对山西忻州市民邢文龙来说,他近两个月来的困惑终于得到了消除。
9月底,广东惠州市公安机关告知邢:8月1日他认为“莫名其妙”被窃取的23000元,如今去向已水落石出,利用自编的木马程序在网上窃取了他存款的“网络钓客”曾某已在广东被捕。
不过,邢文龙仍禁不住打了个寒战――在曾某的“钓鱼”名单中,他只是其中一条,从今年2月到9月,曾某窃取了涉及40多万元金额的数百个银行账号和密码,并从其中几个账户盗取了4万多元。
“他的运气不好。”对曾的被捕,另一位网名叫seeker的“钓客”漫不经心的说。
在浙江一个普通的小屋里,seeker和他的同伴正两眼惺忪地坐在电脑旁,乍眼看去,他们似乎只是沉溺在这个时代最风行的DIY生活方式中。
但是,seeker并非仅仅在自娱自乐,他正在从事的是全球互联网上出现最快的威胁网络安全的活动――网络钓鱼(phishing),即利用冒充的金融网站或间谍软件获取网民的个人信息,进而盗取他们的钱财。
这是一份不稳定且有高风险的生意,seeker为此日夜忙碌,以期待更多的“鱼儿”在形形色色的“诱饵”前上钩。
不能张扬的生意经
尽管seeker的行径为那些仅追求技术钻研和共享的“老黑客”们所不耻,但他不打算停下脚步。
这是一个社会资源匮乏的少年一种典型的“剑走偏锋”式成长:单亲孩子、低龄、大学中途辍学、酷爱技术、没有正式职业。
“隐秘的生活并不快乐,但只要成功一次,我就能得到高利润的结果。”seeker为此颇为时髦地引用了《了不起的盖茨比》中的一句话,“别和我说道德,这个东西是人一出生就分配不均的。和很多更可耻的行为比起来,我只是在个人奋斗。”
中国互联网协会秘书陈素?向记者表示,seeker们滋生的背景是网络技术和网上银行业务的应用普及,越来越多的普通用户开始用网上银行处理个人资产的查询、转账、支付或交易。
“钓客”们清楚地知道:在这个价值链中必须走捷径。在网上银行业务流程“用户―网上银行―银行数据库”三个环节中,突破后两者很困难,于是,薄弱的用户端便成了他们攻击的主要对象。
“事实上,中国很多主机处于无人维护的状态,它们在没有安装补丁、防病毒软件、防火墙的情况下连接互联网。”seeker说。
“注册一个银行网址的域名,然后做一个和银行一模一样的网站。”他说,“接着就可以给用户发电子邮件,诱导他们登录假冒的网站,只要他们输入账号和密码,钓客就能得到这些信息。”
信息得手后,为规避风险,seeker会极力去唆使陌生人,利用陌生人的账户接收资金转账,然后从ATM机提取现金。
他发给“鱼儿”的信笺通常是这样开头――“亲爱的用户,我们注意到您的账户信息已经过期,如果不及时更改将导致信息失效,请点击此处及时更新。”这些链接地址实际上是一枚“鱼饵”。
一位“钓客”曾以“中国工商银行客户服务中心”的邮件落款仿冒工行的网站,假工商银行的网站www.1cbc.com.cn与真网站www.icbc.com.cn只有“1”和“i”的一个字母之别。
根据国际反网络钓鱼工作组(APWG)的报告,eBay的在线支付工具PayPal是全球遭受“钓客”侵袭最严重的品牌之一――也许那些没有PayPal账号的中国用户很容易知道这是一枚垃圾邮件,但有账号的用户一旦输入信息,将为他们的粗心大意付出代价。
通常受利益驱使,“钓客”们会制作很多网站,但因为仿冒网站很容易被举报或监测,他们也需要迅速撤离。
“仿冒网站存在的平均时间是5.5天,最长是31天。”10月13日,APWG相关负责人Ronnie Manning在接受记者邮件采访时说。
据seeker介绍,第二种“钓鱼”的方式则需要更高的技术门槛,这是一种“木马程序+假冒网站”的组合。让邢文龙上钩的就是这种鱼饵,邢曾下载过曾某编制的“淘宝旺旺群发器”木马程序。
“钓客会通过各种方式把木马程序植入到用户的电脑上。”seeker说:“用户登录时,木马程序会自动把用户引导到一个假冒的网上银行网站,用户填写了个人金融信息后,假冒网站会提示密码错误,然后把用户踢出并返回到正确的网上银行网站,当用户再次输入账号和密码就能正常登录,这时,他不会察觉自己的个人信息已经被盗。”
中国专门进行反黑客行动的网站“红客大联盟”的CEO SharpWinner告诉记者,木马程序是由远程控制软件演变而来的黑客程序,他们都有安装到控制方电脑上的服务端程序和安装在用户计算机上的客户端程序,后者被前者监测并控制。
在seeker看来,木马程序中有两点至关重要――钓客必须保证控制端和被控制端能正常连接;另外一点就是控制方程序的隐蔽性。
“绑定应用程序是最普遍的方式。”seeker介绍,把木马程序和一个常用软件绑定,然后上传,一旦用户下载并打开程序,木马程序会先于软件运行,并植入电脑。
另据SharpWinner介绍,其它方式还包括绑定图片、利用蠕虫病毒,以及“钓客”自己做一个吸引眼球的网站或利用IE漏洞实现在一些网页上嵌入木马程序,“用户只要打开这些网页,电脑就自动下载木马程序并安装了”。
通常,seeker们会用直接实时监控“鱼儿”程序,不过,他们还是会有一些更悠闲的机会。
“一些更高级的方式取决于木马程序的功能。”SharpWinner指出,比如一些木马程序被植入后,会把记录的信息存放在用户电脑的一个文本里,钓客可以随时通过远程控制连接获取。还有一些木马程序甚至能将这些信息自动发送到钓客的email中。
“以前,网络钓鱼仿冒的主要是国外公司,很少有针对中国公司的案例,但最近有增多的势头。”seeker说。
他并不愿看到中国网络钓鱼的“茁壮成长”。对他来说,这意味着普通市民的警觉更高而更难上钩,同时也意味他被逮捕的风险在加大。
APWG报告:钓客在中国迅速增多
“在过去的11个月,被举报的仿冒网站增长了近5倍。”Ronnie Manning告诉记者。APWG最近刚刚完成了一份截至今年8月的研究报告《网络钓鱼趋势分析》(Phishing Activity Trends Report)。
报告显示,在过去的一个月中,中国新出现的仿冒网站数量已赶超韩国,跃居为世界第二,仅次于美国。
据中国计算机网络应急技术处理协调中心(CNCERT/CC)消息,他们在2005年上半年接到的143件网络仿冒类事件中,大部分来自国际应急组织和安全小组。
“中国用户没有举报仿冒网站的意识,通常发现后也没有做必要的漏洞和木马清除等,结果出现同一主机被多次利用的情况。”陈素?说。
“网络钓鱼已经是中国信息安全领域的新课题。”她指出,所有金融机构、信用卡发行商、零售商或其他类型的商业交易,都可能成为“钓客”利用的对象。
据Gartner公司的报告,在2003年,由“网络钓鱼”引起的ID欺诈盗窃给美国银行与信用卡公司的用户造成了12亿美元的直接损失。
技术的较量
也许,SharpWinner们的存在会让seeker们头痛,但这注定是一个长期博弈的过程。
“可以通过木马程序的来源追查,比如看‘钓客’是通过哪些地方下载木马程序的,从上游寻找蛛丝马迹。”SharpWinner说:“此外,还可以通过对“钓客”的eMail和仿冒网站的情况分析来追查。”
微软等一些技术公司也在从事保护工作。在MSN toolbar的2.5版本和微软最新推出的MSN反钓鱼软件共同作用下,一旦用户访问有“钓鱼”嫌疑的网站,工具栏将提供报警。
“一些常用应用软件已推出实质性的研究成果。”有技术人士告诉记者:“但从自动化检测技术的角度看,这一切还刚刚起步。”
据悉,为保障网络银行安全,中国工商银行、中国建设银行等国内各大商业银行在10月初已全面启用域名安全防范措施。
“追查始终是被动的。”一位银行从业人员说:“只有银行才是保护用户安全一个真正的主动方。”
据了解,国内网上银行一般分为专业版和普通版,前者比后者要多一个专门的电子证书作为身份识别。两者的安全性不同,操作权限也不同。
“用户的‘身份证数字’很容易获得,而钓客通常获得的不仅是你的用户名和密码,还可能是其它个人信息”该银行人士说:“因此,大部分银行的普通版最终可以实现网上支付,钓客们可以自行给未开通网上银行的人开通业务,并完成网上支付行为。”
“这样利于银行拓展业务,但却给那些不需要网上银行业务的用户带来额外风险。”他说:“这里有市场发展的趋势,也有部分原因是银行之间的竞争所迫。毕竟,不是每个用户都喜欢付钱购买电子证书。”
据介绍,一些境外网上银行一般已将网上支付、转账等业务设置为须持卡人亲自去银行申请才能使用,或推出新一代保安编码器来加强网上银行的安全性。
据公安部网监局公布的数据,2004年,公安部共侦破网络诈骗案件1350起。公安部作为发起人,目前国家“反网络钓鱼”联盟已进入操作阶段,公安部将联合金融单位、网站、电信部门,监控和通报网络钓鱼最新动向,并培训专门的反钓鱼人才。