在短短几周内,我收到了几家银行发来的电子邮件,警告我我的网上银行服务有被停用的危险;eBay 告诉我我需要更改密码;苹果公司抱怨我拖欠了音乐下载的账单;一家航空公司提供给我一个快速赚取 50 美元的机会,让我填写一份调查问卷;红十字会要求我捐款帮助中国地震灾民。这些信息都非常令人信服,看起来也很真实。然而,除了 eBay 的信息外,它们都是被称为“网络钓鱼”的欺诈性电子邮件。
网络钓鱼邮件是由骗子构建的,看起来像是合法的通信,通常来自熟悉且信誉良好的公司,并且通常要求受害者采取紧急行动以避免后果或获得奖励。期望的回应通常涉及登录网站或拨打电话号码以提供个人信息。有时,受害者只需点击链接或打开电子邮件附件,他们的计算机就会感染恶意软件——称为恶意软件——从而使网络钓鱼者能够检索他们想要的数据或控制受害者的计算机以发起未来的攻击。尽管网络钓鱼诈骗的细节可能有所不同,但结果通常是相同的:成千上万毫无戒心的受害者将信息提供给犯罪分子,然后犯罪分子利用这些信息闯入他们的帐户并窃取他们的金钱或身份,或两者兼而有之。
反网络钓鱼工作组是一个致力于消除互联网诈骗和欺诈的国际组织联盟,它跟踪网络钓鱼活动,包括每月检测到的唯一网络钓鱼网站的数量。2007 年,每月总数高达 55,643 个。在 2007 年的每个月中,有 92 到 178 个不同的公司品牌被“网络钓鱼”——这意味着他们的名称或徽标被用来欺骗受害者,让他们以为自己正在与受信任的机构打交道。根据研究和咨询公司 Gartner 的数据,去年估计有 360 万美国人成为网络钓鱼的受害者,导致损失超过 32 亿美元。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和思想的具有影响力的故事的未来。
由于事关重大,计算机安全界一直在争先恐后地开发技术来打击网络钓鱼,例如用于电子邮件和 Web 浏览器的过滤器,这些过滤器可以标记网络钓鱼尝试。尽管此类软件已帮助阻止了许多攻击,但网络钓鱼者仍在不断发展其策略,以试图领先于此类技术一步。由于网络钓鱼利用了人类的脆弱性——一次成功的攻击需要受害者屈服于诱惑并采取某些行动——因此,这也不仅仅是一个技术问题。因此,我在卡内基梅隆大学的研究小组正在研究教人们识别和避免网络钓鱼诈骗的最佳方法。反过来,这项研究正在为我们反网络钓鱼软件的设计提供信息,以便人们更有可能正确使用它。由于人为因素是网络钓鱼攻击成功的关键要素,我们发现它们也可以成为阻止网络钓鱼者的重要武器。
可教育的时刻
当我们于 2004 年开始尝试了解人们为何会上当受骗进行网络钓鱼攻击时,我的同事曼迪·霍尔布鲁克 (Mandy Holbrook) 和朱莉·唐斯 (Julie Downs) 在匹兹堡街头招募人员进行采访。大多数人都没有意识到网络钓鱼,并认为这个词“与 Phish 乐队有关”。其他人知道利用金融机构名称的电子邮件诈骗,但他们没有意识到看似来自零售商的消息也可能是欺诈性的。大多数人对如何识别网络钓鱼邮件知之甚少,并且倾向于依赖肤浅的特征,例如徽标或专业外观,来确定其是否合法。他们也不了解 Web 浏览器显示的安全消息,也不知道如何使用 Web 地址和电子邮件消息中的线索来判断其真实性。
在确认确实非常需要教育互联网用户了解网络钓鱼之后,我们的下一步是审查现有的反网络钓鱼培训工作,以试图了解它们显然不起作用的原因。我们发现公司、政府机构和行业协会提供了各种专门用于反网络钓鱼培训的网站。其中一些网站包含大量技术术语和比非技术计算机用户可能消化的更多信息。一些网站提供了良好的背景知识来提高对网络钓鱼威胁的认识,但几乎没有关于人们如何保护自己的可行建议。事实上,我们在实验室研究中发现,一些在提高意识方面最好的反网络钓鱼材料让人们对合法的网站过于怀疑。
更糟糕的是,公司发送给员工或客户以警告他们注意网络钓鱼攻击的消息在很大程度上被忽略了。然而,我们确实了解到,让研究志愿者阅读看起来像网络钓鱼邮件的电子邮件比让他们阅读与安全相关的电子邮件要容易得多。因此,我们的研究似乎表明,对抽象的网络钓鱼的认识并不能转化为保护,但与网络钓鱼的第一手经验可以提供一个强有力的可教育的时刻。
考虑到其中的一些见解,我的团队成员庞努朗加姆·库马拉古鲁 (Ponnurangam Kumaraguru)、亚历山德罗·阿奎斯蒂 (Alessandro Acquisti) 和其他人开发了一个名为 PhishGuru 的培训系统,该系统在用户上当受骗模拟的网络钓鱼邮件后提供反网络钓鱼信息。该程序将一套关于网络钓鱼的简洁且可操作的消息融入到简短的卡通片中,其中一个名为 PhishGuru 的角色教导潜在的受害者如何保护自己。在一系列研究中,我们证明,当人们在上当受骗我们发送给他们的模拟网络钓鱼邮件后阅读卡通片时,他们不太可能再次上当受骗。即使在一周后,我们的测试对象仍然保留了他们所学到的知识。相比之下,那些阅读通过电子邮件发送给他们的 PhishGuru 卡通片的人,而没有经历模拟攻击,则非常容易上当受骗。
扩展这一原则,我的研究生史蒂夫·盛 (Steve Sheng) 还开发了一款名为 Anti-Phishing Phil 的在线培训游戏,该游戏教人们如何在提供被网络钓鱼者“抓住”的体验的同时识别可疑的网站地址。玩家扮演菲尔 (Phil) 的角色,菲尔是一条年轻的鱼,必须检查与他遇到的蠕虫相关的网站地址,并确定哪些蠕虫可以安全食用。当菲尔试图咬住地址欺诈的蠕虫时,他会被鱼钩钩住并被拖出水面。然后,一条年长而智慧的鱼出现在现场,并解释菲尔错在哪里。通过实验室和实地研究,我们已经证明,该游戏对用户识别网络钓鱼网站的能力产生了重大影响。比较他们在培训前后的表现,我们发现假阴性(被错误地认为合法的网络钓鱼网站)和假阳性(被判断为网络钓鱼网站的合法网站)的数量有所下降。游戏玩家的表现也优于接受教程或其他来源材料培训的参与者。
尽管我们已经证明我们可以教会人们保护自己免受网络钓鱼者的侵害,但即使是受过教育的用户也必须保持警惕,并且可能需要定期再培训才能跟上网络钓鱼者不断变化的策略。例如,反网络钓鱼工作组报告称,今年致力于用密码窃取代码感染计算机的程序和网站数量急剧增加。“鱼叉式网络钓鱼”攻击是一种日益增长的趋势,它是专门为受害者量身定制的。这些攻击可以采取发送给公司员工的电子邮件的形式,这些电子邮件看起来像是来自该公司经理的电子邮件,从而导致员工信任该消息并打开其附件。公司网站和社交网站上提供的信息可以帮助攻击者制作这些有针对性的消息。
由于网络钓鱼者是如此坚定的罪犯,因此不能期望个人计算机用户单独保护自己。我们的小组还开发了可以识别可能的网络钓鱼攻击的自动过滤器。但是在这项工作中,我们也发现人类的反应对于过滤器的成功至关重要。
多管齐下的防御
许多浏览器程序已经包含内置的安全过滤器,或者可以与用于检测可疑网站的附加程序一起使用。然而,即使反网络钓鱼软件工具能够正确识别网络钓鱼网站,如果用户选择忽略其警告,它们仍然可能无效。为了了解为什么有些人不理会此类安全消息,我的另一位研究生谢尔盖·埃格尔曼 (Serge Egelman) 向参与我们研究的志愿者发送了模拟的网络钓鱼邮件。当接收者上当受骗并点击链接时,他们的 Web 浏览器中触发了警告。然后,埃格尔曼发现,所有使用 Mozilla Firefox 2 浏览器的参与者都注意到了警告,而那些使用 Internet Explorer 7 (IE7) 的参与者通常会忽略它们。我们确定,两组人的反应差异如此之大的主要原因在于,IE7 用户要么没有注意到警告消息,要么将其与不太严重的警告混淆了。微软似乎也吸取了这一教训,下一代 Internet Explorer 浏览器 IE8 现在具有更清晰的警告消息,这些消息与 Firefox 显示的消息类似。
除了清晰度之外,我们还发现准确性是影响用户是否尊重自动过滤器警告的另一个关键因素。高误报率会破坏过滤器的可信度,并导致用户过一段时间后忽略它。我们测试的反网络钓鱼过滤器采用多种方法来识别网络钓鱼邮件和网站。例如,大多数商业上可用的工具都使用已知网络钓鱼站点的黑名单。随着新站点的报告,它们会迅速添加到列表中。一些工具还使用已知合法站点的白名单。
然而,大多数过滤器并不完全依赖此类列表。有些过滤器会分析用户访问的每个网站,并应用启发式方法的组合来确定该网站是否可能是欺诈性的。其中一些与我们培训人们注意的信号类型相同,例如以所有数字开头的 Web 地址或看起来类似于知名品牌的地址。过滤器审查的其他功能包括人们不易看到的东西;例如,该工具可能会考虑网站的年龄,因为网络钓鱼网站通常寿命极短,仅保持活动状态几个小时到几天或几周。
时间因素可能会影响严重依赖黑名单的过滤器的性能。例如,我们小组最近测试了八个消费者反网络钓鱼程序,方法是将新鲜的网络钓鱼 URL 馈送给它们。我们发现,当我们收到 URL 后几分钟内对其进行测试时,大多数黑名单程序捕获的网络钓鱼站点不到 20%。五个小时后,大多数程序可以检测到大约 60% 的活动网络钓鱼站点。使用黑名单和启发式方法组合的程序表现要好得多,其中一个程序从测试开始就检测到几乎 90% 的网络钓鱼攻击。
我们的小组一直在致力于开发使用机器学习技术来检测网络钓鱼电子邮件的程序。这是一种用于检测垃圾邮件的常用方法,但垃圾邮件检测器在检测通常看起来合法的网络钓鱼邮件时不是很准确。我们团队的一名成员诺曼·萨德 (Norman Sadeh) 一直在领导开发一种工具(我们最初称之为 PILFER),该工具分析电子邮件中可能表明存在网络钓鱼的各种特征。例如,网络钓鱼电子邮件通常包含看起来像知名网站地址的超链接文本,但实际嵌入的计算机代码将用户定向到攻击者的网站。此外,网络钓鱼电子邮件中的 Web 地址通常包含五个或更多点,并指向最近注册的域名。然而,并非所有网络钓鱼电子邮件都包含这些特征,有时合法的电子邮件也包含这些特征。因此,研究人员通过向程序(我们已将其重命名为 PhishPatrol)提供大量合法和网络钓鱼电子邮件来训练该程序,以便它可以分析这些消息并了解哪些特征组合最有可能出现在网络钓鱼电子邮件中。在我们最近的实验中,PhishPatrol 能够检测到超过 95% 的网络钓鱼邮件,同时仅对大约 0.1% 的合法邮件触发误报。
我们还将 PhishPatrol 中使用的一些功能与其他方法相结合,以检测网络钓鱼网站。杰森·洪 (Jason Hong) 一直在领导我们小组开发一种名为 CANTINA 的工具,该工具分析网页的内容并结合其他启发式方法来确定该页面是否是网络钓鱼站点的一部分。CANTINA 首先采用一种众所周知的信息检索算法来识别五个术语,这些术语在给定的网页上很重要,但在整个互联网上相对不常见。例如,在 eBay 登录页面上,此“词汇签名”可能是“eBay、用户、登录、帮助、忘记”。如果您使用 Google 搜索这五个术语,合法的 eBay 登录页面将出现在顶部搜索结果中。复制了 eBay 登录页面的网络钓鱼网站不太可能出现,因为 Google 的专有算法在对网页进行排名时使用的一个标准是来自互联网上其他页面的链接数量,因此合法页面更有可能出现在顶部结果中。然而,这种方法并非万无一失,尤其是当合法网站是最近创建的时候;因此,这只是 CANTINA 在评估网站时考虑的几个功能之一。
不断演变的威胁
计算机安全界的我们并不是唯一不断寻求提高自身性能的人。随着反网络钓鱼技术的不断改进,攻击者也在调整他们的策略。现在,网络钓鱼消息正在通过即时通讯工具和手机短信发送。网络钓鱼者正在使用《魔兽世界》等在线游戏以及 MySpace 和 Facebook 等社交网站的消息传递功能来诱骗受害者。另一种类型的网络钓鱼攻击涉及在公共场所设置 Wi-Fi 接入点并欺骗(模仿)合法 Wi-Fi 供应商的登录页面。这些攻击用于窃取受害者的密码以及用恶意软件感染他们的计算机。
有组织的网络钓鱼团伙利用数千台被入侵的计算机作为其攻击的发射点。例如,一个据信总部位于东欧、被称为“Rock Phish 团伙”的团伙使用被入侵的计算机将消息中继到网络钓鱼站点。因此,它可以发送看起来源自这些计算机的网络钓鱼消息,从而掩盖实际网络钓鱼站点的 Web 地址,并使执法部门难以找到攻击的真正来源。
该团伙使用的另一种规避策略是安全专家称为“快速通量”的系统,该系统中的网络钓鱼者操纵互联网域名服务器以不断更改与网络钓鱼域名相对应的数字地址。
当然,只有当网络钓鱼者有办法将盗取的信用卡号和其他凭据兑换成现金时,网络钓鱼才有利可图。因此,网络钓鱼者经常通过宣传在家工作的工作来招募“骡子”,或者通过与互联网用户交朋友并说服他们网络钓鱼者需要他们的帮助。骡子通常是不知情的受害者自己,他们可能认为自己已被雇用从事合法工作。然而,骡子的真正工作是转移被盗的钱,并成为执法部门抓住时被抓住的人。
通过不断改进网络钓鱼检测软件并教育用户了解新类型的网络钓鱼攻击(当发现这些攻击时),可以减少网络钓鱼受害者的数量。协调国际执法工作并找到使网络钓鱼利润降低的方法也将有所帮助。尽管如此,网络钓鱼仍然是一场军备竞赛,如果不从源头上阻止它,就很难完全消除它,因此消费者需要他们可以获得的每一种形式的保护。
注意:这篇文章最初以标题“网络钓鱼可以被阻止吗?”发布。