隨著人們越來越多地依靠互聯(lián)網(wǎng)進(jìn)行商業(yè)、個人財(cái)政和投資等活動，互聯(lián)網(wǎng)詐騙已經(jīng)成為一個越來越大的威脅。互聯(lián)網(wǎng)詐騙有多種形式，從eBay網(wǎng)站上銷售的假冒商品到操縱股票價(jià)格的惡語流言，再到承諾如果你通過自己的銀行帳戶幫助進(jìn)行一筆國外金融交易就能得到大筆財(cái)富的騙局，不一而足。

網(wǎng)絡(luò)釣魚就是互聯(lián)網(wǎng)詐騙中很有趣且發(fā)展最快的一種。網(wǎng)絡(luò)釣魚(Phishing)的名稱來自使用精心布置的誘餌(如看起來很像來自一個真實(shí)公司或機(jī)構(gòu)的E-mail)，這些誘餌是一些別有用心的人所設(shè)置，用于“釣取”用戶的財(cái)政狀況、信用卡詳細(xì)情況和密碼。釣魚攻擊使用的E-mail消息和網(wǎng)站看起來很像是來自一家合法的知名組織，其目的是騙取用戶透露其個人、財(cái)政或計(jì)算機(jī)帳戶信息。攻擊者然后利用這些信息進(jìn)行犯罪活動，如身分竊取、盜竊或欺詐。用戶在被欺騙的情況下，或者通過網(wǎng)頁形式透露信息，或者通過下載和安裝惡意軟件而透露信息。

當(dāng)用戶上當(dāng)受騙，對在線交流形成一種錯誤的觀念，并進(jìn)而采取違背用戶真實(shí)意圖的行動時(shí)，釣魚攻擊就獲得成功。由于推斷一個用戶的意圖是很困難的，因此，要創(chuàng)建一種自動系統(tǒng)保護(hù)用戶免遭釣魚攻擊是一個很具有挑戰(zhàn)性的問題。

近來，釣魚攻擊發(fā)生的頻率越來越高，其中許多足以以假亂真，欺騙用戶。據(jù)反釣魚攻擊工作組(APWG)透露，僅2004年4月，對釣魚攻擊的報(bào)告就增加了180%，而在之前的六個月內(nèi)則增加了4000%。從事反垃圾郵件的郵件邊界公司最近一項(xiàng)研究發(fā)現(xiàn)，釣魚郵件欺騙用戶的成功率為28%。2002年，釣魚攻擊所造成的損失估計(jì)近3700萬美元。

一、一個釣魚攻擊案例的剖析

反釣魚攻擊工作組對釣魚攻擊的案例進(jìn)行收集和存檔，這是一項(xiàng)很有價(jià)值的工作，因?yàn)楣羲镁W(wǎng)址只存在很短的時(shí)間。其中一件案例就是對eBay消費(fèi)者的攻擊，它首次在2004年3月9日被報(bào)道。

攻擊從潛在的受害者收到一封聲稱來自eBay的電子郵件開始(圖1)，信中稱用戶的帳戶信息已經(jīng)過期，必須進(jìn)行更改。信件還包含了一個看起來很像是指向eBay網(wǎng)站頁面的嵌入式超鏈接，該網(wǎng)頁要求用戶輸入信用卡號、聯(lián)系方式、社會安全號碼以及eBay的用戶名和密碼(圖2)。

圖1　一封釣魚郵件的屏幕截圖

圖2　一個釣魚郵件指向的釣魚網(wǎng)頁的屏幕截圖

然而，隱藏在表面下的事實(shí)卻是，信件的內(nèi)容和網(wǎng)頁都不是它看起來的那樣，圖3給出了欺騙過程的示意圖。釣魚郵件看起來像一封來自eBay的合法郵件，在“發(fā)信人”欄列出的是“S-Harbor@eBay.com”，它指向eBay公司的合法域名，信件中嵌入的鏈接也指向“eBay.com”，甚至還使用了加密通道(“https:”)。在這些暗示和信件內(nèi)容的基礎(chǔ)上，用戶對該信件就會建立一種思想模型，即eBay要求更新用戶信息，然后用戶就采取行動，點(diǎn)擊嵌入的超鏈接，并認(rèn)為它指向eBay。但用戶的行動被轉(zhuǎn)變?yōu)橐环N完全不同的系統(tǒng)操作，即從“210.93.131.250”的IP地址獲取網(wǎng)頁，該IP地址代表在韓國漢城注冊的一家通信公司的服務(wù)器，這家公司同eBay公司沒有任何關(guān)系。

圖3　一次釣魚攻擊的剖析

釣魚網(wǎng)站的欺騙模式也與此類似，其網(wǎng)頁看起來很像是合法的eBay網(wǎng)頁，它包含了一個eBay標(biāo)識，其內(nèi)容和版面同真實(shí)eBay網(wǎng)站網(wǎng)頁的格式也相同。在這種情況下，用戶就會建立一種思想模型，即瀏覽器所打開的是eBay的網(wǎng)頁，用戶必須提供所要求的信息，以保持用戶eBay帳戶的有效性。然后用戶就采取行動，輸入個人和財(cái)政數(shù)據(jù)，并點(diǎn)擊“提交”按鈕，希望將這些信息發(fā)送給eBay，但用戶的行動被網(wǎng)頁瀏覽器轉(zhuǎn)變?yōu)檫@樣一種系統(tǒng)操作:將用戶輸入的數(shù)據(jù)加密轉(zhuǎn)變成一個HTTP請求并發(fā)送給“210.93.131.250”，而該IP并不是一個合法的eBay服務(wù)器。