work Group）2005年10月～2006年10月的统计， 2006年10月份的Web Phishing 的次数为37444，同比增长757%，由此给社会造成了上百亿美元的经济损失；同时该报告显示，在Web Phishing 发生次数最多的国家中，中国仅次于美国位列第二。

　　防范技术

　　基于Web Phishing 的攻击原理，其防范可分为主动式防范与被动式防范两种模式。

　　主动式防范是指采用相关措施完成攻击预防功能，如基于全局的Phishing网站检测、邮件认证安全增强、基于端系统的特定敏感信息的连接过滤、基于被保护网站的相似网站判定。

　　被动式防范是采取相关措施完成事后控制与告警功能，如根据攻击举报建立网站和网络地址黑名单、基于黑名单在用户端安装报警通知工具条等。

　　主动式防范方式因其能够事前预防、降低风险，从而成为Web Phishing攻击防范的主流模式。

　　国际上已经建立了技术联盟，对Web Phishing进行技术研究，如Ant-Phishing Working Group(APWG)。其成员由2000多家著名的金融企业、商业企业和技术企业组成，如VISA、MasterCard、Microsoft、McAfee等，主要任务是对Web Phishing 进行受理、统计、趋势预测，同时提供基于各自企业的不同技术解决方案。

　　在防范技术上，Mark Goines 所在安全公司采用“报复”（Retaliatory）策略，通过向Phishing站点发送大量虚假信息，造成DOS效果，从而阻止它接收有用信息；MarkMoniter采用了实时监视域名注册和可疑聊天室的方法来查找Phishing站点；Corillian通过分析真正网站日志（Logs），来分析可能的Phishing行为；Engin Kirda和Christopher Kruegel等学者则采用浏览器插件的形式，实时分析用户提交的是否为敏感信息，并给用户及时地预警提示；Atsuo Inomata等针对电子邮件提出了6个指标参数，通过判断这些参数与钓鱼邮件的相关性，过滤钓鱼邮件；Madhusudhanan等通过模拟用户的反映，发现钓鱼网站；Daeseon Choi等设计了一套信息审计系统，对被保护域内的敏感信息进行检测，防止信息的泄漏。

　　国内对Web Phishing 攻击，有一定程度的关注，但仅限于对用户进行宣传“如何避免Phishing攻击”；对具体的防范模型、算法和技术，则缺少研究。

　　我国香港城市大学专门成立了Web Phishing研究组，W. Liu、X. Deng、G. Huang和 A.Y. Fu等学者，主要技术采用了基于网页可视图像匹配技术，对Web的相似性算法，进行了一定的研究，取得了一定的成果，在国际上有一定的影响。

　　总之，由于Web Phishing是一种新型网络安全攻击形式，从学术角度看，国际、国内对其防范模型和技术的研究刚刚起步，较高水平的理论研究尚待进展。

　　现有技术分析

　　从技术角度看，加强E-mail系统和各种机构网站本身的安全性是解决Web Phishing问题的最好方案。但由于不同网络应用标准、各种应用方案、各种用户素质和不同利益关系的存在，现在还无法做到使用统一的安全机制，保证E-mail系统和各种交互网站的安全。因此，从Web Phishing的攻击原理出发，设计合理的防范模型，采用有效的机制来监测、阻止、取消攻击的产生将是可行的解决方案。

　　1.采用“报复”策略，没有解决如何发现和判定Web Phishing，而只是一种网络阻止手段，它给网络本身带来较大的流量负载；

　　2.监视注册域名的策略，无法解决整个Internet的全局监控问题，因为域名注册本身是一种分布式行为，而且Web Phishing 的攻击并非一定需要域名地址的存在；

　　3.Rachna Dhamija、J.D.Tygar等客户端浏览器中，采用插件方式，实时监视用户的网上输入数据，若判定为敏感信息即弹出警告，由用户决定下一步的行动，但Rachna Dhamija等的实验表明，50%以上的用户对系统的各种安全警告熟视无睹；

　　4.对邮件服务器内的所有邮件进行分析，存在效率问题，同时涉及个人隐私；

　　5.通过模拟用户行为的方式，虽然能判断出假冒网站，但无法防范桥接攻击和机器人检测程序，同时会占用一定带宽；

　　6.Daeseon Choi等设计的信息审计系统，虽能有效地保护内网用户的信息安全，但牺牲了效率，同时审计策略的制定也直接影响到网络可用性；

　　7. W. Liu、 X. Deng、 G. Huang对基于HTML文档的视觉属性进行研究，通过分析HTML文档的固有属性来抽取其特征值，首先将网页分解为可见的静态块，然后使用三种尺度对网页的相似性进行评价，三种尺度分别为block level、layout和 overall style，这种方法对于Web Phishing网站和被攻击网站都是HTML的情形，具有一定的合理性，但许多攻击者为了逃避监测，网页通常采用图像形式，来模仿真正的网站，在这种情形下，所提算法将不再适用；

　　8.Anthony Y. Fu是针对上述不足进行了改进，首先通过变换工具将网页转化为图像，对图像进行规格化，然后基于图像色素统计、利用EMD（Earth Mover Distance）算法对两个图像之间的相似度进行分析，实验结果与W. Liu、 X. Deng和G. Huang的研究结果来相比，准确率和查全率都有所提高，克服了HTML网站和基于图像网站无法匹配的缺陷，具有一定的优越性。但随着Web Phishing技术的不断变化，比如将Web页进行按比例的缩放，故意删除一些对视觉影响较小的模块时，该算法将不具有足够的适应性，系统整体的鲁棒性降低；同时该算法也没有考虑Web的不同位置对人的视觉及心理因素的影响。

　　从上面的分析可以看出，现有的Web Phishing防范技术主要存在以下两个方面的问题：

　　1.缺少主动式防范模型研究。现有的防范方案缺少全局系统分析，仅从用户角度提出了不同的技术和方法，这种机制显然无法满足大规模、分布式行业应用快速反应的需要；

　　2.现有技术的适应性较低。所有Web Phishing 的最终目标都是将用户诱导至Phishing网站，因此在Web相似分析的基础上，进行Phishing的判定将是最直接和有效的技术方案，同时不需要用户的判断、决策和参与。

　　将来的研究应在分析现有技术和算法不足的基础上，从基于人的视觉原理出发，结合图像处理算法，提出具有较高鲁棒性的相似匹配算法。

　　未来的研究方向

　　根据Web Phishing及其研究的发展历史和趋势，未来的研究应着重关注以下几个方面，并且针对主动式防范模式，应该加强协同防控技术和网页保护策略的研究。

　　协同防控技术

　　根据Web Phishing的非针对性和广泛性，协调网上的安全资源，及时报警，并封杀钓鱼网站是防范网络钓鱼的有效措施。将仿冒者发出欺诈邮件到其架设的假冒网站被封杀可以看成一个反钓鱼反应链，该链条反应越快则Web Phishing危害越小，如何加速该反映链，是一项社会工程，个人、服务提供商以及公安应更加紧密的协同。在该方面Web Service技术可能是发展方向。

　　网页保护技术

　　如何有效地保障重要网页的真实，完整也应是未来的研究重点之一。这涉及到网络的可信、可控等下一代网络技术。

　　为了增强现有技术的适应性，需要改进网页匹配算法和邮件过滤算法。

　　网页匹配算法

　　网页匹配算法是判断假冒网页的基础，也是检测和防止Web Phishing的关键，现有的基于DOM树，HTML特征以及图像特征的匹配算法还存在不足，特别是准确性和鲁棒性较差。有效的网页检测算法应能模拟人的识别理解过程，需要引入视觉心理学，行为学等，同时据此改进网页的特征提取算法。图像的处理，理解可能应用与网页的匹配。

　　邮件过滤算法

　　由于目前一般Web Phishing以邮件为诱饵，邮件检测是发现Web Phishing的捷径。该方法的重点是效率和隐私保护。每天网上的邮件数以亿计，从中发现钓鱼邮件有如大海捞针，需要极高的检测效率，同时邮件为私人信息，如何在尊重隐私权的前提下进行有效的检测也需要研究。

　　Web Phishing层出不穷，花样翻新，其研究应该向着深入、广泛、集成、实用、及时的方向发展。

本文选自：《中国教育网络》