互联网金融诈骗趋势 --- 打击网络仿冒 CNCERT/CC March. 2005 CNCERT/CC www.cert.org.cn
摘要 : Phishing 综述 Phishing 分析 防范 CNCERT/CC 打击 Phishing 的措施
什么是 Phishing? Phishing 综述 -- Phishing 攻击使用欺诈邮件和虚假网页设计来诱骗收件人提供其具有经济价值的信息, 如信用卡帐号 用户名 密码以及社会福利号码等等
Phishing 综述 Phishing 像传染病 : -- 在 10 个收到 Phishing 邮件的人当中有 7 个会被诱骗访问虚假网站 --15% 的虚假网站访问者会提供其个人信息
Phishing 综述 统计数据 2004 年全年, CNCERT/CC 收到来自全球 33 个金融和安全机构的 230 余起 Phishing 投诉
Phishing 综述 统计数据
Phishing 综述 统计数据 CNCERT/CC Monthly Phishing Report 70 60 50 40 30 20 10 0 Jan. Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Phishing 综述 造成损失 -- 平均每个受害用户损失 115 美金 (E-Trust) -- 美国去年因为 Phishing 损失 5 亿美金 (APWG) -- 一个 Phishing 的网站在 48 小时内有 98 个人访问 (98 different IPs) 49 人 / 天 *10*15%*$115=$8452.5/Phishing
Phishing 分析 欺诈的手段 欺诈邮件 E-mail
Phishing 采用的手段 虚假网页 Phishing 分析
Phishing 分析 Phishing 采用的手段 网站看似正常的银行网站, 但它的主机与正常网站的地理位置不同 大多主机是被黑客入侵后值入 有时还含有一些恶意代码
Phishing 分析 Phishing 采用的手段弹出假的登陆窗口
Phishing 分析 Phishing 采用的手段 通过覆盖地址栏, 来隐藏虚假的 URL
Phishing 分析 Phishing 采用的手段 IP 过滤 $file_ip = fopen("ip.txt", "r"); while (! feof($file_ip)): $line = fgets($file_ip, 100); $line = trim($line); $flood_ip = ereg($ip, $line); if ($flood_ip): $file = "$folder/bad.txt"; $need_to_add_ip = 0; else: $file = "$folder/good.txt"; $need_to_add_ip = 1; endif; endwhile; fclose($file_ip); if ($need_to_add_ip == 1): $add_ip = fopen("ip.txt", "a+"); $success_ip =fwrite($add_ip, "$ip"); fclose($add_ip); endif;
Phishing 分析 Phishing 采用的手段 IP 过滤 同样的 IP 不可以访问网站两次 提供恶意信息的 IP 被拒绝访问
Phishing 分析 Phishing 采用的手段 非常规端口 port Pid Process Port Proto Path 436 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 492 msdtc -> 1025 TCP C:\WINNT\system32\msdtc.exe 912 MSTask -> 1026 TCP C:\WINNT\system32\MSTask.exe 792 sqlservr ->1433 TCP d:\progra~1\micros~1\mssql\binn\sqlservr.exe 896 r_server -> 4899 TCP C:\WINNT\System32\r_server.exe 964 http -> 5121 TCP c:\winnt\system32\http.exe 964 http -> 5125 TCP c:\winnt\system32\http.exe 964 http -> 5180 TCP c:\winnt\system32\http.exe 996 web -> 6121 TCP c:\winnt\system32\web.exe 996 web -> 6125 TCP c:\winnt\system32\web.exe 996 web -> 6180 TCP c:\winnt\system32\web.exe
Phishing 分析 Phishing 采用的手段
预防与监测 谁的责任? -- 银行或者金融机构提供网上交易或银行业务的机构有责任确保他们的网站不易被模仿或仿造 同时也有提供安全普及教育的责任
预防与监测 谁的责任? -- 互联网用户或 IDC Every 所有互联网用户都有责任保护他们自己 很多 Phishing 涉及的主机都是由于没有加以保护和及时打补丁而被入侵的 所以互联网用户有责任经常升级系统 安装防病毒软件和防火墙
预防与监测 谁的责任? --CERTs 至今,Phishing 已经波及很多国家和行业 所以打击 Phishing 需要多防方面的协调与合作 这就是 CERT 的重要责任之一 同时 CERT 也是安全普及教育的前沿
预防与监测 谁的责任? -- 网上银行业务的用户 需要学会如何保护自己, 区分 Phishing 和正常的网站
预防与监测 如何防范 E-mail: 确认邮件来自银行.. - 检查邮件源 IP
预防与监测 如何防范 URL 和主机 IP: 确认 URL 与以往相同和在 URL 中没有 IP 出现
预防与监测 如何防范 阻止欺诈邮件 ( 银行 ) Sender ID: Microsoft, E-trust, Hotmail, Sendmail, 等多家公司支持的认证技术 IIM (Identify Internet Mail) : Cisco 和 IETF (Internet Engineering Task Force) 的认证技术
CNCERT/CC 打击 Phishing 的措施 对于 Bank 金融机构和其他国家 CERT CNCERT 从上述 3 方收到投诉后, 调查主机信息并做定位, 以及域名的注册信息
CNCERT/CC 打击 Phishing 的措施 主机用户 CNCERT/CC 对应的分中心会向他们解释事件的性质, 并说服他们予以合作移出欺诈网页, 并予以技术支持和安全顾问 *CERT 不是警察, 而主机的用户也是受害者 我们 h 只能说服他们予以合作, 或协调执法机构予以配合
CNCERT/CC 打击 Phishing 的措施 ISP 向 ISP 寻求帮助, 并对个别案例予以协助
CNCERT/CC 打击 Phishing 的措施 公众 向公众提供普及教育 安全顾问以及新的技术咨询
谢谢