eBay及PayPal成2005年最大钓鱼攻击受害者

[复制链接]
查看: 1932   回复: 6
发表于 2006-1-6 17:45:59 | 显示全部楼层 |阅读模式
【来源:eNet硅谷动力】 【作者:陈登】  
  【eNet硅谷动力消息】美国东部时间1月4日(北京时间1月5日),据海外最新消息,英国网络安全企业Netcraft公司表示,在2005年中eBay网站及其相应的PayPal支付服务成为了两个最大的钓鱼攻击受害者。




  Netcraft公司对2005年中超过4.1万个钓鱼攻击网址进行了统计,其中62%的钓鱼攻击指向是eBay网站及其相应的PayPal支付服务。

  eBay网站及其相应的PayPal支付服务成为了钓鱼攻击者的主要目标的原因很简单,因为他们拥有众多的钓鱼攻击者的最终目标——消费者。

  Netcraft公司说:“eBay网站及其相应的PayPal支付服务拥有超过6800万的同时在线用户,而且这些消费者们都使用电子邮件,这就为钓鱼攻击者提供了很高的欺骗成功先决条件。”

  Netcraft公司还对5000个钓鱼攻击站点地址进行了回顾,以求找到这些站点的初始地区,其结果发现,来自罗马尼亚和俄罗斯的钓鱼攻击站点都超过了全球总数的1%,是存在率最高的两个地区。

  实际上,2005年中有1397个钓鱼攻击站点在罗马尼亚,其总数占整个罗马尼亚域名数中3%之多。Netcraft公司表示,韩国是钓鱼攻击站点存在率最高的国家,共有2807个钓鱼攻击站点,占韩国总域名数中9.1%之多。

  Netcraft公司为Windows版微软IE浏览器和火狐浏览器提供了一种反钓鱼工具条。该反钓鱼工具条可以从Netcraft公司网站免费下载使用。
发表于 2006-1-6 17:57:29 | 显示全部楼层
钓鱼攻击受害者具体指什么意思?
回复 支持 反对

使用道具 举报

发表于 2006-1-7 16:50:32 | 显示全部楼层
不明白
回复 支持 反对

使用道具 举报

发表于 2006-1-7 17:58:01 | 显示全部楼层
DDOS?

韩国肉鸡不少的 哈哈
回复 支持 反对

使用道具 举报

发表于 2006-1-7 18:04:11 | 显示全部楼层

网络钓鱼攻击日趋准确化 利用电邮作怪

网络欺诈者的手法日渐细密,甚至在发动攻击前,深入了解潜在受害人的详细背景。

电脑安全专家最近发布的报告指出,利用电邮地址作为密码提示和注册识别码的网站,已成为欺诈者取得民众详细个人信息的渠道。

根据报告的描述,欺诈者通过网站的注册和密码提示工具,自动输入数万个电邮地址。由于许多电子商务网站会回复特定的信息给已注册的电邮帐号,攻击者便可借此确定哪些地址是有效的。

利用从数个不同网站收集的信息,恶徒便可针对特定的收件人,量身制作欺诈电邮,让网络使用者更难分辨这些信件究竟是一般的垃圾还是骗局。此外,专家表示,量身制作的信息也容易逃过垃圾邮件过滤器的侦测。

反钓鱼诈骗工作小组(Anti-Phishing Working Group)主席Dave Jevans 说:“钓鱼攻击最近变得更个人化和准确化。”这类欺诈相关的信息,现在会包含收件人的姓名或电邮地址,或甚至含有更多关于收件人的个人信息。

钓鱼是一种盛行的在线欺诈,歹徒试图窃取受害者的帐号、密码和信用卡号等敏感信息,然后对外出售或盗用身份。这类骗局通常利用垃圾电邮和伪装成合法网站的欺诈网页。

欺诈者通常以自行编列、购买或在线收集等方法,准备大量的电邮地址。注册或密码提示攻击的窍门在于网站的回应。许多商务网站会回覆特定的信息,如“这个地址已被注册”,以便申请人更改帐号,但攻击者却可借此辨别哪些帐号有效。

安全专家Eran Reshef 表示,电邮地址与网站配对之后,网络罪犯便可取得真正使用者的性别、性取向、政治立场、居住地区、嗜好和消费过的网络商店等详细个人信息。

Rashef说:“想像某个人知道你所有注册过的网站,再想想那代表什么。集合所有这类信息,你可以一份创造非常详尽的个人侧写,不只是片段的信息。”

因此,这类攻击的成功率也较高,因为当中所含的准确信息,会让不知情的收件人以为那是合法的邮件。举例来说,一封假冒银行或信用卡公司的信件,可能指出收信人确实使用过的网络商店名称。

安全专家发现,美国大多数受欢迎的网站都能让欺诈者进行“恶意的个资收集”。此外,许多小型网站,包括网络商店、运动团队网站、政治组织和其他团体的网站也相当容易被利用。

不过,该安全专家的研究显示,恶意的个资收集尚未大幅扩散。Reshef说,某些网站经营者–例如大型银行企业–似乎已注意到这个问题。这些网站都不让使用者以电邮地址注册帐号,并要求额外信息才会发出注册或密码提示,或采取其他安全措施。

eBay也是以实际行动阻挡注册与密码提示攻击的商业网站之一。eBay的全球隐私权标准资深顾问Scott Shipman 表示,早在钓鱼诈骗肆虐之前,该站便停止接受电邮地址作为使用者帐号,并在注册与密码提示过程中,采取其他保护措施。

Shipman说:“这一切都是专门防范未授权的信息揭露,不管是多么细微的信息,例如某个电邮地址或使用者帐号是否为本站的有效帐号。” 以eBay为例,不论特定电邮帐号是否曾在该站注册,使用者帐号的提示功能均发出一样的回应。Shipman说:“错误信息的用字遣词让人无法分辨这个帐号是否有效。”

Shipman 认为,设计一个不会泄漏使用者信息的网站,是所有网站经营者的责任。他表示:“这是何谓最佳经营行为的典范。”

恶意的个资收集只是钓鱼诈骗信息日益准确化的方式之一。本月稍早,安全研究人员曾提报,遭窃的消费者信息被用来盗领特定银行个人帐户内的存款。

反钓鱼诈骗工作小组的Jevans表示,安全专家的研究显示一股新兴的钓鱼欺诈威胁。他赞成在线组织应采取行动,消除注册与密码提示功能的安全弱点。他说:“我认为这项研究是真的,你绝对可以改写网站的这项功能,或许也应该这么做。”

个资收集如何进行?

以下条列出网络恶徒如何建立潜在受害者的个人侧写,以提高欺诈犯罪的成功率。

攻击者用购买、网络收集工具、自行编造或其他方式,准备大量电邮地址。

编写一段script程序,自动执行将所有电邮在不同网站登入的程序,以便收取回覆。

网站的回覆让攻击者确认个别电邮地址是否有效,再将这些信息汇编成详尽的文件。

制作完成的个人文件用来量身定作欺诈电邮。

如何阻挡攻击?

唯有网站企业对注册与未注册电邮发出不同的回覆,“恶意个资收集”手段才有可能奏效。

当网站允许电邮地址作为注册帐号,且没有要求难以捏造的个人细节信息,如信用卡号以为验证,其注册功能才有可能被恶徒利用。

其他安全措施,如要求新登记者解答图像问题,也能防范这类攻击。

除电邮地址之外,提示功能若还要求其他个人信息,恶徒便难以利用。

网站所提出的图像式问题,也能有效制止这类欺诈手段。
回复 支持 反对

使用道具 举报

chgb 该用户已被删除
发表于 2006-1-7 20:01:22 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2006-1-10 02:07:16 | 显示全部楼层
东欧(包括俄罗斯),越南,东南亚,韩国比较多 ^_^
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则