网络钓鱼邮件检测技术的研究与分析
如何识别和防范网络钓鱼邮件
网络钓鱼邮件已经成为现代社会中的一种常见网络欺诈手段。
通过虚假的邮件,骗取用户的个人信息,造成隐私泄露和财产损失。
今天,我们将讨论如何识别和防范网络钓鱼邮件。
一、认识网络钓鱼邮件的特点网络钓鱼邮件常常冒充正规机构或知名品牌发出,以获取用户的信任。
邮件的内容通常具有紧急性和欺骗性,要求用户点击链接或提供个人账户信息。
这些邮件往往语法错误、拼写错误较多,无法得到有效验证。
二、如何辨别网络钓鱼邮件1. 查看发件人邮箱地址:网络钓鱼邮件的发件人地址常常伪装成正规机构或公司,但细心观察可以发现其中的差异。
不要轻易相信发件人的身份,要通过其他途径验证。
2. 察看邮件的正文:网络钓鱼邮件通常使用恐吓、恐慌、紧急等手法,诱使用户点击附带的链接或下载附件。
要仔细阅读邮件内容,避免受到恶意软件的感染。
3. 检查邮件中的链接:网络钓鱼邮件往往包含伪造的链接,要谨慎点击。
将鼠标悬停在链接上,查看链接地址是否与邮件内容一致,正确的链接应该是域名与发件机构相关的网址。
4. 谨慎提供个人信息:网络钓鱼邮件通常会要求你提供个人信息或账户信息,如信用卡号码、密码等。
不要轻易泄露这些信息,正规机构不会通过邮件的方式索要这些敏感数据。
三、提高网络安全意识1. 加强密码保护:使用强密码,并定期更换密码。
不要使用容易被猜测的个人信息或简单的数字组合作为密码。
2. 安装网络安全软件:为了防止受到恶意软件和病毒的攻击,及时安装并更新杀毒软件、防火墙和反钓鱼软件。
3. 谨慎公布个人信息:在社交媒体平台和其他公开场合,尽量避免公布过多的个人信息,以免给不法分子提供可乘之机。
4. 保护个人隐私:网络钓鱼邮件的目标通常是获取个人隐私信息,因此要保护好自己的隐私,不随意在互联网上留下个人痕迹。
四、正确处理钓鱼邮件1. 不要点击陌生链接:如果收到可疑邮件,最好不要点击其中的链接或下载附件,以免受到恶意软件的感染。
2. 进行详细核实:如果你怀疑收到的邮件是网络钓鱼邮件,可以联系发件人核实邮件的真伪,避免受到欺骗。
如何识别和防止网络钓鱼邮件
如何识别和防止网络钓鱼邮件网络钓鱼邮件是一种通过伪装成合法机构或个人发送的虚假邮件,目的是欺骗用户提供敏感信息或进行非法活动。
为了保护自己的个人信息和财产安全,我们需要学会识别和防止网络钓鱼邮件。
本文将介绍一些识别和防止网络钓鱼邮件的方法。
一、识别网络钓鱼邮件的特征1. 发件人地址:网络钓鱼邮件的发件人地址常常是伪造的,看起来与原本的发件人相似。
但仔细观察,你可能会发现地址中存在拼写错误、多余的字符或其他异常情况。
如果你对发件人地址存在疑问,应该进一步核实。
2. 内容要求:网络钓鱼邮件通常以紧急、重要信息为诱饵,要求你立即采取行动或提供个人敏感信息,如银行账号、密码等。
合法的机构很少通过邮件来要求你提供这些信息,因此对于这类要求,你应该保持警惕。
3. 链接和附件:网络钓鱼邮件中的链接和附件可能包含恶意软件,一旦点击或下载,你的电脑和个人信息将面临风险。
如果你收到邮件中包含的链接或附件来路不明或你没有预期收到此类邮件,不要轻易点击或下载。
二、防止成为网络钓鱼邮件的受害者1. 保持良好的网络安全意识:学习有关网络钓鱼邮件的知识,时刻保持警惕。
了解网络钓鱼的常见手法和特点,学会识别可疑邮件,从而最大程度地降低成为受害者的风险。
2. 验证发件人身份:对于你不确定的邮件,验证发件人身份是很重要的。
可以通过其他渠道联系发件人,如电话或官方网站,核实邮件的真实性。
不要通过邮件中提供的电话号码或网址联系对方,因为这些信息可能被篡改。
3. 不要随意点击链接或下载附件:网络钓鱼邮件中的链接和附件往往是形成攻击的入口。
在点击链接或下载附件之前,验证其来源的可信度。
可以将鼠标停留在链接上,观察链接是否与所声称的目标一致。
或者,你可以手动输入可能的有效网址来访问所声称的网站。
4. 更新和使用安全软件:及时更新你的操作系统、浏览器和杀毒软件。
这些软件的更新通常包含对新发现的安全漏洞的修复,能够提供更好的保护。
另外,确保你的电脑上安装了可靠的防火墙和反间谍软件,以提高网络安全性。
如何识别和防范网络钓鱼邮件(一)
如何识别和防范网络钓鱼邮件随着互联网和电子邮件的普及,网络钓鱼邮件成为了一个严峻的安全问题。
网络钓鱼邮件指的是攻击者伪装成合法机构或个人,通过电子邮件发送欺骗性信息,诱使用户点击恶意链接、泄露个人信息或下载恶意软件。
本文将分享一些识别和防范网络钓鱼邮件的实用方法,帮助读者保护自己的在线安全。
1. 仔细检查发件人地址一个常见的网络钓鱼手法是伪造发件人地址,使其看起来与合法机构或个人相符。
然而,细心观察可以揭示这种欺骗。
首先,检查发件人地址的拼写和格式是否正确。
其次,注意域名是否与机构或个人的官方域名一致。
最后,悬停鼠标在邮件地址上,查看显示的完整地址是否与邮件显示的一致。
这些细节可以帮助我们分辨真伪。
2. 警惕语法和拼写错误网络钓鱼邮件往往有明显的语法和拼写错误。
攻击者通常并不像合法的机构或个人那样仔细审查和编辑邮件内容。
因此,如果你在邮件中发现了明显的错误,比如错别字、语法混乱或句子不通顺,那么极有可能是个骗局。
合法的邮件往往是经过专业编辑的,不太可能出现这类错误。
3. 谨慎对待附件和链接网络钓鱼邮件通常会附带恶意软件或链接,一旦用户点击或下载,就会导致计算机感染病毒或泄露个人信息。
因此,在打开任何附件或点击链接之前,要仔细思考并采取一些措施。
首先,确认附件或链接的发送者是否可信,判断是否是你预期的邮件。
其次,使用一款可靠的杀毒软件扫描附件或链接,以确保安全。
最重要的是,避免在收到邮件后匆忙行动,应该先核实和确认邮件的真实性。
4. 不轻易泄露个人信息网络钓鱼邮件的目的之一是获取用户的个人信息,如银行账号、信用卡号码或社交媒体密码。
因此,我们必须时刻保持警惕,不轻易泄露个人信息。
合法的机构或个人很少会通过电子邮件要求用户提供敏感信息。
如果你收到这类邮件,一定要以其他方式与机构或个人进行确认,确保邮件的真实性。
5. 更新系统和软件及时更新操作系统和软件是保护自己免受网络钓鱼攻击的重要措施。
经常性地更新可以修复已知的安全漏洞,确保计算机系统的安全性。
移动网络钓鱼邮件检测技术
移动网络钓鱼邮件检测技术随着移动互联网的快速发展,人们越来越频繁地使用手机和其他移动设备上网,然而网络钓鱼邮件的威胁也日益增多。
为了保护用户免受网络钓鱼攻击,移动网络钓鱼邮件检测技术应运而生。
本文将介绍移动网络钓鱼邮件检测技术的原理和应用。
一、移动网络钓鱼邮件的概念及危害网络钓鱼邮件是一种骗取用户个人信息的网络诈骗手段。
钓鱼邮件通常伪装成合法机构或个人发送的邮件,诱骗用户点击链接、下载恶意软件或输入个人敏感信息。
一旦用户中招,个人隐私和财产安全就会受到威胁。
二、移动网络钓鱼邮件检测技术的原理移动网络钓鱼邮件检测技术主要通过以下几个方面来辨别钓鱼邮件:1. 内容分析:该技术利用自然语言处理和机器学习算法分析邮件的内容,判断是否存在钓鱼特征。
例如,检测是否有恶意网址、虚假的邮件头部等。
2. 链接扫描:移动网络钓鱼邮件检测技术会提取邮件中的链接,并对链接进行扫描。
扫描的方式包括加密哈希等技术,以判断链接是否为恶意网址。
3. 发件人身份验证:该技术通过验证发件人的身份信息,比对其域名、IP地址等信息是否与已知的合法发件人相符。
同时,也可以通过反垃圾邮件技术对发件人进行评估。
4. 用户行为分析:移动网络钓鱼邮件检测技术还会分析用户的行为模式,检测是否存在异常。
例如,用户在收到邮件后频繁点击链接等。
三、移动网络钓鱼邮件检测技术的应用移动网络钓鱼邮件检测技术已经广泛应用于移动设备的安全防护中。
以下是一些主要的应用场景:1. 电子邮件客户端的安全筛选:移动设备上的电子邮件客户端可以通过移动网络钓鱼邮件检测技术,在用户收到邮件时进行自动检测和筛选,将可疑邮件置于垃圾箱或提示用户进行相关操作。
2. 浏览器插件的安全防护:一些浏览器插件和应用程序可以集成移动网络钓鱼邮件检测技术,帮助用户实时阻止访问钓鱼网站,避免受到网络钓鱼攻击。
3. 移动应用程序的防护:一些安全应用程序可以通过移动网络钓鱼邮件检测技术,监控用户手机上的邮件应用程序,并对邮件进行实时检测,提供警告和保护措施。
如何识别网络钓鱼邮件
如何识别网络钓鱼邮件在这个信息时代,网络钓鱼邮件已经成为了一种非常常见的网络犯罪手段。
这些钓鱼邮件往往伪装成银行、电商等知名企业的官方邮件,试图获取用户的个人隐私信息。
因此,如何识别这些危险的钓鱼邮件,成为每个互联网用户都应该关注的重要话题。
邮件发件人我们要仔细观察邮件的发件人地址。
一般来说,正规企业发送的邮件,发件人地址都是与企业品牌相关的域名,比如”service@company“。
而钓鱼邮件往往会使用一些看似相似的域名,如”service@company-support“。
这种略微不同的域名,就是钓鱼分子用来欺骗用户的常见手段。
邮件内容我们要认真阅读邮件的内容。
正规企业发送的邮件,通常会用友好、专业的语言进行沟通,并且内容会相对简洁明了。
而钓鱼邮件则常常会使用一些带有紧急感或诱导性的措辞,试图引起用户的焦虑情绪,促使其点击链接或提供个人信息。
附件和链接除此之外,我们还要格外警惕邮件中的附件和链接。
正规企业发送的邮件,通常不会包含可执行文件的附件,也不会要求用户点击链接前往第三方网站。
相反,钓鱼邮件经常会附带一些恶意程序,或者诱导用户点击链接访问钓鱼网站。
个人信息我们要注意,即使邮件看起来十分合法,也不应随意提供个人敏感信息。
正规企业一般不会通过电子邮件要求用户提供银行卡号、密码等隐私信息。
如果邮件中有这样的要求,我们就要高度警惕,不轻易上当。
识别网络钓鱼邮件需要我们保持高度警惕和谨慎。
我们要仔细观察邮件的发件人、内容、附件和链接,并且切记不要轻易泄露个人隐私信息。
只有这样,我们才能有效地保护自己,远离网络犯罪的侵害。
如何识别和防范网络钓鱼邮件(六)
网络钓鱼邮件是一种常见的网络安全威胁,通过伪装成合法组织或个人的邮件,骗取用户个人信息或诱导用户点击恶意链接而导致信息泄露或电脑受损。
如何识别和防范网络钓鱼邮件是我们每个人都应该关注的问题。
一、网络钓鱼邮件的特征网络钓鱼邮件通常具有以下特征,我们可以通过观察邮件来判断其真伪:1. 发件人地址异常:网络钓鱼邮件的发件人地址往往是虚假或伪装成合法的邮件地址,如果你收到一封邮件的发件人地址和邮件内容中的发件人不一致,就需要保持警惕。
2. 内容简单而单一:网络钓鱼邮件通常内容简单直接,目的是引起用户的好奇心或恐慌情绪,比如“您的账户被黑了,请点击链接查看详情”,这种邮件往往伴随着大量威胁性语言。
3. 恶意链接或附件:网络钓鱼邮件常常通过恶意链接或附件来诱导用户点击,这些链接或附件可能包含恶意软件,一旦点击或打开,个人信息就会被盗取。
二、如何识别网络钓鱼邮件1. 仔细检查邮件地址:确保发件人地址与邮件内容中的发件人一致,并且拼写正确。
2. 不要随便点击链接:如果收到一封含有链接的邮件,不要随便点击,可以将鼠标放置在链接上,查看链接是否可信。
如果链接不可信或包含诱导语言,最好不要点击。
3. 注意邮件内容:网络钓鱼邮件常常伴随着紧急性的语言和恐吓,如果邮件内容让你感到紧张或恐慌,最好进行二次确认,不要随意泄露个人信息。
4. 验证发件人身份:如果你收到一封来自银行或其他机构的邮件,要求你输入个人信息,最好通过其他途径验证发件人的身份,例如拨打客服电话咨询。
三、如何防范网络钓鱼邮件1. 安装网络安全软件:经常更新和使用可信的网络安全软件,可以帮助你过滤和拦截网络钓鱼邮件,保护个人信息的安全。
2. 教育员工和家人:网络钓鱼邮件不仅威胁个人用户,也是企业信息安全的重要威胁之一。
教育员工和家人如何识别和防范网络钓鱼邮件是至关重要的。
3. 强化密码安全性:使用强密码并定期更换密码是防范网络钓鱼邮件的有效手段。
避免使用过于简单的密码,并不要将相同的密码用于不同的账户。
网络钓鱼实验报告
一、实验背景随着互联网的普及和信息技术的发展,网络安全问题日益突出。
网络钓鱼作为一种常见的网络攻击手段,已经成为网络犯罪分子获取非法利益的重要途径。
为了提高对网络钓鱼的防范意识,本实验针对网络钓鱼进行了深入研究,通过模拟钓鱼攻击过程,分析钓鱼攻击的特点和防范措施。
二、实验目的1. 了解网络钓鱼的基本概念、攻击手段和危害;2. 掌握网络钓鱼的防范技巧;3. 提高网络安全意识和自我保护能力。
三、实验内容1. 网络钓鱼攻击模拟(1)选择目标:选取一家企业作为攻击目标,收集该企业的相关信息,包括员工邮箱、公司官网等。
(2)构建钓鱼网站:利用开源框架搭建一个与目标企业官网相似的钓鱼网站,确保钓鱼网站的外观、功能与目标企业官网高度相似。
(3)发送钓鱼邮件:利用邮件群发工具,向目标企业员工发送含有钓鱼链接的邮件,诱使用户点击链接。
(4)收集信息:当用户点击钓鱼链接后,引导其输入个人信息、账号密码等敏感信息,并收集这些信息。
2. 钓鱼攻击分析(1)钓鱼攻击特点:攻击者利用用户对知名企业或品牌的信任,通过构建与目标企业官网相似的钓鱼网站,诱使用户输入敏感信息。
攻击手段包括邮件钓鱼、短信钓鱼、社交平台钓鱼等。
(2)钓鱼攻击危害:钓鱼攻击会导致用户个人信息泄露、财产损失、声誉受损等严重后果。
同时,攻击者可能利用获取的敏感信息进行进一步攻击,如盗用账号、恶意软件植入等。
3. 防范措施(1)提高网络安全意识:加强员工网络安全培训,提高员工对钓鱼攻击的识别能力。
(2)强化邮件安全防护:设置邮件安全过滤机制,对可疑邮件进行拦截和报警。
(3)使用安全的网络环境:避免在公共Wi-Fi环境下进行敏感操作,使用安全可靠的浏览器和插件。
(4)加强账户安全防护:定期修改密码,设置复杂的密码,启用双因素认证等。
四、实验结论1. 网络钓鱼作为一种常见的网络攻击手段,对企业和个人都带来了严重威胁。
2. 钓鱼攻击手段不断演变,攻击者利用用户心理和信任,通过构建与目标企业官网相似的钓鱼网站,诱使用户泄露敏感信息。
网络安全中的反欺诈与反钓鱼技术防范分析
网络安全中的反欺诈与反钓鱼技术防范分析随着现代社会的高度数字化和网络化发展,网络安全问题成为了各个组织和个人必须面对和解决的重要挑战。
在网络交易、金融服务和在线支付等各个领域,诈骗和钓鱼攻击的事件屡见不鲜。
因此,实施有效的反欺诈和反钓鱼技术防范措施变得至关重要。
本文将对网络安全中的反欺诈与反钓鱼技术防范进行分析,并介绍几种常用的防范方法。
反欺诈技术是指在网络交易和金融服务中,利用各种技术手段检测和预防欺诈行为的方法。
欺诈行为可以是虚假交易、恶意访问或未经授权的使用等。
为了识别和防范这些欺诈行为,现代反欺诈技术使用了多种复杂的分析方法和算法。
其中一项常见的技术是行为分析,通过分析用户的行为模式和历史数据,识别出异常或可疑的行为。
例如,如果一个用户在短时间内多次尝试登录失败,系统就会将其标记为可疑行为,并采取相应的安全措施。
另一个重要的反欺诈技术是身份验证。
对于网络交易和金融服务来说,确保用户身份的真实性至关重要。
为了实现身份验证,许多机构使用了多因素认证方法。
这种方法结合了不同的认证因素,如密码、手机验证码、指纹或面容识别。
通过使用多种认证因素,可以提高身份验证的准确性和安全性。
与反欺诈技术类似,反钓鱼技术也是一项重要的网络安全措施。
钓鱼攻击是指攻击者伪装成合法机构或个人,通过发送虚假信息或欺骗用户来获取敏感信息。
为了防范钓鱼攻击,有几种常见的技术方法可以采用。
首先是域名验证。
攻击者通常使用与合法机构相似的域名来伪装自己的身份。
为了鉴别真伪,用户应该仔细检查域名是否拼写正确,并注意查看网站的安全标识。
此外,机构也可以使用域名验证技术,通过验证域名的合法性来遏制钓鱼攻击。
其次是反钓鱼邮件技术。
攻击者通常会通过电子邮件发送钓鱼链接或附件,诱使用户点击并暴露敏感信息。
为了应对这种情况,反钓鱼技术可以通过检测电子邮件内容、链接和附件的异常特征来标记垃圾邮件或钓鱼邮件。
用户可以通过谨慎检查电子邮件的来源和内容来避免受到钓鱼攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全技术与应用论文题目:网络钓鱼邮件检测技术的研究与分析系别专业班级:12级计算机科学与技术姓名:赵瑞学号:201201001008姓名:徐伟学号:201201001059网络钓鱼邮件检测技术的研究与分析一引言随着电子商务的迅速发展,网络钓鱼已经成为当前最主要也是增长最快的网络欺诈手段。
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于最初黑客是用电话实施诈骗活动,所以用“Ph”来取代了“F”,变成了现在的“Phishing”。
近几年,网络钓鱼开始变得猖獗,据统计,2010年中国新增钓鱼网站175万个,受害网民高达4411万人次,损失超过200亿元。
数据表明,钓鱼网站数量急剧上升,网民受害人数激增,网络钓鱼手段也变得越来越复杂。
其中钓鱼邮件是网络钓鱼的最常用手段,网络钓鱼者通过发送欺骗性的电子邮件或者伪造Web站点来进行诈骗活动。
受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。
诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
本文通过分析钓鱼邮件的特征,设计和实现了网络钓鱼邮件分析系统。
系统通过提取邮件的内容进行分析,提取可疑的URL,判断出邮件是否为网络钓鱼邮件,是目前检测钓鱼网站的有效工具。
二常见的钓鱼攻击技术研究人员认为,当前的网络钓鱼攻击技术主要是基于邮件以及浏览器漏洞等。
根据它们各自的特点,我们可以将这些攻击技术分为以下 4 个类别:基于Url 编码、基于 Web 协议漏洞、基于伪造 Email 地址和基于浏览器漏洞。
(一)基于Url 编码的技术在介绍这种技术之前,首先明确一点,目前使用的浏览器不仅支持基于 ASCII 码字符的Url地址,还能兼容除此以外的字符,并对以上全部字符进行编码处理。
其中 Url编码技术的实质就是把相应字符转换为十六进制并且加上“%”的分隔符。
例如,我们可以将 sina 的顶级域名后缀.cn 进行相关的 Url 编码处理,得到如下编码: %2E%63%6E 上述链接所要表达内容与 是一致的,2 个链接都是新浪主页的地址。
这对于普通互联网用户来说,上面的 Url链接比较陌生,所以当遇到此类编码时,用户就无法第一时间分辨出该链接是否是钓鱼链接。
钓鱼攻击者通过 Url编码可以提高 Url 链接的相似度,普通用户在惯性思维的思考方式下,很难辨别出这个链接是一个钓鱼网站链接,从而直接导致被欺骗。
(二)基于Web 漏洞的技术最近一段时间以来,网络攻击者的注意力开始转移到了 CSS 漏洞这个 web 漏洞中的大热门上来了。
能在网页中运行 JavaScript 语句是 CSS 的一大特点,但是也是 CSS 的最大漏洞,因为通过在网页上运行 JavaScript,网页制作者几乎可以从事任何他想做的事情。
其中,传统的基于 CSS 脚本漏洞的攻击主要是窃取用户在客户端与服务器之间的会话内容,或者是为了制造 web 蠕虫进而攻击整个web 业务,而在 CSS 漏洞除了能被这些直接攻击利用以外,还能被用于钓鱼攻击。
由于在 CSS 漏洞中,网页内运行被插入的任意JavaScript 脚本语言,就能导致网页页面内容被篡改掉。
(三)基于伪造Email 地址的技术目前,最普遍的钓鱼攻击手段,就是通过仿造 Email 地址进行的。
这种基于伪造 Email地址的攻击技术初看似乎很困难,但是对邮件服务器比较熟悉的技术人员知道,可以通过邮件代理服务器来发送匿名邮件。
而在没有邮件代理服务器的情况下,则可以通过在本地假设服务器的方式来发送匿名邮件。
或者也可以通过利用 web 脚本语言建立虚拟主机和 web 服务器的邮件服务器的方式来发送匿名邮件。
其中,攻击者可以利用邮件代理服务器来修改发件人的地址,即邮件原始信息中的 MIME 头信息中的 FROM 字段部分。
这样,攻击者就可以伪造出任何他希望仿冒的身份,来发送邮件了。
而在目前,因为对于此类匿名邮件几乎所有的邮件服务商没有采取任何的防护措施,所以钓鱼攻击者可以伪造任何人或者组织的身份。
而我们认为,当一个普通用户遇到此种情况时,是无法辨认该邮件的发送者身份是否为假。
(四)基于浏览器漏洞的技术当然,除了以上 3 种网络钓鱼的技术策略以外,网络钓鱼攻击者还可以利用浏览器的地址栏欺骗漏洞以及跨域脚本漏洞来实现比较巧妙的网络钓鱼攻击。
其中,利用地址栏欺骗漏洞,钓鱼攻击者可以实现在真实的 Url 地址的情况下伪造任何想要伪造的网页内容;而同时,利用跨域脚本漏洞,攻击者还可以实施跨域名或者跨页面的网站内容修改。
这样,攻击者就可以在用户访问一个 Url 时,控制用户访问的内容,比较控制 Url 返回一个钓鱼网页的内容。
相比其他 3 类钓鱼攻击的技术,由于基于浏览器漏洞的钓鱼攻击是利用了用户的客户端的软件漏洞进行攻击,而服务器端的程序和网络环境对这一种钓鱼攻击完全无法控制,因而基于浏览器漏洞的钓鱼攻击是最严重的。
用户所能采取的措施只能是积极下载软件补丁更新软件,或者使用相关的安全软件修复漏洞。
三钓鱼攻击检测概述和存在的问题随着垃圾邮件过滤技术和钓鱼邮件检测技术不断地提高,钓鱼邮件发送者不断地改变钓鱼邮件的特征,希望绕过邮件过滤器。
而且针对现有的邮件过滤技术而发展的新特征也越来越多,现有的技术已经比较难以应对新特征的钓鱼邮件检测和过滤,在一定程度上的确能缓解钓鱼攻击带来的影响,但因为缺乏总体规划和设计,片面且单一的反钓鱼措施存在一些不足:(一)解决方案的完整性不足传统的反钓鱼方案更多基于单一安全事件的防护需求设计,缺乏体系化的建设思路,也缺少对关键业务流程的风险分析,一些可能被钓鱼攻击利用的业务逻辑缺陷,将引入极大的风险。
在面向一些新兴的业务模式时,传统的方案显得力不从心,缺乏前瞻性的风险防范建议和扩展防护能力。
如何解决WAP站点面临的钓鱼风险,将是下一步需要考虑的问题。
(二)被动防范效果不好由于钓鱼攻击具有较强的欺骗性,在无法有效发现钓鱼网站的前提下,传统的反钓鱼方案多数被动呈现。
主要还是依赖于客户自身的警惕性和风险意识进行防范,对于企业也只能依赖最终客户的投诉和举报,来获得更多的钓鱼网站信息。
(三)控制力度和范围都非常有限因为缺乏明确的责权定义和跨平台的合作机制,在钓鱼攻击发生之后,企业无法有效地协调相关部门进行处理。
加之企业和相关部门之间存在现实的协调沟通方面的局限性,造成一起钓鱼事件发生后到最终问题的解决,常常经历较长的时间,这将极大影响用户对于企业的信任。
(四)预警方式形式单一由于只能被动形式的接受客户的投诉与举报来获得钓鱼网站的信息,对于事件的可知、可控、可管理的三个环节,都无法得到完全保障。
对于频繁发生的钓鱼攻击,企业基本没有对风险预警能力,只能在事件造成一定不良影响的形势下,通过追加公告的方式,提醒更多客户提高安全意识,避免类似的钓鱼事件发生。
四防护策略对抗网络钓鱼,应该遵循“主动搜索,积极防御”的原则,也就是尽早发现尽可能多的钓鱼网站,并通过多种方式予以控制。
一个较为行之有效的思路:基于事件发生的时间线索,把钓鱼攻击拆分成三个阶段,分别实施有针对性的监测和控制。
如果把钓鱼网站的发现到关闭这个阶段定义为“事中阶段”,包含至少一次完整的钓鱼攻击,那么这个阶段主要考虑控制钓鱼攻击的影响。
在钓鱼网站真正产生危害之前,即便钓鱼网站已经存活,但没有发现,这个阶段可定为“事前阶段”,主要解决如何及时发现钓鱼网站,并通知用户的问题。
基于钓鱼攻击的后续处理阶段,则统称为“事后阶段”,包括案例总结、分析,专项整改等事项,以避免同类事件的再次发生。
采用上述提到的“事前-事中-事后”分阶段防护思路,大体可以把反钓鱼整体解决方案拆分成三个部分。
事前预警:通过定期主动评估,以及实时安全监测的方式,及时找到可能被钓鱼攻击利用的弱点,第一时间协助XXX银行启动紧急预案,做出响应。
事中防御:在发现钓鱼网站之后,采用多种方式控制钓鱼攻击可能带来的影响,主要包括关停域名、阻断终端用户对钓鱼网站的访问等方法。
事后整改:处置完钓鱼网站之后,在案例总结分析的基础上,需要及时修补被钓鱼攻击利用的弱点,并进一步加强终端用户培训和教育,以减少同类事件的发生概率。
五基于“云”的钓鱼风险实时检测防护技术因为有了确定的防护对象、可控的防护范围,针对业务流程,以及业务环境的安全评估可以定期展开,以确保及时发现某组织内部信息系统的弱点。
而另一类来自互联网,和钓鱼攻击相关的安全威胁,因为存在大量的不确定性,所以一直难以被识别和穷尽。
钓鱼者可能在全球任何一个有Internet接入的角落发起钓鱼攻击,这类攻击有着明确的目标,欺骗性很强,会综合利用多种攻击手段,并借助多种渠道传播和实施。
钓鱼网站的平均存活时间很短,一般还会选择境外注册和托管,导致国内监管机构难以发挥其应有的效力。
如何主动找到互联网上更多和某组织相关的钓鱼网站,如何长期建立和维护一个有效的恶意钓鱼站点库,已经成为其面临的一个极大挑战。
区别于传统被动防范钓鱼网站的发现方式,当前出现了一些更有效的检测与发现方式,“反钓鱼网站监控”服务就是其中一种新型的应用模式。
“反钓鱼网站监控”服务主要根据网站所有者的域名、IP和关键字组合清单,定期对不同传播方式(如搜索引擎)的相关内容进行监测,监测使用这些信息渠道的访问者被钓鱼攻击的风险。
“反钓鱼网站监控”服务是一项基于“云”的一站式托管式服务,承载于某“互联网安全监测平台”,用户无需安装任何硬件或软件,无需改变目前的网络部署状况,也无需专门的人员进行安全设备维护及分析日志。
某“互联网安全监测平台”通过对互联网站点进行自动分析,发现与目标站点相类似的可疑钓鱼站点,包括但不限于板式设计、logo 图片、仿冒真实网站的URL地址以及页面内容,在半自动进行确认后进行报警。
同时,某“互联网安全监测平台”会通过全国范围内,多个地理位置部署的监控引擎,对某网站的域名基础设施进行监测,确保不会受到劫持和中间人攻击。
此外,某“互联网安全监测平台”还会通过域名自动变形算法,搜索互联网上和某网站相似的域名;监控指定域名是否被启用的方式,来找出域名相似类的钓鱼攻击。
对于钓鱼网站的检测,同样还考虑采用基于生命周期的检测方式。
在访问网站前,对网站的域名、IP地址进行查询分析,若发现与预设规则不符则判定为可疑网站。
这些预设规则往往如域名的使用时间、生效时长、IP地址与域名的绑定时长等等。
某“互联网安全监测平台”分析的数据来源,主要集中于搜索引擎、第三方钓鱼数据库,以及用户提交的日志分析结果。
在发现可疑的钓鱼网站后,7×24小时安全值守团队会马上进行人工确认,并将确认后事件即时通知。