在短短几周内,我收到了几家银行发来的电子邮件,警告我我的网上银行服务有被停用的危险;eBay 告诉我需要更改密码;苹果公司抱怨我拖欠了音乐下载的费用;一家航空公司邀请我填写一份调查问卷,快速赚取 50 美元;红十字会请求我捐款帮助中国地震灾民。
这些信息都非常具有说服力,看起来也很真实。除了
eBay 的信息,然而,它们都是被称为“网络钓鱼”的欺诈性电子邮件。
网络钓鱼邮件是由骗子构建的,看起来像是合法的通信,通常
来自熟悉且信誉良好的公司,并且通常要求受害者采取紧急行动以避免某种后果或获得奖励。期望的回应通常涉及登录网站或拨打电话号码以提供个人信息。有时,受害者只需要点击链接或打开电子邮件附件,他们的计算机就会感染恶意软件——称为恶意程序——这使得网络钓鱼者能够检索他们想要的数据或控制受害者的计算机以发起未来的攻击。尽管网络钓鱼诈骗的细节可能有所不同,但结果通常是相同的:成千上万毫无戒心的受害者向犯罪分子提供信息,然后犯罪分子利用这些信息闯入他们的
账户并窃取他们的金钱或身份,或两者兼而有之。
反网络钓鱼工作组是一个致力于消除互联网诈骗和欺诈的国际组织联盟,它跟踪网络钓鱼活动,包括每月检测到的唯一网络钓鱼网站的数量。2007 年,每月总数高达 55,643 个。在 2007 年的每个月,有 92 到 178 个不同的公司品牌被“网络钓鱼”——这意味着他们的名称或徽标被用来欺骗受害者,让他们以为自己是在与受信任的机构打交道。根据研究和咨询公司 Gartner 的数据,估计去年有 360 万美国人成为网络钓鱼的受害者,导致损失超过 32 亿美元。
支持科学新闻事业
如果您喜欢这篇文章,请考虑订阅以支持我们屡获殊荣的新闻事业。 订阅。通过购买订阅,您正在帮助确保未来能够继续报道有关塑造我们当今世界的发现和思想的具有影响力的故事。
由于利害攸关,计算机安全界一直在争先恐后地开发技术来打击网络钓鱼,例如电子邮件和网络浏览器的过滤器,这些过滤器可以标记网络钓鱼企图。尽管此类软件已帮助阻止了许多攻击,但网络钓鱼者仍在不断发展其策略,试图领先于此类技术一步。由于网络钓鱼利用了人性的弱点——一次成功的攻击需要受害者
屈服于诱惑并采取某些行动——因此它也不仅仅是一个技术问题。因此,我在卡内基梅隆大学的研究小组正在研究教导人们识别和避免网络钓鱼诈骗的最佳方法。反过来,这项研究正在为我们反网络钓鱼软件的设计提供信息,以便人们更有可能正确使用它。由于人为因素是网络钓鱼攻击成功的关键要素,我们发现它们也可以成为阻止网络钓鱼者的重要武器。
可教育的时刻
当我们在 2004 年开始尝试了解人们为何会上当受骗时,我的同事曼迪·霍尔布鲁克和朱莉·唐斯在匹兹堡街头招募人们进行采访。大多数人不知道网络钓鱼,并认为这个词“与 Phish 乐队有关”。其他人知道使用金融机构名称的电子邮件诈骗,但他们没有意识到看似来自零售商的消息也可能是欺诈性的。大多数人对如何识别网络钓鱼电子邮件知之甚少,并且倾向于依赖肤浅的特征,例如徽标或专业外观,来确定其是否合法。他们也不理解网络浏览器显示的安全消息,也不知道如何使用网址和电子邮件消息中的提示来判断其真实性。
在确认迫切需要对互联网用户进行网络钓鱼教育之后,我们的下一步是回顾现有的反网络钓鱼培训工作,以试图了解它们为何显然不起作用。我们发现公司、政府机构和行业协会提供了各种各样的专门用于反网络钓鱼培训的网站。其中一些网站包含大量技术术语和超出非技术计算机用户可能消化的信息。一些网站提供了良好的背景知识来提高对网络钓鱼威胁的认识,但在如何保护自己方面几乎没有提供可操作的建议。事实上,我们在实验室研究中发现,一些在提高认识方面最好的反网络钓鱼材料却让人们对合法网站过于怀疑。
更糟糕的是,公司发送给员工或客户以警告他们网络钓鱼攻击的消息在很大程度上被忽略了。然而,我们确实了解到,让研究志愿者阅读看起来像网络钓鱼消息的电子邮件比让他们阅读与安全相关的电子邮件要容易得多。因此,我们的研究似乎表明,抽象地了解网络钓鱼并不能转化为保护,但亲身经历网络钓鱼可能会提供一个强大的可教育时刻。
考虑到其中的一些见解,我的团队成员,Ponnurangam Kumaraguru、Alessandro Acquisti 和其他人,开发了一个名为 PhishGuru 的培训系统,该系统在用户上当受骗模拟的网络钓鱼消息之后传递反网络钓鱼信息。该程序将一套关于网络钓鱼的简洁且可操作的消息融入到简短的卡通片中,其中一个名为 PhishGuru 的角色教导潜在的受害者如何保护自己。在一系列研究中,我们证明,当人们
在被我们发送给他们的模拟网络钓鱼电子邮件欺骗后阅读卡通片时,他们不太可能再次被随后的攻击所欺骗。即使在一周后,我们的测试对象仍然保留了他们所学到的知识。相比之下,那些通过电子邮件阅读发送给他们的 PhishGuru 卡通片,但没有经历模拟攻击的人,非常容易被随后的攻击所欺骗。
扩展这一原则,我的研究生之一史蒂夫·盛还开发了一个名为 Anti-Phishing Phil 的在线培训游戏,该游戏教导人们如何在提供被网络钓鱼者“抓住”的体验的同时识别可疑的网站地址。玩家扮演菲尔的角色,一条年轻的鱼,它必须检查与其遇到的蠕虫相关的网址,并确定哪些是可以安全食用的。当菲尔试图咬住带有欺诈地址的蠕虫时,他会被鱼钩钩住并被拉出水面。然后,一条更年长、更明智的鱼出现在现场,并解释菲尔错在哪里。通过实验室和实地研究,我们表明该游戏显着提高了用户识别网络钓鱼网站的能力。比较他们在培训前后的表现,我们看到误报(网络钓鱼网站被错误地认为是合法的)和误判(合法网站被判断为网络钓鱼网站)的数量都有所下降。游戏玩家的表现也优于接受教程或来自其他来源的材料培训的参与者。
尽管我们已经证明我们可以教导人们保护自己免受网络钓鱼者的侵害,但即使是受过教育的用户也必须保持警惕,并且可能需要定期再培训以跟上网络钓鱼者不断发展的策略。反网络钓鱼工作组报告称,今年致力于感染计算机密码窃取代码的程序和网站数量急剧增加。 “鱼叉式网络钓鱼”攻击是一种日益增长的趋势,它是专门针对受害者的。这些攻击可以采取发送给公司员工的电子邮件的形式,这些电子邮件看起来像是来自该公司的一位经理,从而导致员工信任该消息并打开其附件。公司网站和社交网站上提供的信息可以帮助攻击者制作这些有针对性的消息。
由于网络钓鱼者是如此坚定的罪犯,因此不能期望个人计算机用户单独保护自己。我们的小组还开发了可以识别可能的网络钓鱼攻击的自动过滤器。但在这项工作中,我们也发现人类的反应对于过滤器的成功至关重要。
多管齐下的防御
许多浏览器程序已经包含内置的安全过滤器,或者可以与附加程序协同工作以检测可疑网站。然而,即使反网络钓鱼软件工具能够正确识别网络钓鱼网站,如果用户选择忽略其警告,它们仍然可能无效。为了了解为什么有些人不理会此类安全消息,我的另一位研究生塞尔吉·埃格尔曼向参与我们研究的志愿者发送了模拟的网络钓鱼电子邮件。当接收者上当受骗并点击链接时,他们的 Web
浏览器中会触发警告。然后,埃格尔曼发现,所有使用 Mozilla Firefox 2 浏览器的参与者都听从了警告,而使用 Internet Explorer 7 (IE7) 的用户经常忽略它们。我们确定,两组响应的巨大差异很大程度上归因于以下事实:IE7 用户要么没有注意到警告消息,要么将其与不太严重的警告混淆了。微软似乎也吸取了这个教训,下一代 Internet Explorer 浏览器,
IE8,现在具有更清晰的警告消息,类似于 Firefox 显示的警告消息。
除了清晰度之外,我们还发现准确性是影响用户是否尊重自动过滤器警告的另一个关键因素。高误报率会损害过滤器的可信度,并导致用户在一段时间后忽略它。我们测试的反网络钓鱼过滤器采用多种方法来识别网络钓鱼消息和网站。例如,大多数商业上可用的工具都使用已知网络钓鱼网站的黑名单。随着新网站的报告,它们会很快添加到列表中。一些工具还使用已知合法网站的白名单。
然而,大多数过滤器并不完全依赖此类列表。一些过滤器分析用户访问的每个网站,并应用启发式方法的组合来确定该网站是否可能是欺诈性的。其中一些与我们训练人们注意的信号类型相同,例如以所有数字开头的网址或看起来与知名品牌相似的地址。过滤器审查的其他功能包括人们不易看到的东西;例如,该工具可能会考虑网站的年龄,因为网络钓鱼网站通常寿命极短,保持活动状态的时间短至
几个小时到几天或几周。
时间因素可能会对严重依赖黑名单的过滤器的性能产生影响。例如,我们的小组最近测试了八个消费者反网络钓鱼程序,方法是向它们提供新鲜的网络钓鱼 URL。我们发现,当我们收到 URL 后几分钟内对其进行测试时,大多数黑名单程序捕获的网络钓鱼网站少于 20%。五小时后,大多数程序可以检测到大约 60% 的活动网络钓鱼网站。使用黑名单和启发式方法组合的程序表现要好得多,其中一个程序从
测试开始时就检测到近 90% 的网络钓鱼攻击。
我们的小组一直在研究使用机器学习技术来检测网络钓鱼电子邮件的程序。这是一种用于检测垃圾邮件的常用方法,但垃圾邮件检测器在处理网络钓鱼消息时不是很准确,网络钓鱼消息通常看起来是合法的。我们团队的一名成员诺曼·萨德正在领导一项开发工具的工作,我们最初称之为 PILFER,该工具分析电子邮件中可能指示网络钓鱼的各种特征。例如,网络钓鱼电子邮件通常包含看起来像知名网站地址的超链接文本,但实际的
嵌入式计算机代码将用户定向到攻击者的站点。此外,网络钓鱼电子邮件中的网址通常包含五个或更多个点,并指向最近注册的域名。然而,并非所有网络钓鱼电子邮件都包含这些特征,有时合法电子邮件也包含这些特征。因此,研究人员通过向程序(我们已将其重命名为 Phish-Patrol)提供大量
合法和网络钓鱼电子邮件,以便它可以分析这些消息并了解哪些特征组合最有可能出现在网络钓鱼电子邮件中。在我们最新的实验中,Phish-Patrol 能够检测到超过 95% 的网络钓鱼消息,同时仅对约 0.1% 的合法消息触发误报。
我们还将 PhishPatrol 中使用的一些功能与其他方法结合起来,以检测网络钓鱼网站。杰森·洪一直在领导我们小组开发一种名为 CANTINA 的工具,该工具分析网页内容并结合其他启发式方法来确定该页面是否为网络钓鱼网站的一部分。CANTINA 首先采用一种著名的信息检索算法来识别给定网页上重要但在整个互联网上相对不常见的五个术语。例如,在 eBay 登录页面上,这种“词汇签名”可能是“eBay、用户、登录、帮助、忘记”。如果您使用 Google 搜索这五个术语,合法的 eBay 登录页面将出现在顶部搜索结果中。复制了 eBay 登录页面的网络钓鱼网站不太可能出现,因为 Google 的专有算法在对网页进行排名时使用的标准之一是来自互联网上其他页面的链接数量,因此合法页面更有可能出现在顶部结果中。然而,这种方法并非万无一失,特别是如果合法网站是最近创建的;因此,它只是 CANTINA 在评估网站时考虑的几个功能之一。
不断演变的威胁
我们计算机安全界并不是唯一不断寻求提高性能的人。随着反网络钓鱼技术越来越好,攻击者也在调整他们的策略。网络钓鱼消息现在正在通过即时通讯工具和手机短信发送。网络钓鱼者正在使用在线游戏(如《魔兽世界》)和社交网站(如 MySpace 和 Facebook)的消息功能来引诱他们的受害者。另一种类型的网络钓鱼攻击涉及在公共场所设置 Wi-Fi 接入点并欺骗(模仿)合法 Wi-Fi 供应商的登录页面。这些攻击用于窃取受害者的密码以及用恶意软件感染他们的计算机。
有组织的网络钓鱼团伙利用数千台被入侵的计算机作为
他们攻击的发射点。例如,一个据信总部位于东欧的名为“Rock Phish 团伙”的团伙使用被入侵的计算机将消息中继到网络钓鱼站点。因此,它可以发送看起来源自这些计算机的网络钓鱼消息,从而掩盖实际网络钓鱼站点的网址,并使执法部门难以找到攻击的真正来源。
该团伙使用的另一种规避策略是安全专家称为“快速通量”的系统,其中网络钓鱼者操纵互联网域名服务器以不断更改与网络钓鱼域名相对应的数字地址。
当然,只有当网络钓鱼者有办法将盗取的信用卡
号码和其他凭据兑换成现金时,网络钓鱼才有利可图。因此,网络钓鱼者经常通过广告招募“骡子”来填补在家工作的职位,或者通过与互联网用户交朋友并说服他们网络钓鱼者需要他们的帮助。“骡子”通常是不起眼的受害者,他们可能认为自己被雇用从事合法工作。然而,“骡子”的真正工作是转移被盗资金,并成为如果执法部门发现时被抓住的人。
通过不断改进网络钓鱼检测软件并向用户宣传新类型的网络钓鱼攻击(一旦发现),可以减少网络钓鱼受害者的数量。协调国际执法工作并找到使网络钓鱼减少利润的方法也将有所帮助。尽管如此,网络钓鱼仍然是一场军备竞赛,如果不从源头上阻止它,就很难完全消除,因此消费者需要他们可以获得的各种形式的保护。