新闻分析：钓鱼式攻击数量减少 更危险更狡猾

CNET科技资讯网4月7日国际报道 钓鱼式欺诈攻击领域传来了好消息：新攻击的增长速度已经慢下来了。但 是，这仅仅是因为攻击着正在开发更狡猾的陷阱和更先进的技术来发动攻击。

反钓鱼工作组上个月在一份报告中称，与1 月份相比，2 月份钓鱼式欺诈电子邮件的数量仅增长了2%。由于自2004年7 月份以来每个月钓 鱼式欺诈电子邮件的增长幅度高达26%，因此这一数字意味着钓鱼式欺诈攻击数量的大幅度削减。

但专家指出，与1 月份相比，2 月份钓 鱼式攻击的复杂程度也大幅度提高了。

无论采取哪种形式，钓鱼式欺诈攻击正在变得更聪明了。微软的律师亚伦表示，钓鱼式攻击者是网络世界的窃贼，他们正在疯狂地窃取用 户的财务资料和其它资料。

据他说，微软最近起诉了117 个钓鱼式欺诈网站的运营者。钓鱼式攻击者将继续寻找新的钓鱼式欺诈攻击技术， 复杂程度正在提高，但这没有什么好奇怪的。

新的鱼钩

第一轮钓鱼式攻击浪潮利用了消费者的“无知”，攻击者向消费者的邮箱中发送大量的看似连接到银行、投资公司、电子商务等网站的电 子邮件，事实上，这些网站都是攻击者设计的虚假网站，旨在诱惑用户泄露机密的个人资料。

随着钓鱼式攻击技术的发展，最近的攻击越来越狡猾了。而且还出现了新的攻击方式：基于即时通讯的攻击、利用JavaScript在合法的网 页上隐藏攻击、新的社会工程学策略。

社会工程学技术提高的最明显例子之一是，最近的攻击不再寻求获得用户的姓名、地址或社会保险 号，相反，它针对Salesforce.com的客户，试图窃取存储在该公司数据库中的资料。

反钓鱼工作组的主席戴夫表示，除了针对Salesforce.com的攻击外，我们发现攻击者还试图窃取企业内网的登录资料。有了这些资料，攻 击者就能够访问企业的网络。如果综合考虑，我们就会发现，钓鱼式攻击的危害更大了。

Salesforce拒绝就这一攻击发表评论，但安全专 家指出，这是网络犯罪分子在选择攻击目标方面越来越机智的绝好例子。

电脑犯罪专家希契科克表示，旨在攻击特定人群的攻击将会增加。他说，向所有互联网用户发送钓鱼式电子邮件可能会有一些效果，但不 会向我们预期的那样大。如果了解了特定人群的行为习惯，或者习惯于利用非电子邮件媒介获得信息，攻击者就有了利用人们的习惯发动 攻击的机会。

希契科克表示，利用即时通讯而非电子邮件发布虚假的链接是发动钓鱼式攻击的另一种新方式。她说，上个月通过雅虎通发动的攻击就是 这样一个例子，钓鱼式消息似乎是来自用户的好友，十几岁的年青人最容易中招儿。

另一种攻击的新方式是保证电子邮件的合法，但在合法的Web 网站中隐藏一个虚假的URL.Mail-Filters的高级副总裁丹表示，通过在合法 的网站中插入钓鱼式攻击，并整合一些反欺诈的“花言巧语”钓鱼式攻击者能够获取更多的目标。

她说，如果用户点击电子邮件中的非虚 假链接，它们将被引导到真正的eBay网页，其中还会有一些反击钓鱼式攻击的建议。但攻击者希望的就是用户放松警惕，点击虚假的链接。 钓鱼式攻击者越来越狡猾了，区分合法链接和虚假链接的难度大大提高了。

新攻击技术不断出现

网络犯罪分子还已经开始采用更先进的技术。这些更狡猾的钓鱼式攻击方法从相对较简单的方法（例如利用企业未经保护的URL 将用户引 导到钓鱼式攻击网站）到高难度的方法（例如使用JavaScript代码在合法的网页上添加内容）不一而足。

在一种被称为“pharming”的攻击类型中，网络窃贼试图利用“DNS 中毒”技术将用户由合法网站引导到恶意网站。这类攻击针对作为互 联网白页的域名系统，用虚假网站的IP地址取代合法网站的IP地址。

有证据表明，由于犯罪分子总是试图领先法律一步，每当一种新的钓鱼式攻击被报道后，就会出现相应的变种。据Netcraft的鲍罗表示， 这表明更多的专业犯罪分子和技术专家已经将他们的注意力转向了钓鱼式攻击。

反钓鱼工作组认为，目前需要对企业和客户进行更多的教育，它希望企业间、司法部门、政府部门之间更好的协作将为打击钓鱼式攻击带 来更多的资源。如果没有这样的协作，钓鱼式攻击将更加猖獗。（编辑：孙莹）