“钓鱼网站”的甄别与防范研究
摘要:“钓鱼网站”是目前网络欺诈的主要形式之一。现有的钓鱼网站侦测工具,大多是通过分析网页原始码,判断钓鱼网站与合法网站的异同,这种方法具有很大的局限性。鉴于此,对当前流行的“钓鱼网站”甄别与防范防范做了研究和综述,并运用CANTINA\iTrustPage\SpoofGuard等工具软件做了实验对比分析并得出了结论。
关键词:钓鱼攻击;甄别与防范;方法;实验
"Fishing websites" discrimination and prevention research
Abstract:"Fishing site" is the Internet fraud one of the main form. The existing fishing websites detection tools, it is mostly through the analysis of the web page code, judge fishing website and the similarities and differences of legal web site, this method has great limitations. In view of this, the current popular "fishing websites" discrimination and prevent prevention is discussed and summarized, and using the CANTINA \ iTrustPage \ SpoofGuard tools such as software the contrast analysis and reaches a conclusion.
Key words:Fishing attack; Discrimination and prevention; Methods; The experiment
目录
第一章引言 (1)
1.1 研究动机 (1)
1.2 目的与方法 (2)
第二章背景知识 (2)
2.1 自动侦测工具 (2)
2.1.1 CANT INA (2)
2.1.2 iTrustPage (3)
2.1.3 SpoofGuard (3)
2.2 警告使用者 (4)
2.3 教育使用者 (4)
2.3.1 Anti-Phishing Phil (4)
2.4 个人资讯管 (5)
2.4.1 Passpet (5)
2.4.2 智慧型手机资讯管 (6)
第三章系统设计 (7)
3.1系统的设计原理 (8)
3.2运行平台和开发工具的选择 (9)
3.3系统的设计 (9)
3.3.1 白名单与 IP-Address (10)
3.3.2 标题当关键字 (10)
3.3.3 外部网域判断 (12)
第四章系统测试结果 (12)
4.1 钓鱼网站测试 (12)
4.2 合法网站测试 (13)
第五章总结 (14)
致谢 (15)
参考文献 (15)
“钓鱼网站”的甄别与防范研究
第一章引言
1.1 研究动机
钓鱼(Phishing)[1]一词源自于早期黑客使用电话(Phone)进诈骗犯罪为,
随机取样的方式则似钓鱼(Fishing),因此将Phone 与Fishing 做结合成为Phishing。根据APWG(Anti-Phishing Working Group)的定义,钓鱼者将使用者导向到一个伪造的钓鱼网站,让使用者误以为是正当网站,并在网站中泄个人资讯。钓客在制作钓鱼网站时候通常将整个网页的架构及画面制作的与真实网站十分相似,让使用者容察觉真假的同而入钓鱼攻击的陷阱。
随着网的普及,网站提供的线上服务越越多元化,包括政府、学校、银行与购物网站提供线上服务方使用者需要亲自办造成时间上的损失。这些方的服务却造成有心人士有机会用造假的手段,进网上的诈骗为,以当的手段谋取使用者资并且造成使用者财务上的损失。用网并且制作假冒真实网页的钓鱼网站攻击者,称之为网钓客,网钓客经常用电子邮件作媒介,让使用者从
电子邮件中无意间浏览到钓鱼网站,由于这些电子邮件常常声称自己是自合法的网站,并且要求使用者到钓鱼网站上输入个人资讯认证使用者在该服务的
身分。网钓客再藉由钓鱼网站侧使用者在这个服务网页上的资,或是要求使用者浏览网站前,需要先输入帐号密码确认身分后才可以使用,结果将使用者资拿做非法使用,如窃取Yahoo 拍卖帐号密码,使用假拍卖资讯骗取其他顾客汇款,或是窃取Paypal 帐号密码,盗用使用者在Paypal 中的存款进购物。
从反钓鱼服务组织https://www.doczj.com/doc/236041205.html,!看,eBay、Payapl、ChaseBank of America 等,是经常受到钓鱼网站仿冒的目标对象,这些钓鱼网站造成这些公司的信誉受损。根据APWG 的报告指出,二00八一月份到十二月份,确认
为钓鱼网站攻击的通报从一月份的3362 笔计到十二月份共31,173笔。但是目前没有任何一家公司或是机构透这些钓鱼网站造成他们公司的损失额为多少,过根据知名科技产业调查与顾问公司Gartner [2]在二00七的调查显示,网钓鱼攻击在美国所造成的损失已经超过32 亿美元。由此可知钓鱼网站攻
击已经使商业为、私人资讯以及财产受到严重的威胁。
1.2 目的与方法
钓鱼攻击可以从个层面做过,一种是电子邮件的过机制,另一种则是网站的过机制。而电子邮件与网站又可以分为伺服器端以及客户端这个端点的过方式。通常伺服器端的钓鱼邮件过机制会与垃圾信件过机制做结合,因为钓鱼邮件算是垃圾邮件的一种型,伺服器端又因为有庞大的邮件资讯可以做比较分析,所以经由分析信件内容后,再判断是否为钓鱼邮件加以对钓鱼攻击进阻挡,所以将防御机制设在邮件伺服器端是一种错的方式[3],但这种方式却因为需要分析信件内容才能对邮件过,可能会牵涉邮件隐私的问题,所以另一方式是从邮件客户端去采取过动作,如此一比较会牵涉邮件隐私问题。但是网的多元化,使用者接收的资讯会是自电子邮件以及其他许多方面像是网上的广告,所以单只有过电子邮件可能还是会让使用者经由其他方面接收到钓鱼网站的资讯,所以本文提出的方法是以过钓鱼网站为主。
本文提出以网页标题做关键字,用网页搜寻引擎,如Google,取得相关网页,并且将搜寻引擎得到的结果依排序比对首要几笔资讯,确认被侦测网站是否为钓鱼网站,以保障使用者受钓鱼攻击的威胁。
第二章背景知识
为避免使用者入钓鱼攻击的陷阱,预防的方式可以分为警告使用者、教育使用者与个人资讯管,另外还有自动侦测工具过钓鱼网站避免钓鱼攻击。
以自动侦测过钓鱼网站看目前已经有许多反钓鱼攻击技术被提出,如CANTINA 、iTrustPage 、Sp oofGuard ,而这些现有的侦测钓鱼网站工具,大多是以分析网页原始码,或是以网页URL配合黑名单[4]以及安全名单做比对为主要方法,接下会分别为这几个工具做一个简介。
2.1 自动侦测工具
2.1.1 C ANTIN A
CANTINA 这个工具主要分析网页内容,并以Term Frequency-Inverse Document Frequency 演算法的方式从网站中撷取出现频较高的字词,当作可以代表这个网站的关键字,用搜寻引擎取得排序较高的网站,并且做DomainName的比对,判断该网站是否为钓鱼网站。除此之外,CANTINA还考下特征资讯,像是Domain注册时间,Logo所属网站,IP-Address,还有网址中所含的Dots目。如果Domain注册时间小于十二个月,将视为可疑网站,Logo 所属网站与当前浏览网页网域同,也视为可疑网站,当前网页如果为
IP-Address,以及当前网页网址如果含超过五个以上的Dots,也视为可疑网站,最后将以上同的考资讯分别给予分,最后做总计分判断当前网站特征是否足够属于合法网站或是钓鱼网站。
2.1.2 iTrustPage
iTrustPage则是当使用者在输入任何资讯到网页上的文字盒(Textbox)时,先比对URL是否曾经出现在Cache中,如果没有出现过,则撷取正在浏览网页的左上角画面,并且要求使用者输入与该网页有关的关键字,接着iTrustPage用搜寻引擎进搜寻,最后会回传前三笔结果左上角画面,让使用者选取相似画面并做网域比对。如图2.1所示:
图2.1 ItrustPage 画面
使用者选取相似画面后,iTrustPage即可判断被选取网页的网域,是否跟当前浏览网页相同,决定当前浏览网页是否为钓鱼网站。
2.1.3 SpoofGuard
SpoofGu ard用网域、URL、图案结、文字结以及史纪这些特征,做钓鱼网站的过分析,当结内容与网域符合,或是有外部结的资讯,SpoofGuard会分别给予分,最后会将这些分作总和,使用者也可以针对某些特征给予比较重的分,这表示使用者认为这些分比较重的特征,有比较能代表钓鱼网站的意义,从系统本身的预设值看,史纪这项特征,有着较重的分,因此正要浏览的网站曾出现过在史纪时,该网页会被加以严格分析过。最后,当正在浏览
的网页被判断为钓鱼网站后,SpoofGuard会跳出警告视窗明当前浏览网页为何被判断为钓鱼网站,如图2.2 SpoofGuard警告画面,让使用者可以自己判断是否继续浏览当前网页。
图2.2 SpoofGuard 警告画面
2.2 警告使用者
通常警告使用者这个方式,很容被使用者忽,因为警告的方式经常是在使用者输入资讯的时候,跳出警告视窗告知使用者可能会将个人资讯泄给第三方,使用者为继续完成输入资讯的步骤,通常会详细阅警告内容,久而久之使用者很容再会警告视窗提出的讯息,直接关闭,失去警告视窗提醒使用者的意义。
2.3 教育使用者
教育使用者这个方式,是为要直接提升使用者对钓鱼攻击的认知提出的预防方式,像是Anti-Phishing Phil 就是一个教育使用者如何用浏览器的资讯辨钓鱼网站的游戏。
2.3.1 Anti-Phishing Phil
Anti-Phishing Phil 用玩游戏的方式教育使用者如何辨钓鱼网站,并且由浅入深的方式提示使用者如果碰到一个可以网址,可以用哪些方式判断出这个网址是否为钓鱼网站。如图2.3,游戏在每一个关卡前,先有一小段教学指示,告诉使用者这个关卡主要是要辨哪一型的钓鱼网址,以及判断网址的方法,图2.3,接着使用者开始闯关,使用者在时限内必须吃掉所有的食物,每个食物有一个网址需要使用者判断,使用者操作可分为吃下、拒绝或教学,使用者如果确定该食物是否为钓鱼网址,可以使用教学提示,最后如图2.4,会对使用者评分,让使用者知道正确的判断方法。
图2.3 Anti-Phishing Phil 游戏
图2.4 Anti-Phishing Phil画面
2.4个人资讯管
目前个人资讯管,通常是记网页资讯和对应输入的帐号密码资讯,一般这些工具会记网页的IP Address 与当下要输入帐号密码的URL,因此使用者在针对这个网页储存一个专属帐号密码资讯或是个人比较隐私的资,当要输入这些讯的时候,使用者可以透过管工具判断是否有当前页面相关的储存资讯,再决定是否自动输入,下面将介绍Passpet与智慧型手机资讯管。
2.4.1 Passpet
Passpet 用养宠物鱼的方式帮使用者记使用者帐号密码,相同网页可以用同的宠物记此网页同的帐号密码。首先使用者需先建一条宠物鱼帮助记帐号密码资讯,而每条鱼也需要ㄧ组密码做使用者验证,当使用者要唤醒宠物输入资讯时,须先输入这组密码验证使用者使用这条鱼的权限,才能让宠物帮使用者输入帐号密码资讯。
图2.6 Passpet 唤醒宠物及验证使用者
如图2.6,使用者要输入帐密资讯时,要先唤醒宠物,接着验证使用者是否有权限使用这条鱼,再宠物鱼会显示先前为该网页设定的Label,使用者可以透过这个Label 确定网页是否可以输入帐密资讯,最后使用者按下宠物后,宠物即可帮使用者自动填写帐密资讯到该网页中,如图2.7 所示。
图2.7 Passpet 自动输入帐密资讯
2.4.2 智慧型手机资讯管
智慧型手机资讯管分成个部份,一个是手机端另一个是主机端,主机端可能为Server 或一般PC 或是笔记型电脑,而主机端需安装专属的浏览器Plug-in 工具与手机端做呼应。手机端则有资讯管软体,用分别记使用者帐号资与网页资讯。
网页资讯记网页的主机资讯、URL、IP Address 和InputArea,而主机资讯包含主机名称、主机作业系统资讯(如:Windows XP sp2)、主机网卡MACAddress 和Disk ID。帐号资则单纯记在这个网页下的帐号与密码资讯,而上述这个主要资讯需要使用者预先储存到手机。
如智慧型手机管程图所示,当使用者浏览到某个网页需输入帐号密码时,
将先建手机与主机的芽线,接着手机端对主机要求当前网页的资讯,透过浏览器Plug-in 回传当前网页资讯到手机端后,手机端将比对这些资讯是否有建过以及是否跟手机端已经建的资讯相符合,接着回传使用者资讯到主机端,最后再透过Plug-in 自动输入对应的使用者资讯到InputArea 中,此方法同于一般管工具的地方就是另外透过手机储存资讯,因此这些资讯可以在同地点使用,而且可以透过手机芽线讯号决定使用者是否还在使用电脑,做电脑登出或锁定的判断,多一层安全保护。
目前大多被提出的方法是针对文字内容分析,但是越越多的钓鱼网站,为避免被这些以文字为过基础的反钓鱼工具分析过,是以图示取代静态文字(如:Flash和Java Applet),所以本文将用被侦测网页之标题、URL 以及撷取网页画面做主要分析方法,判断该网站是否为钓鱼网站。
第三章系统设计
根据相关研究指出,钓鱼网站的最大特色就是网页画面会与合法网站极为相同,但是网站的网域却是自同的地方,如图3.1 钓鱼网站与图3.2合法网站可以明显看出,网页画面几乎一样,使用者将容察觉个网站的同之处。
图3.1 钓鱼网站
用上述的钓鱼网站特征,本文提出钓鱼侦测工具之系统架构,与先前的相关研究做结合,可分成三个部份,第一个部份含白名单与IP-Address 比对,第二个部份是以网页标题作关键字进比对,第三个部份是外部网域的比对。
图 3.2 合法网站
3.1系统的设计原理
传统的反网络钓鱼网站技术主要采用“白名单”或“黑名单”的方法,这种方法存在明显的弊病:(1)网络钓鱼网站的生命周期很短,新的钓鱼网站大量的涌现,采用名单的方法维护,工作量很大I(2)由于“黑名单”是在网络钓鱼事件发生后,由个人举报或网络监控单位添加的,具有一定的滞后性,(3)占用了用户的网络带宽和存储空间,(4)增加了上网环节,
影响上网的效率。
针对。黑名单”或“白名单”的模式,提出了钓鱼网站探测模式。该模式是根据字符的字形或语义相似性,由受保护的网站的域名出发,产生大量的域名,再访问每个域名的网站和原网站进行比较,来判断该网站是不是钓鱼网站。
Unicode是一种在计算机上使用的字符编码。它为每种语言中的每个字符设定了统一并且惟一的二迸制编码,以满足跨语言、跨平台进行文本转换,处理的要求。采用Unicode编码带来了很大的安全问题,这是因为采用Unicode编码后,许多的字符在字形或语义上相似。这就被人利用来做Unicode攻击,包括电子邮件攻击、网络钓鱼攻击和网站攻击,字符相似性按照下面3种方法产生:(1)总结常用字母和数字的相似字符,加以整理,为相似性规则库中比较可信的部分。(2)根据语义的形似性总结字符相似性集合,例如,大小写字母的语义是完全相同的。(3)计算字符的相似性。由于字符是根据点阵的方式显示的,这就为查找相似性字符集合提供了方法,根据两个字符位置重合点数占单个字符点数的比值,得出两个字符的相似值,作为判断两个字符相似程度的依据,建立相似字符数据库。
3.2运行平台和开发工具的选择
运行平台适用于Windows2000/XP ,数据库采用SQL Server2000,开发语言采用C#。 选定的开发工具是Visual C#2008,基于.NET Framework 3.5框架。Visual C#是Microsoft .NET 计划的核心编程语言,其优点是简洁、灵活、安全、面向对象和兼容性强。Visual C#兼具VisualBasic 的高效性和Visual C++的强大功能,是专门针对.NET 设计的一种语言,在.NET 中有不可替代的作用。可以利用Visual C#很方便的设计出良好的用户界面,提供了强大的网络开发功能,简化了探测网站地工作。
3.3系统的设计
网络钓鱼网站探测系统分为5步实现的,如图3.3所示。
图3.3 网络钓鱼网站系统
网络钓鱼网站探测系统是依靠域名产生算法和网页比对算法完成的。域名产生算法就是根据用户设定的需要保护的网站,负责生成符合条件的尽可能完备的域名,而网页比对算法
就是根据域名访问网站,判断该网站是不是钓鱼网站。过程具体描述如下:
(1)设定需要保护的网站 此流程就是得到要保护的网站,写入数据库。主要用于存放金融网站或电子商务网站的域名和特征等信息。提供一个用户界面,可以对站点进行添加、修改和删除操作。
(2)设定规则 此流程就是根据字符的字形或语义相似性算法,产生相似性字符库,在根据用户的需要添加修改删除一些规则。
(3)产生域名 此流程根据需要保护的网站的域名和规则库,产生新的域名,存入数据库。域名发现算法就是利用规则库规定的相似字母替代URL 中的相似字母,每次的替代形成一个新设定需要保护的网站 产生域名 发现钓鱼网站 网页比对 设定规则 Internet
的URL,在这个产生新的URL过程当中,要求不能产生重复的URL,但也不能遗漏一些URL,所以就要设计一个算法,使该算法满足上面的要求。采用排列组合的方法。依次在URL库中提取URL,对每一个URL,对照规则库的字母替换规则,查找URL中符合替换条件的字母,每个字母又可能有多个可替换的字母,所以要产生完备的URL库,就需要用到排列组合的知识。再把每一个组合的字符串按字母分拆,放到对应的URL字母位置中去,形成新的URL,这就保证了形成新的无重复的完备的URL。
(4)网页比对
此流程就是根据产生的新域名访问该网页,再根据该网页的特征判断是不是钓鱼网站。网页相似性比对就是从URL库中的每个地址出发,访问对应的站点,如果返回找不到服务器的错误信息,则不予处理,但是当返回网站的数据信息时,就必须和站点库中的对应站点特征进行比较,用以区分该站点是不是钓鱼网站。
在特征的比较中由于是两篇Web文档,首先比对特定位置的关键字(例如