在大多數(shù)人的印象中，網(wǎng)絡(luò)釣魚就是那些欺騙人們提供銀行賬戶或身份信息的假冒電子郵件。然而，據(jù)蜜網(wǎng)項(xiàng)目組&蜜網(wǎng)研究聯(lián)盟（Honeynet Project & Research Alliance）最近發(fā)表的研究報(bào)告顯示，網(wǎng)絡(luò)釣魚要比這更復(fù)雜和更可怕。

　　該聯(lián)盟在這份最新的研究報(bào)告中警告說，網(wǎng)絡(luò)釣魚者正在使用惡意的網(wǎng)絡(luò)服務(wù)器、端口重新定向和成功率相當(dāng)高的蜜網(wǎng)誘騙用戶上鉤。他們的努力比人們最初想象的更周密而且更有組織性。在許多情況下，他們與其他的釣魚團(tuán)伙協(xié)調(diào)作業(yè)并且同時(shí)采用多種手段。

　　蜜網(wǎng)研究人員Arthur Clune在談到這篇報(bào)告中的一個(gè)攻擊的例子時(shí)說，這種釣魚網(wǎng)站的建立速度是非常快的。所有這些網(wǎng)站都是事先準(zhǔn)備好的。建立這種網(wǎng)站的人顯然已經(jīng)做好了準(zhǔn)備，因?yàn)樵谶@個(gè)網(wǎng)站還沒有完全建好之前我們就開始看到有網(wǎng)絡(luò)通信了。包括掃描有漏洞的網(wǎng)絡(luò)服務(wù)器等活動(dòng)在內(nèi)所有的過程都是高度自動(dòng)化的。這一切都表明，攻擊者是認(rèn)真的、做好準(zhǔn)備的并且要盡可能多地尋找有漏洞的主機(jī)。

　　Clune說，這類網(wǎng)站的質(zhì)量和濫發(fā)郵件的做法正在改善。這類網(wǎng)站使用更規(guī)范的英語并且嵌入了質(zhì)量更好的圖片，使之在外表上更像是真正的網(wǎng)站。另一位研究人員David Watson則說，隨著用戶越來越了解網(wǎng)絡(luò)釣魚以及網(wǎng)絡(luò)釣魚的手段，攻擊者不得不改進(jìn)他們的方法。他說，受到這種攻擊的人數(shù)之多使他感到意外。

　　Watson說，在我們調(diào)查的許多詐騙事件中，我們吃驚地發(fā)現(xiàn)，用戶確實(shí)會(huì)訪問那些假冒的釣魚網(wǎng)站。指導(dǎo)如何安全使用互聯(lián)網(wǎng)的信息顯然沒有普及到最終用戶。

　　這項(xiàng)研究是使用蜜罐進(jìn)行的。所謂蜜罐指故意設(shè)置為沒有保護(hù)措施的計(jì)算機(jī)。當(dāng)受到攻擊時(shí)，研究人員可以對(duì)這些攻擊進(jìn)行研究，更好地了解攻擊者使用的策略。在蜜罐上，研究人員清楚的觀察到釣魚者成功地使用了三種不同的攻擊手段：

　　攻破網(wǎng)絡(luò)服務(wù)器

　　第一種方法是攻破有安全漏洞的服務(wù)器并且安裝惡意的網(wǎng)頁內(nèi)容。在一次典型的釣魚攻擊中，攻擊者使用了如下方法：

　　·掃描有安全漏洞的服務(wù)器；

　　·攻破有漏洞的服務(wù)器并且安裝一個(gè)工具集或者口令保護(hù)后門；

　　·通過加密的后門進(jìn)入那臺(tái)被攻破的服務(wù)器；

　　·下載事先制作好的釣魚網(wǎng)站，防止被攻破的服務(wù)器是基于網(wǎng)絡(luò)的服務(wù)器；

　　·進(jìn)行有限的內(nèi)容配置和網(wǎng)站測(cè)試，當(dāng)首次訪問這個(gè)網(wǎng)站服務(wù)器時(shí)有可能會(huì)暴露他們真正的IP地址；

　　·下載大量發(fā)送電子郵件的工具，使用這種工具利用垃圾電子郵件為這個(gè)假冒的網(wǎng)站做廣告；

　　·通過上述步驟之后，開始有人訪問這個(gè)釣魚網(wǎng)站，并且潛在的受害者開始訪問這個(gè)網(wǎng)站的內(nèi)容。

　　這個(gè)聯(lián)盟在聲明中說，從系統(tǒng)首次連接到互聯(lián)網(wǎng)算起，這種攻擊通常只有幾個(gè)小時(shí)或者幾天的時(shí)間。研究發(fā)現(xiàn)，攻擊者經(jīng)常是對(duì)許多臺(tái)服務(wù)器和許多機(jī)構(gòu)同時(shí)發(fā)起攻擊。

　　端口重新定向

　　這是第二種攻擊方法。據(jù)稱，2005年1月11日，一個(gè)攻擊者利用Redhat Linux 7.3系統(tǒng)的安全漏洞成功地進(jìn)入了一個(gè)蜜罐。

　　研究人員稱，這個(gè)攻擊事件有點(diǎn)不同尋常。攻擊者突破了服務(wù)器之后并沒有直接上載釣魚的內(nèi)容。取而代之的是攻擊者在蜜罐中安裝并且配置了一個(gè)端口重新定向服務(wù)。這個(gè)端口重新定向服務(wù)旨在把發(fā)送到蜜罐網(wǎng)絡(luò)服務(wù)器的HTTP請(qǐng)求以透明的方式重新路由到另外一臺(tái)遠(yuǎn)程服務(wù)器，使人們很難跟蹤內(nèi)容來源的位置。

　　研究人員說，攻擊者隨后在蜜罐服務(wù)器中下載和安裝一個(gè)名為“redir”的端口重新定向工具軟件。這個(gè)工具軟件旨在透明地把進(jìn)入蜜罐服務(wù)器的TCP連接發(fā)送到一個(gè)遠(yuǎn)程主機(jī)。攻擊者設(shè)置這個(gè)軟件，以便把所有通過TCP 80端口進(jìn)入蜜罐服務(wù)器的通信重新定向到在中國(guó)的一臺(tái)遠(yuǎn)程網(wǎng)絡(luò)服務(wù)器的TCP 80端口。

　　蜜網(wǎng)

　　這是第三種釣魚攻擊方法。在2004年9月至2005年1月期間，德國(guó)蜜網(wǎng)計(jì)劃部署了一系列沒有使用補(bǔ)丁的基于Windows操作系統(tǒng)的蜜罐，以觀察蜜網(wǎng)的活動(dòng)情況。在此期間，發(fā)生了100多起單獨(dú)的蜜網(wǎng)活動(dòng)。

　　研究人員表示，他們捕獲的某些版本的蜜罐軟件能夠遠(yuǎn)程啟動(dòng)在被攻破的服務(wù)器中的SOCKS代理。

　　研究報(bào)告則稱，如果訪問這個(gè)蜜網(wǎng)的攻擊者能夠啟動(dòng)遠(yuǎn)程蜜罐服務(wù)器中的SOCKS代理功能，這臺(tái)服務(wù)器就能夠被用來發(fā)送大量的垃圾電子郵件。如果一個(gè)蜜網(wǎng)包含大量的被攻破的主機(jī)，攻擊者就可以非常容易地從毫不察覺的家庭電腦用戶擁有的大量的IP地址發(fā)送大量的電子郵件。

　　資源豐富的蜜網(wǎng)的擁有者利用蜜網(wǎng)從事犯罪活動(dòng)也許不會(huì)使人們感到意外。現(xiàn)在是租用蜜網(wǎng)的時(shí)候了。蜜網(wǎng)的經(jīng)營(yíng)者將向客戶出售具有SOCKS v4功能的服務(wù)器IP地址和端口的列表。有很多文件證明，有人把蜜網(wǎng)出售給垃圾郵件制造者作為轉(zhuǎn)發(fā)垃圾郵件的工具。

　　底線

　　在挑選了上述這些攻擊方法之后，研究人員做出結(jié)論稱，釣魚攻擊能夠很快地發(fā)生。從首次入侵服務(wù)器到在網(wǎng)絡(luò)上建起釣魚網(wǎng)站只需要非常短的時(shí)間。這就使網(wǎng)絡(luò)釣魚很難跟蹤和預(yù)防。這篇研究報(bào)告顯示，許多釣魚攻擊都是同時(shí)采取多種手段、組織得非常復(fù)雜并且經(jīng)常聯(lián)合采用上面介紹的手段。

　　IT管理員應(yīng)該做什么？

　　Watson指出，黑客經(jīng)常掃描大量的IP地址，尋找可以攻擊的有漏洞的主機(jī)。這種掃描活動(dòng)是不分青紅皂白的。漏洞最多的服務(wù)器將首先被黑客找到。因此，網(wǎng)絡(luò)管理員要采取最佳的安全做法并且修復(fù)系統(tǒng)的安全漏洞，使用防火墻并且執(zhí)行嚴(yán)格的身份識(shí)別措施，或者封鎖不必要的進(jìn)入服務(wù)器的連接。

　　蜜網(wǎng)研究人員Clune贊同這個(gè)觀點(diǎn)，并且對(duì)IT管理員提出如下建議：

　　提高警惕。釣魚網(wǎng)站從建立到開始活動(dòng)是很快的。這些人預(yù)計(jì)這種釣魚網(wǎng)站存在時(shí)間很短，因此，需要建立很多這類網(wǎng)站。釣魚網(wǎng)站雖然存在的時(shí)間短，但是，在被發(fā)現(xiàn)之前造成的損失是很大的，特別是在周末。

　　對(duì)簡(jiǎn)單的事情也要加小心。阻止直接發(fā)出的簡(jiǎn)單郵件傳輸協(xié)議進(jìn)入你所有的機(jī)器以及進(jìn)入服務(wù)器的HTTP/HTTPS請(qǐng)求等簡(jiǎn)單的事情使你的服務(wù)器不容易被黑客利用，從而使黑客轉(zhuǎn)向其它容易利用的服務(wù)器。通過你的網(wǎng)關(guān)強(qiáng)制執(zhí)行簡(jiǎn)單郵件傳輸協(xié)議并且同時(shí)運(yùn)行查找垃圾郵件的軟件可能會(huì)完全阻止你的服務(wù)器發(fā)送垃圾電子郵件。從信譽(yù)的角度說，這是一種很好的方法。