2007-09-10

Pharming

http://taiwan.cnet.com/enterprise/column/0,2000062893,20101093,00.htm
專欄反映作者意見,不代表CNET立場。
具 備廿多年IT專案實務經驗,熟悉大型主機 (Main Frame) 作業系統、SNA/SDLC、TCP/IP以及 ATM等網路架構,負責Firewall、IPS 及病毒防治等各種大型專案。在加入Fortinet之前,曾任IBM台灣分公司及Redback Inc & Foundry Network。
新網釣技倆:Pharming

勞虎觀點
蕭百齡

   
軟體開發見聞錄
同人

   
ZD's Note
鍾翠玲

   
CIO的天空
杜奕鋒

   
資訊安全龍捲風
王應達

   
更多駐站專家…

這陣子資訊安全議題在全球都是炒得沸沸揚揚。可憐的是一般網民已成為熱鍋上的螞蟻,總是提心吊膽過日子,深怕那天被病毒或是網路詐騙郵件找上門,也被列入廣大的受害者的名單當中。

那麼,最近究竟出現了那些新式的網路攻擊或詐騙手法,會讓眾多網民們擔心到寢食難安呢?透過媒體的宣傳,網路釣魚 (phishing)是比較為大家所熟知的。

網路釣魚,還真的有些「姜太公釣魚 - 願者上鉤」的意味。Phishing是模仿真實網站(例如讓網站看來像是「正常」的企業網站)所發出的電子郵件,以帳戶到期或出現重大問題要求確認等理由,欺騙使用者連結到電子郵件中由駭客偽造的網站。

這些 phishing 網站通常會唯妙唯肖地模仿合法的網站,部份網站甚至還有安全認證,讓使用者不易分辨出它的真假。通常這種 phishing 網站會向使用者要求一些之前就已提供給銀行做為身份認證用的資料,讓使用者填寫個人機密資料,像是銀行帳號、身份證字號、出生年月日或帳戶密碼等。駭客取 得這些機密資料後,就可進行後續的轉帳或其他惡意行為,造成使用者莫大的損失。

phishing的新模式: pharming

而網路騙術並不僅止於此,近來從phishing又衍生發展出更新更高段的詐騙招術--網址嫁接 (pharming)。

Pharming最早約莫出現在2004年,它藉由入侵DNS(Domain Name Server)的方式,將使用者導引到偽造的網站上,因此又稱為DNS下毒(DNS Poisoning)。Domain Name Server的功能是將網站的IP位址(例如:125.13.213.1),轉換成網址(例如:www.google.com),一旦DNS被入侵,使用 者便經DNS的IP轉換,不知不覺地被「導引」到一個偽造的網站,並讓駭客有機會竊取個人的機密資料。

例如在2004年,一個德國的少年就綁架了Google.de;2005年1月,紐約一家ISP公司Panix的網址,就會嫁接到位於澳洲的網站, Pharming 和網釣同樣是利用假造電子郵件欺騙使用者造訪偽造的網站。兩者不同之處是,Pharming 採用了更高段的手法,讓使用者更難感覺出網站是偽造的。

Pharming 型態的攻擊會悄悄地潛入已連結在網路上的電腦,並且從使用者平日瀏覽網頁的活動中偷取使用者的個人金融相關資料。從技術面來看,pharming混合了 DNS下毒、木馬程式 (Trojan) 及鍵盤動作側錄間諜程式 (key-logging spyware) 等數種手法,將合法網址轉接到駭客偽造的網站,讓使用者防不勝防。例如一旦使用者上了pharming的當之後,打算進入合法網站時,惡意程式就會在使用 者不知情的情形下,將許多使用者常造訪的網站「移形換位」,之後便會不知不覺地被導引到偽造的網站去。

既然 pharming 看來如此防不勝防,那麼有沒有對抗方法呢?在此提供各位檢查是否被暗中導引到pharming偽裝網站的 5 個方法,讓大家在瀏覽網站時更為安心。

Pharming 偽裝網站的5 大徵兆

•徵兆一:感覺網站有點怪怪的
注意觀察登入程序、使用者身份認證程序,或是顯示出來的訊息,是否和以往不同?

•徵兆二:要求使用者提供過多的個人訊息
Pharming 網站通常都會要求使用者提供額外的身份辨識或是個人私密資料,這些資料大部份之前就已提供給銀行做為對照之用。

•徵兆三:在瀏覽器上看不到 SSL 加密鎖的標識
合法的網站,在要求使用者提供機密資料時,通常都會對該程序進行 SSL資料加密的動作。請使用者注意瀏覽器下方是否出現「加密鎖」的圖示,並可在該圖示上雙按滑鼠左鍵,檢查該項SSL證明是否真實無誤。

•徵兆四:網址列未出現表示安全網路連線的https字樣
當使用者進入安全的網路連線時,網址列應該是以https//開頭(多個s字母),而非原本的http://。而Pharming 網站一般都不具備 SSL 安全網路連線的能力,也就是說,既使在要求使用者提供機密資料的網頁上,其網址起始字串仍然是普通的 http://。

•徵兆五:瀏覽器會出現SSL 認證有問題的警示視窗
如果駭客對具有 SSL 認證功能的網站進行詐騙時,使用者的瀏覽器會顯示安全認識有問題的警示訊息。建議使用者最好不要忽略這些警告,把握此機會檢查認證,注意其是否為惡意的詐騙網站。

Pharming 這種混合多種病毒的網路攻擊方式已愈來愈多,讓網路安全廠商對這些電子犯罪的技術疲於奔命。企業或是網路服務供應商都需要不斷提醒使用者有關 pharming 的相關警訊。在教育使用者反擊之道的同時,使用者也應具備防毒、入侵偵側、防火牆及其他網路安全防護的能力,對網路傳輸內容進行完整的過濾,建構完善的網 路安全防護機制。



--


[垃圾桶] 裡沒有會話群組。 當您有 2000 MB 以上的儲存空間時,誰還需要刪除郵件?!

沒有留言: