在大多數(shù)人的印象中，網(wǎng)絡(luò)釣魚就是那些欺騙人們提供銀行賬戶或身份信息的假冒電子郵件。然而，據(jù)蜜網(wǎng)項目組&蜜網(wǎng)研究聯(lián)盟（Honeynet Project & Research Alliance）最近發(fā)表的研究報告顯示，網(wǎng)絡(luò)釣魚要比這更復(fù)雜和更可怕。

該聯(lián)盟在這份最新的研究報告中警告說，網(wǎng)絡(luò)釣魚者正在使用惡意的網(wǎng)絡(luò)服務(wù)器、端口重新定向和成功率相當(dāng)高的蜜網(wǎng)誘騙用戶上鉤。他們的努力比人們最初想象的更周密而且更有組織性。在許多情況下，他們與其他的釣魚團伙協(xié)調(diào)作業(yè)并且同時采用多種手段。

蜜網(wǎng)研究人員Arthur Clune在談到這篇報告中的一個攻擊的例子時說，這種釣魚網(wǎng)站的建立速度是非常快的。所有這些網(wǎng)站都是事先準備好的。建立這種網(wǎng)站的人顯然已經(jīng)做好了準備，因為在這個網(wǎng)站還沒有完全建好之前我們就開始看到有網(wǎng)絡(luò)通信了。包括掃描有漏洞的網(wǎng)絡(luò)服務(wù)器等活動在內(nèi)所有的過程都是高度自動化的。這一切都表明，攻擊者是認真的、做好準備的并且要盡可能多地尋找有漏洞的主機。

Clune說，這類網(wǎng)站的質(zhì)量和濫發(fā)郵件的做法正在改善。這類網(wǎng)站使用更規(guī)范的英語并且嵌入了質(zhì)量更好的圖片，使之在外表上更像是真正的網(wǎng)站。另一位研究人員David Watson則說，隨著用戶越來越了解網(wǎng)絡(luò)釣魚以及網(wǎng)絡(luò)釣魚的手段，攻擊者不得不改進他們的方法。他說，受到這種攻擊的人數(shù)之多使他感到意外。

Watson說，在我們調(diào)查的許多詐騙事件中，我們吃驚地發(fā)現(xiàn)，用戶確實會訪問那些假冒的釣魚網(wǎng)站。指導(dǎo)如何安全使用互聯(lián)網(wǎng)的信息顯然沒有普及到最終用戶。

這項研究是使用蜜罐進行的。所謂蜜罐指故意設(shè)置為沒有保護措施的計算機。當(dāng)受到攻擊時，研究人員可以對這些攻擊進行研究，更好地了解攻擊者使用的策略。在蜜罐上，研究人員清楚的觀察到釣魚者成功地使用了三種不同的攻擊手段：

攻破網(wǎng)絡(luò)服務(wù)器

第一種方法是攻破有安全漏洞的服務(wù)器并且安裝惡意的網(wǎng)頁內(nèi)容。在一次典型的釣魚攻擊中，攻擊者使用了如下方法：

·掃描有安全漏洞的服務(wù)器；

·攻破有漏洞的服務(wù)器并且安裝一個工具集或者口令保護后門；

·通過加密的后門進入那臺被攻破的服務(wù)器；

·下載事先制作好的釣魚網(wǎng)站，防止被攻破的服務(wù)器是基于網(wǎng)絡(luò)的服務(wù)器；

·進行有限的內(nèi)容配置和網(wǎng)站測試，當(dāng)首次訪問這個網(wǎng)站服務(wù)器時有可能會暴露他們真正的IP地址；

·下載大量發(fā)送電子郵件的工具，使用這種工具利用垃圾電子郵件為這個假冒的網(wǎng)站做廣告；

·通過上述步驟之后，開始有人訪問這個釣魚網(wǎng)站，并且潛在的受害者開始訪問這個網(wǎng)站的內(nèi)容。

這個聯(lián)盟在聲明中說，從系統(tǒng)首次連接到互聯(lián)網(wǎng)算起，這種攻擊通常只有幾個小時或者幾天的時間。研究發(fā)現(xiàn)，攻擊者經(jīng)常是對許多臺服務(wù)器和許多機構(gòu)同時發(fā)起攻擊。

端口重新定向

這是第二種攻擊方法。據(jù)稱，2005年1月11日，一個攻擊者利用Redhat Linux 7.3系統(tǒng)的安全漏洞成功地進入了一個蜜罐。

研究人員稱，這個攻擊事件有點不同尋常。攻擊者突破了服務(wù)器之后并沒有直接上載釣魚的內(nèi)容。取而代之的是攻擊者在蜜罐中安裝并且配置了一個端口重新定向服務(wù)。這個端口重新定向服務(wù)旨在把發(fā)送到蜜罐網(wǎng)絡(luò)服務(wù)器的HTTP請求以透明的方式重新路由到另外一臺遠程服務(wù)器，使人們很難跟蹤內(nèi)容來源的位置。

研究人員說，攻擊者隨后在蜜罐服務(wù)器中下載和安裝一個名為“redir”的端口重新定向工具軟件。這個工具軟件旨在透明地把進入蜜罐服務(wù)器的TCP連接發(fā)送到一個遠程主機。攻擊者設(shè)置這個軟件，以便把所有通過TCP 80端口進入蜜罐服務(wù)器的通信重新定向到在中國的一臺遠程網(wǎng)絡(luò)服務(wù)器的TCP 80端口。

蜜網(wǎng)

這是第三種釣魚攻擊方法。在2004年9月至2005年1月期間，德國蜜網(wǎng)計劃部署了一系列沒有使用補丁的基于Windows操作系統(tǒng)的蜜罐，以觀察蜜網(wǎng)的活動情況。在此期間，發(fā)生了100多起單獨的蜜網(wǎng)活動。

研究人員表示，他們捕獲的某些版本的蜜罐軟件能夠遠程啟動在被攻破的服務(wù)器中的SOCKS代理。

研究報告則稱，如果訪問這個蜜網(wǎng)的攻擊者能夠啟動遠程蜜罐服務(wù)器中的SOCKS代理功能，這臺服務(wù)器就能夠被用來發(fā)送大量的垃圾電子郵件。如果一個蜜網(wǎng)包含大量的被攻破的主機，攻擊者就可以非常容易地從毫不察覺的家庭電腦用戶擁有的大量的IP地址發(fā)送大量的電子郵件。

資源豐富的蜜網(wǎng)的擁有者利用蜜網(wǎng)從事犯罪活動也許不會使人們感到意外。現(xiàn)在是租用蜜網(wǎng)的時候了。蜜網(wǎng)的經(jīng)營者將向客戶出售具有SOCKS v4功能的服務(wù)器IP地址和端口的列表。有很多文件證明，有人把蜜網(wǎng)出售給垃圾郵件制造者作為轉(zhuǎn)發(fā)垃圾郵件的工具。

底線

在挑選了上述這些攻擊方法之后，研究人員做出結(jié)論稱，釣魚攻擊能夠很快地發(fā)生。從首次入侵服務(wù)器到在網(wǎng)絡(luò)上建起釣魚網(wǎng)站只需要非常短的時間。這就使網(wǎng)絡(luò)釣魚很難跟蹤和預(yù)防。這篇研究報告顯示，許多釣魚攻擊都是同時采取多種手段、組織得非常復(fù)雜并且經(jīng)常聯(lián)合采用上面介紹的手段。

IT管理員應(yīng)該做什么？

Watson指出，黑客經(jīng)常掃描大量的IP地址，尋找可以攻擊的有漏洞的主機。這種掃描活動是不分青紅皂白的。漏洞最多的服務(wù)器將首先被黑客找到。因此，網(wǎng)絡(luò)管理員要采取最佳的安全做法并且修復(fù)系統(tǒng)的安全漏洞，使用防火墻并且執(zhí)行嚴格的身份識別措施，或者封鎖不必要的進入服務(wù)器的連接。

蜜網(wǎng)研究人員Clune贊同這個觀點，并且對IT管理員提出如下建議：

提高警惕。釣魚網(wǎng)站從建立到開始活動是很快的。這些人預(yù)計這種釣魚網(wǎng)站存在時間很短，因此，需要建立很多這類網(wǎng)站。釣魚網(wǎng)站雖然存在的時間短，但是，在被發(fā)現(xiàn)之前造成的損失是很大的，特別是在周末。

對簡單的事情也要加小心。阻止直接發(fā)出的簡單郵件傳輸協(xié)議進入你所有的機器以及進入服務(wù)器的HTTP/HTTPS請求等簡單的事情使你的服務(wù)器不容易被黑客利用，從而使黑客轉(zhuǎn)向其它容易利用的服務(wù)器。通過你的網(wǎng)關(guān)強制執(zhí)行簡單郵件傳輸協(xié)議并且同時運行查找垃圾郵件的軟件可能會完全阻止你的服務(wù)器發(fā)送垃圾電子郵件。從信譽的角度說，這是一種很好的方法。