eBay及PayPal成2005年最大钓鱼攻击受害者

雪狼孩

【来源：eNet硅谷动力】 【作者：陈登】  
　　【eNet硅谷动力消息】美国东部时间1月4日（北京时间1月5日），据海外最新消息，英国网络安全企业Netcraft公司表示，在2005年中eBay网站及其相应的PayPal支付服务成为了两个最大的钓鱼攻击受害者。




　　Netcraft公司对2005年中超过4.1万个钓鱼攻击网址进行了统计，其中62%的钓鱼攻击指向是eBay网站及其相应的PayPal支付服务。

　　eBay网站及其相应的PayPal支付服务成为了钓鱼攻击者的主要目标的原因很简单，因为他们拥有众多的钓鱼攻击者的最终目标——消费者。

　　Netcraft公司说：“eBay网站及其相应的PayPal支付服务拥有超过6800万的同时在线用户，而且这些消费者们都使用电子邮件，这就为钓鱼攻击者提供了很高的欺骗成功先决条件。”

　　Netcraft公司还对5000个钓鱼攻击站点地址进行了回顾，以求找到这些站点的初始地区，其结果发现，来自罗马尼亚和俄罗斯的钓鱼攻击站点都超过了全球总数的1%，是存在率最高的两个地区。

　　实际上，2005年中有1397个钓鱼攻击站点在罗马尼亚，其总数占整个罗马尼亚域名数中3%之多。Netcraft公司表示，韩国是钓鱼攻击站点存在率最高的国家，共有2807个钓鱼攻击站点，占韩国总域名数中9.1%之多。

　　Netcraft公司为Windows版微软IE浏览器和火狐浏览器提供了一种反钓鱼工具条。该反钓鱼工具条可以从Netcraft公司网站免费下载使用。

影子

钓鱼攻击受害者具体指什么意思?

我爱$$$

不明白

淡淡

ＤＤＯＳ?

韩国肉鸡不少的 哈哈

teru1987

网络欺诈者的手法日渐细密，甚至在发动攻击前，深入了解潜在受害人的详细背景。

电脑安全专家最近发布的报告指出，利用电邮地址作为密码提示和注册识别码的网站，已成为欺诈者取得民众详细个人信息的渠道。

根据报告的描述，欺诈者通过网站的注册和密码提示工具，自动输入数万个电邮地址。由于许多电子商务网站会回复特定的信息给已注册的电邮帐号，攻击者便可借此确定哪些地址是有效的。

利用从数个不同网站收集的信息，恶徒便可针对特定的收件人，量身制作欺诈电邮，让网络使用者更难分辨这些信件究竟是一般的垃圾还是骗局。此外，专家表示，量身制作的信息也容易逃过垃圾邮件过滤器的侦测。

反钓鱼诈骗工作小组(Anti-Phishing Working Group)主席Dave Jevans 说:“钓鱼攻击最近变得更个人化和准确化。”这类欺诈相关的信息，现在会包含收件人的姓名或电邮地址，或甚至含有更多关于收件人的个人信息。

钓鱼是一种盛行的在线欺诈，歹徒试图窃取受害者的帐号、密码和信用卡号等敏感信息，然后对外出售或盗用身份。这类骗局通常利用垃圾电邮和伪装成合法网站的欺诈网页。

欺诈者通常以自行编列、购买或在线收集等方法，准备大量的电邮地址。注册或密码提示攻击的窍门在于网站的回应。许多商务网站会回覆特定的信息，如“这个地址已被注册”，以便申请人更改帐号，但攻击者却可借此辨别哪些帐号有效。

安全专家Eran Reshef 表示，电邮地址与网站配对之后，网络罪犯便可取得真正使用者的性别、性取向、政治立场、居住地区、嗜好和消费过的网络商店等详细个人信息。

Rashef说:“想像某个人知道你所有注册过的网站，再想想那代表什么。集合所有这类信息，你可以一份创造非常详尽的个人侧写，不只是片段的信息。”

因此，这类攻击的成功率也较高，因为当中所含的准确信息，会让不知情的收件人以为那是合法的邮件。举例来说，一封假冒银行或信用卡公司的信件，可能指出收信人确实使用过的网络商店名称。

安全专家发现，美国大多数受欢迎的网站都能让欺诈者进行“恶意的个资收集”。此外，许多小型网站，包括网络商店、运动团队网站、政治组织和其他团体的网站也相当容易被利用。

不过，该安全专家的研究显示，恶意的个资收集尚未大幅扩散。Reshef说，某些网站经营者–例如大型银行企业–似乎已注意到这个问题。这些网站都不让使用者以电邮地址注册帐号，并要求额外信息才会发出注册或密码提示，或采取其他安全措施。

eBay也是以实际行动阻挡注册与密码提示攻击的商业网站之一。eBay的全球隐私权标准资深顾问Scott Shipman 表示，早在钓鱼诈骗肆虐之前，该站便停止接受电邮地址作为使用者帐号，并在注册与密码提示过程中，采取其他保护措施。

Shipman说:“这一切都是专门防范未授权的信息揭露，不管是多么细微的信息，例如某个电邮地址或使用者帐号是否为本站的有效帐号。” 以eBay为例，不论特定电邮帐号是否曾在该站注册，使用者帐号的提示功能均发出一样的回应。Shipman说:“错误信息的用字遣词让人无法分辨这个帐号是否有效。”

Shipman 认为，设计一个不会泄漏使用者信息的网站，是所有网站经营者的责任。他表示:“这是何谓最佳经营行为的典范。”

恶意的个资收集只是钓鱼诈骗信息日益准确化的方式之一。本月稍早，安全研究人员曾提报，遭窃的消费者信息被用来盗领特定银行个人帐户内的存款。

反钓鱼诈骗工作小组的Jevans表示，安全专家的研究显示一股新兴的钓鱼欺诈威胁。他赞成在线组织应采取行动，消除注册与密码提示功能的安全弱点。他说:“我认为这项研究是真的，你绝对可以改写网站的这项功能，或许也应该这么做。”

个资收集如何进行?

以下条列出网络恶徒如何建立潜在受害者的个人侧写，以提高欺诈犯罪的成功率。

攻击者用购买、网络收集工具、自行编造或其他方式，准备大量电邮地址。

编写一段script程序，自动执行将所有电邮在不同网站登入的程序，以便收取回覆。

网站的回覆让攻击者确认个别电邮地址是否有效，再将这些信息汇编成详尽的文件。

制作完成的个人文件用来量身定作欺诈电邮。

如何阻挡攻击?

唯有网站企业对注册与未注册电邮发出不同的回覆，“恶意个资收集”手段才有可能奏效。

当网站允许电邮地址作为注册帐号，且没有要求难以捏造的个人细节信息，如信用卡号以为验证，其注册功能才有可能被恶徒利用。

其他安全措施，如要求新登记者解答图像问题，也能防范这类攻击。

除电邮地址之外，提示功能若还要求其他个人信息，恶徒便难以利用。

网站所提出的图像式问题，也能有效制止这类欺诈手段。

大坏蛋

东欧（包括俄罗斯），越南，东南亚，韩国比较多 ^_^