第11章惡意軟件攻擊與防范

第11章

惡意軟件攻擊與防范11.1惡意軟件概述11.2間諜軟件分析與防范11.3網(wǎng)絡(luò)釣魚攻擊分析與防范11.4垃圾郵件分析與防范案例一：小學(xué)文化男子做釣魚網(wǎng)站盜錢，搜索排名超官網(wǎng)

2011年9月底，在余杭區(qū)某電子科技公司上班的馬女士想在網(wǎng)上給自己的加油卡充點(diǎn)錢，于是她在百度里輸入“中國(guó)石化浙江網(wǎng)”。跳出來(lái)的第一條就寫著“中國(guó)石化浙江網(wǎng)上營(yíng)業(yè)廳”，可以網(wǎng)上充值。點(diǎn)開一看，和以前登錄的中石化加油卡充值網(wǎng)站也差不多。沒有多加思考，馬女士就輸入自己的加油卡卡號(hào)，用支付寶充值了1000元。充值5分鐘后，馬女士收到一條來(lái)自剛剛的充值網(wǎng)站的短信，大意是說(shuō)自己充值太少，要求再充5000元，以獲得更大的優(yōu)惠，還附了客服的QQ號(hào)碼。收到短信，馬女士感覺不對(duì)勁，立即撥打了中石化的客服電話進(jìn)行詢問(wèn)，才知道自己中招了。之后她又撥打支付寶客服，得知自己那1000元支付給了北京的一個(gè)商家，購(gòu)買了虛擬物品新浪U幣。發(fā)現(xiàn)自己被騙后，馬女士立即向余杭公安報(bào)了案。經(jīng)過(guò)網(wǎng)監(jiān)偵查，2011年11月30日，公安機(jī)關(guān)在廣東省湛江市抓獲嫌疑人小林，而他居然是一個(gè)小學(xué)文化程度的17歲男孩。小林自小頑皮，讀完小學(xué)就不肯再讀了。但他對(duì)電腦異常感興趣，也確實(shí)有些天分，便自學(xué)成才，掌握了很多電腦及網(wǎng)站方面的技能，還靠著接網(wǎng)站優(yōu)化、推廣的工作賺了點(diǎn)錢。2011年9月初，小林在老家湛江發(fā)現(xiàn)中石化加油站里來(lái)加油的人多數(shù)都用加油卡付費(fèi)。他想，這大批量的加油卡肯定有通過(guò)網(wǎng)絡(luò)充值的渠道。林某在網(wǎng)上搜索，果然發(fā)現(xiàn)中石化浙江分公司支持網(wǎng)上充值。腦筋活絡(luò)的他，決定制作一個(gè)中石化浙江公司的釣魚網(wǎng)站，騙取充值人的錢。于是，這個(gè)電腦高手一步步設(shè)計(jì)了一個(gè)騙錢陷阱：他先模仿官網(wǎng)制作了一個(gè)網(wǎng)站，并注冊(cè)了一個(gè)類似的域名，然后，他在網(wǎng)上購(gòu)買了一個(gè)第三方接口和支付寶方式進(jìn)行了對(duì)接。要讓充值的人多，網(wǎng)站必須有人氣，在百度搜索中的排名要盡可能靠前。于是，小林拿出看家本領(lǐng)，不斷“優(yōu)化”自己的釣魚網(wǎng)站。短短一個(gè)月，他的虛假網(wǎng)站竟然在百度排名中超過(guò)了中石化加油卡充值的官網(wǎng)。只要有人在百度中輸入“加油卡充值”或者“中國(guó)石化浙江充值”等，出現(xiàn)在第一條的就是小林的釣魚網(wǎng)站。因此，跳入陷阱的人越來(lái)越多。經(jīng)過(guò)小林的設(shè)置，這些通過(guò)支付寶或者網(wǎng)銀打進(jìn)冒牌網(wǎng)站的錢其實(shí)直接打入了他的第三方游戲帳號(hào)，變成大量的虛擬貨幣。小林用這些虛擬貨幣購(gòu)買人人豆、新浪U幣等各種游戲幣后，再通過(guò)網(wǎng)絡(luò)轉(zhuǎn)賣給網(wǎng)上收購(gòu)游戲幣的買家。通過(guò)這種方式，小林在短短兩個(gè)月的時(shí)間里非法獲取利益19000余元。案例二：McAfee：安卓設(shè)備已成惡意軟件重災(zāi)區(qū)

McAfee稱Android設(shè)備已經(jīng)成為惡意軟件的重災(zāi)區(qū)。最近一款名為Android/Multi.dr的惡意病毒首先偽裝是熱門游戲NFL12，然后分成包括rootexploit,IRCbot和SMSTrojan三個(gè)部分。rootexploit是攻擊的主力軍，會(huì)直接“root”設(shè)備獲得系統(tǒng)最高權(quán)限，然后以Administrator身份執(zhí)行代碼連接到遠(yuǎn)程服務(wù)器，當(dāng)獲得權(quán)限并已經(jīng)建立連接之后IRCbots就開始做些“骯臟”的工作。一旦設(shè)備已經(jīng)root，IRC程序也被執(zhí)行之后，就會(huì)以一張PNG圖片的顯示偽裝起來(lái)。 安全專家ArunSabapathy稱這個(gè)文件實(shí)際上是Android設(shè)備很常見的.ELF文件，不過(guò)最危險(xiǎn)的是SMSTrojan，他將收集用戶的各種短信、文檔信息，然后連接傳輸?shù)竭h(yuǎn)程服務(wù)器上。 “安全攻擊形勢(shì)相當(dāng)險(xiǎn)峻”，Sabpathy說(shuō)：“目前我們還不清楚他們收集用戶數(shù)據(jù)的目的，也不清楚服務(wù)器那邊的代碼是如何運(yùn)作的”。Sabapathy稱Android系統(tǒng)下的攻擊未來(lái)將越來(lái)越多，而且已經(jīng)受到攻擊者攻擊像PC平臺(tái)一樣頻繁。思考1、在案例一中，為什么只有小學(xué)文化的小林能夠?qū)覍业檬郑?、綜合案例一和案例二分析當(dāng)前惡意軟件攻擊的主要趨勢(shì)。3、新型惡意軟件攻擊泛濫的主要原因是什么？11.1惡意軟件概述

11.1.1惡意軟件的概念與特征11.1.2惡意軟件清除工具11.1.3使用Windows清理助手清除惡意軟件11.1.1惡意軟件的概念與特征惡意軟件的特征主要表現(xiàn)為：（1）強(qiáng)制安裝，在未明確提示用戶或未經(jīng)用戶許可的情況下在用戶計(jì)算機(jī)或其它終端上安裝軟件。（2）難以卸載，未提供通用的卸載方式，或在不受其它軟件影響、人為破壞的情況下，卸載后仍然有活動(dòng)程序的行為。（3）瀏覽器劫持，在未經(jīng)用戶許可的情況下修改用戶瀏覽器或其它相關(guān)設(shè)置，迫使用戶訪問(wèn)特定網(wǎng)站或?qū)е掠脩魺o(wú)法正常上網(wǎng)。（4）廣告彈出，在未明確提示用戶或未經(jīng)用戶許可的情況下利用安裝在用戶計(jì)算機(jī)或其它終端上的軟件彈出廣告。（5）惡意收集用戶信息，在未明確提示用戶或未經(jīng)用戶許可的情況下惡意收集用戶信息的行為。（6）惡意卸載，未明確提示用戶或未經(jīng)用戶許可的情況下誤導(dǎo)、欺騙用戶卸載其它軟件。（7）惡意捆綁，在軟件中捆綁已被認(rèn)定的惡意軟件。（8）其它侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。11.1.2惡意軟件清除工具

1、Windows清理助手Windows清理助手是目前國(guó)內(nèi)最常用的惡意軟件清除工具，它能對(duì)已知的惡意軟件和木馬程序進(jìn)行徹底的掃描與清理，如圖11-1所示。它提供系統(tǒng)掃描與清理、在線升級(jí)等功能，它能輕易對(duì)付強(qiáng)行駐留系統(tǒng)、更名等一系列惡意行為的軟件。同時(shí)其高級(jí)功能包括微軟備份工具、文件提取、文件粉碎、IE瀏覽器清理、磁盤清理等。圖11-1Windows清理助手主界面11.1.2惡意軟件清除工具

2、金山清理專家金山清理專家是一款完全免費(fèi)的上網(wǎng)安全輔助軟件，針對(duì)惡意軟件和瀏覽器插件尤為有效，使用增強(qiáng)的惡意軟件查殺引擎可以解決一般殺毒軟件不能解決的安全問(wèn)題，包括徹底查殺300多款惡意軟件、廣告軟件和隱蔽軟件。金山清理專家使用文件粉碎技術(shù)對(duì)抗Rootkits，能夠徹底清除使用Rootkits進(jìn)行保護(hù)和偽裝的惡意軟件，同時(shí)能夠檢查和卸載超過(guò)200余種IE插件和系統(tǒng)插件，其獨(dú)創(chuàng)的插件信任管理列表能夠避免用戶誤刪除自己需要的正常插件。11.1.2惡意軟件清除工具

3、A-SquaredA-Squared可以清理隱藏于計(jì)算機(jī)中的惡意程序，它的界面簡(jiǎn)單清楚、操作方便，而且可以隨時(shí)通過(guò)在線更新最新的惡意軟件資料庫(kù)來(lái)查殺最新出現(xiàn)的惡意軟件，還可以幫助用戶有效地檢測(cè)并清除木馬病毒、間諜軟體、廣告軟體、蠕蟲、鍵盤記錄程序、Rootkit、撥號(hào)程序等多種惡意程序所帶來(lái)的安全威脅，有效保護(hù)用戶的個(gè)人信息安全。11.1.2惡意軟件清除工具

4、Spyware

doctorSpywareDoctor是一款優(yōu)秀的間諜程序、廣告程序、惡意程序免疫清除工具，如圖11-4所示。它采用業(yè)界領(lǐng)先的查殺引擎，及時(shí)更新特征碼數(shù)據(jù)庫(kù)來(lái)保障用戶的計(jì)算機(jī)不受惡意軟件的攻擊。

SpywareDoctorStarterEdition是SpywareDoctor的免費(fèi)版，被收入在GooglePack中，用戶可以通過(guò)GoogleUpdater下載使用，相對(duì)于SpywareDoctor，SpywareDoctorStarterEdition只能算得上含有較少功能的基礎(chǔ)版，具有基本的文件監(jiān)控、手動(dòng)掃描、自動(dòng)升級(jí)等功能，可以足夠滿足一般用戶的需要。圖11-4SpywareDoctor主界面11.1.3使用Windows清理助手清除惡意軟件

軟件打開時(shí)會(huì)自動(dòng)檢測(cè)系統(tǒng)，可點(diǎn)擊“跳過(guò)”取消檢測(cè)，直接打開軟件主界面，如圖11-5所示圖11-5Windows清理助手主界面11.1.3使用Windows清理助手清除惡意軟件

1、點(diǎn)擊“掃描清理”，選擇掃描范圍，選中掃描類型，如圖11-6所示。標(biāo)準(zhǔn)掃描：只掃描C盤（系統(tǒng)盤）的文件。自定義掃描：點(diǎn)擊右邊的“設(shè)置”可以自己選擇需要掃描的磁盤或文件。完整掃描：掃描所有磁盤和所有文件。重啟掃描：重新啟動(dòng)計(jì)算機(jī)之后自動(dòng)掃描。圖11-6Windows清理助手掃描清理11.1.3使用Windows清理助手清除惡意軟件

2、診斷報(bào)告診斷報(bào)告可以掃描出計(jì)算機(jī)的整體情況，發(fā)現(xiàn)需要改進(jìn)的項(xiàng)目，從而有目標(biāo)地優(yōu)化系統(tǒng)，如圖11-7所示，點(diǎn)擊“開始診斷”即可。圖11-7Windows清理助手診斷界面11.1.3使用Windows清理助手清除惡意軟件

2、診斷報(bào)告診斷完成后會(huì)顯示出計(jì)算機(jī)的整體情況，點(diǎn)擊下方的“保存診斷報(bào)告”可以另存為TXT文本，如圖11-8所示。圖11-8Windows清理助手診斷報(bào)告11.1.3使用Windows清理助手清除惡意軟件

3、故障修復(fù)如果計(jì)算機(jī)被惡意軟件篡改了系統(tǒng)設(shè)置，可以使用“故障修復(fù)”來(lái)恢復(fù)（具體需要修復(fù)的選項(xiàng)可以自行勾選），點(diǎn)擊右下角的“執(zhí)行修復(fù)”即可，如圖11-9所示。圖11-9Windows清理助手故障修復(fù)11.1.3使用Windows清理助手清除惡意軟件

4、論壇求助如果遇到一些無(wú)法解決的問(wèn)題，可以進(jìn)入論壇發(fā)帖求助，或者看看論壇有沒有類似問(wèn)題的解決辦法。11.2間諜軟件分析與防范

11.2.1間諜軟件的概念與特征11.2.2間諜軟件的攻擊方式11.2.3防范間諜軟件攻擊11.2.1間諜軟件的概念與特征間諜軟件是指將自身非法附著在操作系統(tǒng)上的一類計(jì)算機(jī)程序間諜軟件一般不會(huì)損壞用戶的計(jì)算機(jī)，而是偷偷潛入計(jì)算機(jī)并隱藏在后臺(tái)，它們往往以推銷產(chǎn)品為主要使命，所做的破壞更多的是向用戶宣傳目標(biāo)廣告，或是讓用戶的瀏覽器顯示某些特定的站點(diǎn)或搜索結(jié)果計(jì)算機(jī)感染間諜軟件往往是由于用戶的某些操作引起的大多數(shù)間諜軟件在計(jì)算機(jī)啟動(dòng)時(shí)都會(huì)作為后臺(tái)應(yīng)用程序運(yùn)行，它具有不斷地彈出廣告、修改瀏覽器和防火墻設(shè)置、下載并安裝其它惡意軟件，重定向網(wǎng)絡(luò)搜索等功能，部分智能型的間諜軟件甚至可以在用戶試圖清除它們時(shí)進(jìn)行攔截11.2.2間諜軟件的攻擊方式1、背載式軟件安裝有些應(yīng)用程序會(huì)在標(biāo)準(zhǔn)安裝過(guò)程中安裝間諜軟件。如果不仔細(xì)閱讀安裝列表，用戶可能不會(huì)注意到自己將安裝文件共享應(yīng)用程序之外的內(nèi)容。那些聲稱自己是付費(fèi)軟件替代品的“免費(fèi)”軟件尤為如此。2、隨看隨下或安裝網(wǎng)站或彈出式窗口會(huì)自動(dòng)嘗試在計(jì)算機(jī)上下載并安裝間諜軟件，用戶可能收到的唯一警告是瀏覽器的標(biāo)準(zhǔn)消息，告知軟件的名稱并詢問(wèn)是否要安裝它。當(dāng)計(jì)算機(jī)的安全級(jí)別設(shè)置過(guò)低時(shí)，用戶甚至看不到該警告。3、瀏覽器加載項(xiàng)這是一些用來(lái)增強(qiáng)網(wǎng)絡(luò)瀏覽器功能的軟件，比如工具欄、動(dòng)畫幫手或附加搜索框。它們有時(shí)名副其實(shí)，但有時(shí)也會(huì)包含一些間諜軟件元素。業(yè)界把一些特別頑固的加載項(xiàng)稱為瀏覽器劫持軟件，這些加載項(xiàng)將自己牢牢地嵌入在計(jì)算機(jī)中，難以清除。11.2.3防范間諜軟件攻擊1、使用間諜軟件掃描器大部分間諜軟件掃描器都是免費(fèi)的，它們的工作方式與防病毒軟件類似，并可以提供主動(dòng)式保護(hù)和檢測(cè)。此外，它們還會(huì)檢測(cè)InternetCookie，并告訴用戶這些Cookie所指向的網(wǎng)站

WindowsDefender和大部分間諜軟件掃描工具的區(qū)別在于：對(duì)于包含有間諜軟件的危險(xiǎn)文件，WindowsDefender可以對(duì)它們進(jìn)行修復(fù)，而不是簡(jiǎn)單的刪除和隔離，充分體現(xiàn)了WindowsDefender較為人性化的一面

以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（1）打開WindowsDefender主界面，如圖11-10所示。一個(gè)顯示器模樣的圖標(biāo)顯示著軟件當(dāng)前的狀態(tài)，如果是打勾則說(shuō)明WindowsDefender正在保護(hù)著用戶的操作系統(tǒng)，下面顯示著實(shí)時(shí)保護(hù)的狀態(tài)以及病毒和間諜軟件定義的版本。在窗口的右邊有快速、完全、自定義三個(gè)掃描選項(xiàng)。11.2.3防范間諜軟件攻擊圖11-10WindowsDefender主界面11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（2）WindowsDefender的更新是和WindowsUpdate在一起的，每當(dāng)有了新的病毒和間諜軟件庫(kù)時(shí)，系統(tǒng)就會(huì)自動(dòng)為軟件更新，如圖11-11所示

圖11-11WindowsDefender更新界面11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（3）在歷史記錄頁(yè)面中，可以清楚地看到有哪些文件被感染，并且被執(zhí)行了哪些操作，WindowsDefender還很人性化地根據(jù)警報(bào)級(jí)別對(duì)這些感染文件進(jìn)行了分級(jí)，如圖11-12所示。圖11-12WindowsDefender歷史記錄11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（4）在設(shè)置頁(yè)面中，WindowsDefender具有實(shí)時(shí)保護(hù)、排除信任的文件和位置、排除信任的進(jìn)程等選項(xiàng)，可以幫助用戶進(jìn)行一些個(gè)性化的安全設(shè)置，如圖11-13所示。

圖11-13WindowsDefender設(shè)置界面11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（5）設(shè)置菜單的高級(jí)選項(xiàng)中提供了掃描可移動(dòng)驅(qū)動(dòng)器、創(chuàng)建系統(tǒng)還原點(diǎn)等高級(jí)選項(xiàng)，如圖11-14所示。圖11-14WindowsDefender高級(jí)設(shè)置

11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（6）當(dāng)WindowsDefender檢測(cè)到系統(tǒng)存在間諜軟件時(shí)，會(huì)在桌面的右上角彈出“已檢測(cè)到惡意文件”的提示框，同時(shí)伴有提示音。并且在右下角以氣泡的形式提示你檢測(cè)到可能有害的軟件，當(dāng)單擊氣泡時(shí)，WindowsDefender還會(huì)對(duì)檢測(cè)到的有害軟件進(jìn)行復(fù)查，并執(zhí)行相應(yīng)的操作，如圖11-15所示。圖11-15間諜軟件檢測(cè)結(jié)果11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

對(duì)于檢測(cè)到的可能含有間諜軟件的文件，可以在選擇操作的下拉菜單中選擇隔離、刪除等選項(xiàng)，如圖11-16所示

圖11-16間諜軟件處理方式11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（7）當(dāng)所執(zhí)行的操作成功后，窗口的顏色會(huì)變?yōu)榫G色，如圖11-17所示。

圖11-17WindowsDefender警報(bào)11.2.3防范間諜軟件攻擊2、使用彈出式窗口阻止程序包括InternetExplorer和MozillaFirefox在內(nèi)的很多瀏覽器都能夠阻止網(wǎng)站上彈出的窗口以微軟的InternetExplorer為例，其設(shè)置方法如下：（1）點(diǎn)擊“工具”->“彈出窗口阻止程序”->“啟動(dòng)彈出窗口阻止程序”，如圖11-17所示。

圖11-17啟用InternetExplorer彈出窗口阻止程序11.2.3防范間諜軟件攻擊以微軟的InternetExplorer為例，其設(shè)置方法如下：（2）點(diǎn)擊“工具”->“彈出窗口阻止程序”->“彈出窗口阻止程序設(shè)置”，如圖11-18所示。在阻止級(jí)別設(shè)置中包括高（阻止所有彈出窗口）、中（阻止大多數(shù)自動(dòng)彈出窗口）、低（允許來(lái)自安全站點(diǎn)的彈出窗口）三類，此外，還可以在該頁(yè)面上添加受信任的地址，對(duì)這些地址的彈出窗口不做攔截操作。圖11-18InternetExplorer彈出窗口阻止程序設(shè)置11.2.3防范間諜軟件攻擊3、禁用ActiveX由于很多間諜軟件利用了Windows系統(tǒng)中一種稱為ActiveX的特殊代碼，因此，禁用瀏覽器上的ActiveX是防止間諜軟件的一個(gè)不錯(cuò)的方法但是，在禁用了ActiveX的同時(shí)也禁用了對(duì)此類代碼的合法使用，可能會(huì)影響某些網(wǎng)站的正常功能以微軟的InternetExplorer為例，點(diǎn)擊“工具”->“Internet選項(xiàng)”->“安全”->“自定義級(jí)別”，如圖11-19所示，將所有涉及ActiveX的選項(xiàng)設(shè)置為禁用或者提示。11.2.3防范間諜軟件攻擊圖11-19禁用ActiveX11.2.3防范間諜軟件攻擊4、在安裝新軟件時(shí)多加注意一般而言，當(dāng)一個(gè)站點(diǎn)詢問(wèn)用戶是否要在計(jì)算機(jī)上安裝某個(gè)新軟件時(shí)，需要始終保持懷疑的態(tài)度。如果它不是熟悉的插件，比如Flash、QuickTime或最新的Java引擎，最安全的操作是拒絕安裝新組件，除非用戶有足夠理由信任它們。另外，可以采用先拒絕安裝再檢查是否需要的策略，一個(gè)值得信任的站點(diǎn)始終會(huì)讓用戶有機(jī)會(huì)返回并下載其所需的組件。

11.2.3防范間諜軟件攻擊5、使用“×”關(guān)閉彈出式窗口熟悉和了解計(jì)算機(jī)系統(tǒng)消息的外觀可以幫助用戶發(fā)現(xiàn)“贗品”。在了解了系統(tǒng)警報(bào)的標(biāo)準(zhǔn)外觀后，一般很容易就能判斷出二者的差別。盡量不要使用“否”按鈕，而是使用工具欄一角的“×”關(guān)閉窗口。11.3網(wǎng)絡(luò)釣魚攻擊分析與防范

11.3.1網(wǎng)絡(luò)釣魚攻擊的概念與原理11.3.2網(wǎng)絡(luò)釣魚攻擊的方式11.3.3網(wǎng)絡(luò)釣魚攻擊過(guò)程分析11.3.4防范網(wǎng)絡(luò)釣魚攻擊11.3.1網(wǎng)絡(luò)釣魚攻擊的概念與原理

網(wǎng)絡(luò)釣魚攻擊是一種通過(guò)大量發(fā)送聲稱來(lái)自于銀行或其它知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號(hào)ID、ATMPIN碼或信用卡詳細(xì)信息）的攻擊方式網(wǎng)絡(luò)釣魚攻擊的典型特征是受害者遭受巨大的經(jīng)濟(jì)損失或被竊取全部個(gè)人信息網(wǎng)絡(luò)釣魚攻擊技術(shù)和手段越來(lái)越高明和復(fù)雜，比如隱藏在圖片中的惡意代碼、鍵盤記錄程序等，當(dāng)然還有和合法網(wǎng)站外觀完全一樣的虛假網(wǎng)站，有些虛假網(wǎng)站甚至連瀏覽器下方的鎖形安全標(biāo)記都能顯示出來(lái)11.3.1網(wǎng)絡(luò)釣魚攻擊的概念與原理

網(wǎng)絡(luò)釣魚攻擊的工作流程一般包含五個(gè)階段，如圖11-20所示（1）釣魚攻擊者入侵服務(wù)器，竊取用戶的名字和郵件地址。（2）釣魚攻擊者發(fā)送有針對(duì)性的郵件。（3）誘導(dǎo)受害用戶訪問(wèn)假冒網(wǎng)址。（4）受害用戶提供的私密用戶信息被釣魚攻擊者取得。（5）釣魚攻擊者使用受害用戶的身份訪問(wèn)正常的網(wǎng)絡(luò)服務(wù)，獲取利益。

圖11-20網(wǎng)絡(luò)釣魚攻擊的工作流程11.3.2網(wǎng)絡(luò)釣魚攻擊的方式

1、發(fā)送電子郵件，以虛假信息引誘用戶中圈套。詐騙分子以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)帳等內(nèi)容引誘用戶在郵件中填入金融帳號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，從而盜竊用戶資金2、建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號(hào)密碼實(shí)施盜竊。釣魚攻擊者建立起域名和網(wǎng)頁(yè)內(nèi)容都與真正的網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺(tái)極為相似的網(wǎng)站，引誘用戶輸入帳號(hào)、密碼等信息，進(jìn)而通過(guò)真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲(chǔ)蓄卡、證券交易卡盜竊資金還有的是利用跨站腳本，即利用合法網(wǎng)站服務(wù)器程序上的漏洞，在站點(diǎn)的某些網(wǎng)頁(yè)中插入惡意HTML代碼，屏蔽一些可以用來(lái)辨別網(wǎng)站真?zhèn)蔚闹匾畔ⅲ胏ookies竊取用戶信息11.3.2網(wǎng)絡(luò)釣魚攻擊的方式

3、利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng)木馬制作者通過(guò)發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當(dāng)感染木馬的用戶進(jìn)行網(wǎng)上交易時(shí)，木馬程序即以鍵盤記錄的方式獲取用戶的帳號(hào)和密碼，并發(fā)送給指定郵箱，使用戶資金受到嚴(yán)重的威脅4、利用用戶弱口令等漏洞破解、猜測(cè)用戶帳號(hào)和密碼。不法分子利用部分用戶貪圖方便設(shè)置弱口令的漏洞，對(duì)銀行卡密碼進(jìn)行破解。不少犯罪分子從網(wǎng)上搜尋某銀行儲(chǔ)蓄卡卡號(hào)，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手11.3.3網(wǎng)絡(luò)釣魚攻擊過(guò)程分析

下面以針對(duì)中國(guó)工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過(guò)程。1、用戶收到自稱為中國(guó)工商銀行網(wǎng)絡(luò)客服發(fā)送的電子郵件，郵件中包含工行網(wǎng)站的訪問(wèn)地址，如圖11-21所示。需要注意的是，該郵件是從一個(gè)普通的QQ郵箱地址發(fā)送來(lái)的。圖11-21網(wǎng)絡(luò)釣魚攻擊的假冒郵件11.3.3網(wǎng)絡(luò)釣魚攻擊過(guò)程分析

下面以針對(duì)中國(guó)工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過(guò)程。2、用戶通過(guò)郵件中提供的假冒網(wǎng)址訪問(wèn)工行網(wǎng)站，如圖11-22所示。需要注意的是，該網(wǎng)站地址是，而不是。雖然該假冒的釣魚網(wǎng)站與工行官網(wǎng)一模一樣，但當(dāng)用戶點(diǎn)擊釣魚網(wǎng)中的相關(guān)頁(yè)面（除“個(gè)人網(wǎng)上銀行登陸”按鈕外），網(wǎng)站都會(huì)自動(dòng)跳轉(zhuǎn)到(中國(guó)工商銀行官方網(wǎng)站)的其它正常鏈接中去。

圖11-22域名為的假冒工行釣魚網(wǎng)站11.3.3網(wǎng)絡(luò)釣魚攻擊過(guò)程分析

下面以針對(duì)中國(guó)工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過(guò)程3、用戶點(diǎn)擊釣魚網(wǎng)站上的“個(gè)人網(wǎng)上銀行登陸”按鈕后，進(jìn)入假冒網(wǎng)銀登陸界面，如圖11-23所示。真實(shí)的工行個(gè)人網(wǎng)銀登陸地址為/icbc/perbank/index.jsp，而假冒個(gè)人網(wǎng)銀登陸地址為/icbc/perbank/index.asp。圖11-23假冒個(gè)人網(wǎng)銀登陸界面11.3.3網(wǎng)絡(luò)釣魚攻擊過(guò)程分析

下面以針對(duì)中國(guó)工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過(guò)程4、用戶輸入用戶名和密碼登陸后，該頁(yè)面將用戶名和密碼發(fā)送至釣魚攻擊者，同時(shí)彈出用戶名和密碼輸入錯(cuò)誤的頁(yè)面，如圖11-24所示。圖11-24彈出用戶名密碼不正確的頁(yè)面11.3.3網(wǎng)絡(luò)釣魚攻擊過(guò)程分析

下面以針對(duì)中國(guó)工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過(guò)程5、當(dāng)用戶點(diǎn)擊“重新輸入”后，頁(yè)面將被重置到中國(guó)工商銀行正常網(wǎng)銀登陸界面，用戶再次登陸后，一切正常。從上述例子可知，釣魚攻擊者使用了一個(gè)與工行官網(wǎng)非常相近的域名，給用戶正在訪問(wèn)工行官網(wǎng)的錯(cuò)覺，同時(shí)頁(yè)面顯示內(nèi)容與真實(shí)工行網(wǎng)站一模一樣，使用戶難以辨別。在用戶第一次輸入用戶名密碼后，頁(yè)面即被重置為正常頁(yè)面，后期操作一切正常，一般用戶往往容易認(rèn)為是自己不小心輸錯(cuò)了密碼，而根本無(wú)法發(fā)現(xiàn)自己的用戶名和密碼在此時(shí)已經(jīng)被發(fā)送給了釣魚攻擊者

11.3.4防范網(wǎng)絡(luò)釣魚攻擊

1、電子郵件欺詐防范收到具有如下特點(diǎn)的郵件就要提高警惕，不要輕易打開。（1）是偽造發(fā)件人信息，如ABC@。（2）問(wèn)候語(yǔ)或開場(chǎng)白往往模仿被假冒單位的口吻和語(yǔ)氣，如“親愛的用戶”等。（3）郵件內(nèi)容多為傳遞緊迫的信息，如以帳戶狀態(tài)將影響到正常使用或宣稱正在通過(guò)網(wǎng)站更新帳號(hào)資料信息等。（4）索取個(gè)人信息，要求用戶提供密碼、帳號(hào)等敏感信息。11.3.4防范網(wǎng)絡(luò)釣魚攻擊

2、假冒的網(wǎng)上銀行和網(wǎng)上證券網(wǎng)站防范用戶在進(jìn)行網(wǎng)上交易時(shí)要注意以下幾點(diǎn)：（1）仔細(xì)核對(duì)網(wǎng)址，看是否與真正網(wǎng)址一致。（2）保管好密碼，不要選諸如身份證號(hào)碼、出生日期、電話號(hào)碼等作為密碼，建議用字母、數(shù)字混合密碼，盡量避免在不同系統(tǒng)使用同一密碼。（3）做好交易記錄，對(duì)網(wǎng)上銀行、網(wǎng)上證券等平臺(tái)辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看歷史交易明細(xì)和打印業(yè)務(wù)對(duì)賬單，如發(fā)現(xiàn)異常交易或差錯(cuò)，立即與有關(guān)單位聯(lián)系。（4）管好數(shù)字證書，避免在公用的計(jì)算機(jī)上使用網(wǎng)上交易系統(tǒng)。（5）對(duì)異常情況提高警惕，如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼，并遇到類似“系統(tǒng)維護(hù)”之類提示時(shí)，應(yīng)立即撥打有關(guān)客服熱線進(jìn)行確認(rèn)，萬(wàn)一資料被盜，應(yīng)立即修改相關(guān)交易密碼或進(jìn)行銀行卡、證券交易卡掛失。（6）通過(guò)正確的程序登錄支付網(wǎng)關(guān)，通過(guò)正式公布的網(wǎng)站進(jìn)入，不要通過(guò)搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站的鏈接直接進(jìn)入。11.3.4防范網(wǎng)絡(luò)釣魚攻擊

3、虛假電子商務(wù)信息防范用戶應(yīng)掌握以下詐騙信息的特點(diǎn)，不要上當(dāng)。（1）虛假購(gòu)物、拍賣網(wǎng)站看上去都比較“正規(guī)”，有公司名稱、地址、聯(lián)系電話、聯(lián)系人、電子郵箱等，有的還留有互聯(lián)網(wǎng)信息服務(wù)備案編號(hào)和信用資質(zhì)等。（2）交易方式單一，消費(fèi)者只能通過(guò)銀行匯款的方式購(gòu)買，且收款人均為個(gè)人而非公司，訂貨方法一律采用先付款后發(fā)貨的方式。（3）在進(jìn)行網(wǎng)絡(luò)交易前要對(duì)交易網(wǎng)站和交易對(duì)方的資質(zhì)進(jìn)行全面了解。11.3.4防范網(wǎng)絡(luò)釣魚攻擊

4、采取相關(guān)網(wǎng)絡(luò)安全防范措施（1）安裝防火墻和防病毒軟件，并經(jīng)常升級(jí)。（2）注意經(jīng)常更新系統(tǒng)補(bǔ)丁，填補(bǔ)軟件漏洞。（3）禁止瀏覽器運(yùn)行JavaScript和ActiveX代碼。（4）不要訪問(wèn)一些不太了解的小網(wǎng)站，不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件，不要打開MSN或者QQ上傳送過(guò)來(lái)的不明文件等。（5）提高自我保護(hù)意識(shí)，注意妥善保管自己的私人信息，不向他人透露本人證件號(hào)碼、帳號(hào)和密碼等，盡量避免在網(wǎng)吧等公共場(chǎng)所使用網(wǎng)上電子商務(wù)或網(wǎng)絡(luò)交易服務(wù)。11.4垃圾郵件分析與防范

11.4.1垃圾郵件的概念與特點(diǎn)11.4.2垃圾郵件攻擊的原理11.4.3垃圾郵件的攻擊方式11.4.4反垃圾郵件常用技術(shù)11.4.1垃圾郵件的概念與特點(diǎn)

垃圾郵件是指未經(jīng)請(qǐng)求而大量發(fā)送的電子郵件

垃圾郵件主要來(lái)源于匿名轉(zhuǎn)發(fā)服務(wù)器、匿名代理服務(wù)器、一次性帳戶、僵尸主機(jī)四個(gè)方面

垃圾郵件具有以下特點(diǎn)：（1）未經(jīng)收件人同意或允許。（2）郵件發(fā)送數(shù)量大。（3）具有明顯的商業(yè)目的或欺騙性目的。（4）非法的郵件地址收集。（5）隱藏發(fā)件人身份、地址、標(biāo)題等信息；含有虛假的、誤導(dǎo)性的或欺騙性的信息。（6）非法的傳遞途徑。垃圾郵件因?yàn)檎加么罅康木W(wǎng)絡(luò)帶寬和服務(wù)器系統(tǒng)資源而造成郵件服務(wù)器擁塞，進(jìn)而使得整個(gè)網(wǎng)絡(luò)的運(yùn)行效率降低11.4.2垃圾郵件攻擊的原理

在電子郵件發(fā)送過(guò)程中有三個(gè)重要的概念郵件用戶代理(MailUserAgent，MUA)：即通常所說(shuō)的郵件客戶端軟件，它幫助用戶讀寫和管理郵件郵件傳輸代理（MailTransportAgent，MTA）：郵件傳輸過(guò)程中經(jīng)過(guò)的一系列的中轉(zhuǎn)服務(wù)器的統(tǒng)稱，它們將郵件發(fā)送給其它的郵件服務(wù)器或最終的收件人服務(wù)器郵件投遞代理(MailDeliverAgent，MDA)，即收件服務(wù)器，它負(fù)責(zé)接收并保存發(fā)給用戶的郵件11.4.2垃圾郵件攻擊的原理

電子郵件的發(fā)送過(guò)程如圖11-25所示

圖11-25電子郵件傳輸過(guò)程11.4.2垃圾郵件攻擊的原理

通常，一次完整的郵件發(fā)送過(guò)程包括以下3個(gè)階段：

（1）發(fā)件人將郵件通過(guò)MUA提交給郵件發(fā)件服務(wù)器（發(fā)送MTA）。電子郵件發(fā)送時(shí)，一般并不是直接從發(fā)件人計(jì)算機(jī)上的MUA發(fā)到保存收件人郵箱的MDA。（2）發(fā)件服務(wù)器將郵件發(fā)送給收件人郵箱所在服務(wù)器（收件服務(wù)器）。發(fā)件服務(wù)器會(huì)通過(guò)SMTP協(xié)議將郵件提交給收件服務(wù)器。根據(jù)SMTP協(xié)議的規(guī)定，如果發(fā)件服務(wù)器無(wú)法直接連接收件服務(wù)器，可以通過(guò)其它服務(wù)器進(jìn)行中轉(zhuǎn)。發(fā)件服務(wù)器或中轉(zhuǎn)服務(wù)器在發(fā)送郵件時(shí)，如果發(fā)送不成功時(shí)會(huì)嘗試多次，直到發(fā)送成功或因?yàn)閲L試次數(shù)過(guò)多放棄為止。這種轉(zhuǎn)發(fā)方法對(duì)轉(zhuǎn)發(fā)郵件來(lái)源沒有任何限制，任何服務(wù)器都可以通過(guò)它來(lái)轉(zhuǎn)發(fā)郵件。由于在郵件頭中只記錄了域名信息，而沒有IP地址信息，因此經(jīng)過(guò)轉(zhuǎn)發(fā)之后無(wú)法得知郵件初始發(fā)出的IP地址。很多垃圾郵件制造者就利用這一點(diǎn)結(jié)合偽造域名信息來(lái)隱藏自己的實(shí)際發(fā)送地址。

（3）收件人MUA從MDA上收取自己的郵件。郵件被MDA保存到用戶郵箱之后，用戶就可以收取這些郵件了。與郵件發(fā)送的第一步一樣，根據(jù)用戶使用的MUA的不同，不同的用戶可能會(huì)使用不同的協(xié)議來(lái)收取郵件。常見的郵件收取協(xié)議有POP3、HTTP和IMAP等。11.4.2垃圾郵件攻擊的原理

電子郵件投遞遵循的是SMTP協(xié)議，