网络钓鱼简史: Part I

安全主题

网络钓鱼简史

网络钓鱼是一种威胁，攻击者以相当自动化的方式使用社会工程学机制来欺骗受害者泄露敏感数据，之后攻击者可以使用这些数据在在线网站或金融交易中假冒受害者的身份。

网络钓鱼：回顾

时至今日，DigiCert依然是保护客户并为其防护不断演变的各种威胁的全球领军企业。实际上，如今DigiCert日常例行处理的许多安全威胁在早些年基本上闻所未闻。

当时的大部分活动集中在旨在破坏客户个人电脑的病毒和其他形式的恶意代码，而如今的形势则包括可能对客户的个人生活造成严重破坏、窃取其钱财及身份的新威胁。这些威胁之一就是网络钓鱼。

对使用社会工程学的利用长期以来一直都是攻击者武器库的一部分，但是我们今天知道的第一起网络钓鱼攻击事件发生在 20 世纪 90 年代中期，其目标是美国在线 (AOL)。攻击者通常使用即时消息或电子邮件来欺骗用户泄露 AOL 密码。受害者向攻击者提供这些信息，而攻击者会利用这些信息来获取受害者的 AOL 帐户所有权。例如，该帐户可以被用于发送垃圾邮件等。

网络钓鱼机制扩展

网络钓鱼转向金融领域

AOL 认真对待网络钓鱼问题，而且也采取了许多有效措施。虽然仍然有针对 AOL 的网络钓鱼攻击，但数量已相对较少。同时，由于攻击者意识到其方法具有巨大潜力，他们又开始将网络钓鱼扩展到其他组织机构。

新一轮的网络钓鱼让这个问题成为主流趋势。幸运的是，当时的网络钓鱼者依然是业余的。他们的电子邮件和网站上存在大量语法错误，这会暴露他们的身份，因为您在与合法实体打交道时不会遇到这些错误，这就会提醒您应该小心。

遗憾的是，许多受害者仍然未能发现警告迹象，并继续向他们泄露密码、信用卡号码等信息。由于网络钓鱼邮件和网站设计拙劣是一种普遍存在的现象，这使得用户能够通过寻找拼写错误和其他语法错误来作为分辨网络钓鱼网站与合法网站的一种方式。但回想起来，这可能给很多人带来了一种虚假的安全感。

网络钓鱼者逐步专业化

虽然拼写错误等问题的存在是辨别网络钓鱼者的迹象，但用户也开始错误地认为，任何具有无可挑剔的语法和拼写的网站一定是合法的。而事实却远非如此。

今天的许多网络钓鱼攻击活动都是专业而有组织的。网络钓鱼者通常使用现成的工具包，其中包括范本网页、电子邮件以及发起网络钓鱼攻击所需的大部分工具。

这些网页通常就是被仿冒网站中某些页面的精确副本。此外，相应的网络钓鱼电子邮件不仅表述明确，而且还包括大量旨在规避垃圾邮件过滤器的机制。

我们逐渐清楚的一件事情是，典型的网络钓鱼者的形象已经大大改变。虽然早期老套的网络钓鱼者可能就是淘气孩子凌晨两点在母亲的地下室中进行的恶作剧，但今天的网络钓鱼者则已成为组织严密的商业化团体，以获取钱财为目标。

他们是谁？

像传统的公司一样，他们积极寻找能够最大限度获利的方法。此外，像传统的员工一样，今天的网络钓鱼者似乎主要在工作日工作。（DigiCert观察到，周末发送的独特网络钓鱼电子邮件数量会下降 20%）。执行网络钓鱼不再需要任何技术专长。事实上，网络钓鱼活动的大部分内容都可以外包。

通过地下市场，网络钓鱼者也可以“租用”被盗用的 Web 服务器来托管网络钓鱼页面。他可以通过租用另一台被盗用机器进一步将流程外包出去，从那里发送网络钓鱼电子邮件。机器的租赁通常只需花费几美元，此外如果网络钓鱼者需要有关潜在受害者的电子邮件地址列表，那么他们也可以购买这些电子邮件地址。五美元通常就可以买到约三万个这样的电子邮件地址。

他们的操作方式

网络钓鱼者从受害者那里获得信用卡号码和其他凭据之后，他根本不用担心如何通过这些信息来实现货币化或获取现金。这些信息也可以在地下市场出售。

试图交易的犯罪分子在对话中所使用的具体术语的演变显示出，这些地下市场绝非新生事物。他们甚至还有一些非常明确的交易惯例和协议。这些地下渠道的某些团体已获得良好信誉，他们交易时讲究公平原则 - 只是相当具有讽刺意味的是，这些都是相互交易的犯罪分子。