三个阶段部署安全项目 金融服务机构反击网页仿冒
由于网页仿冒(phishing)的日益猖獗,网络银行正在遭受有史以来最严重的考验。网页仿冒者通过仿制一个和银行类似的Web页面,诱使用户输入自己的银行帐号和密码,达到窃取用户资料的目的。而银行方面则针对这种黑客行为实施了一个分三个阶段的反网页仿冒攻击项目,目前这个项目正开始进入第二阶段。
在Financial Services Technology Consortium(FSTC,金融服务科技联盟)的领导下,该项目已经取得了一定的成果,包括确定了银行在技术和操作上的需求,实现反网页仿冒技术的方法,培训客户识别正确的银行网站,以及确立了其它一些规范。
项目的第二阶段将在FSTC的安全常务委员会本月组织的会议上正式启动,会议将重点讨论项目第一阶段(即今年7月份)创建的反网页仿冒技术方案的可行性,以及该方案的执行效果。它包括帮助用户掌握识别正确的银行网站的方法,为用户电脑安装反垃圾邮件程序,以及与法律强制认证的ISP合作,在用户连接到网络银行时,共同确认并阻止网页仿冒行为。反网页仿冒项目的领导人Chuck Wade说,“人们正在逐渐学习更有效地识别仿冒的网页,并及时停止对这类网页的访问。” Wade表示,“网页仿冒者也制作垃圾邮件,并在垃圾邮件中包含一定的信用卡诈骗机制。也许在明年中旬,项目的第三阶段实施时,我们会提出更好的监控方法并给出更好的对策。”
美国Wells Fargo银行的系统架构师Michael McCormick表示,目前已经有11家金融机构加入了这个项目,而项目本身将会为所有银行建立一套针对网页仿冒攻击的防御策略。
据软件行业的一个联盟反网页仿冒工作组(Anti-Phishing Working Group)表示,网页仿冒攻击正在以每月50%的速度增加。其中大约半数的网页仿冒攻击都是针对金融系统的;在 今年7月,约有1600起攻击是针对金融机构的,其中682起直接针对华旗银行。而据反网页仿冒工作组表示,通过邮件传递给用户的网页仿冒攻击有5%会成功获得用户的个人信息。银行正在与ISP协商,从ISP的角度限制垃圾邮件的发送或接收。同时银行也与反垃圾邮件软件厂商联手,为用户提供桌面级的安全交易防护工具。
在目前看来,人们对于网页仿冒行为的认识和采取的防治措施还远远不够。随着攻击行为日益隐秘,人们很可能在打开一封垃圾邮件不久后就发现自己的银行账户被清空了。
对于自认为对计算机安全有一定认识的用户来说,网页仿冒者也开发出了新的技术来获取他们的个人信息。这种技术不需要用户点击邮件里的超级链接,也不需要用户在表单里填入个人信息。据病毒安全专家表示,当用户打开一封垃圾邮件时,恶意的脚本程序就会运行。这个脚本会试图修改电脑中的host文件,以达到重新定向网络银行网站的目的。在用户成功的进入了正确的网络银行服务后,脚本会在用户不知情的情况下将用户重新定向到一个用来收集用户资料的页面。
高级反病毒专家Alex Shipp表示,这类窃取用户资料的机制要比普通的仿造网页方法更加难以识别和防护。他说,“传统的网页仿冒攻击依靠用户点击某个web链接并输入个人资料,而新型攻击则更加阴险。”