第11章惡意軟件攻擊與防范

第11章

惡意軟件攻擊與防范11.1惡意軟件概述11.2間諜軟件分析與防范11.3網(wǎng)絡(luò)釣魚攻擊分析與防范11.4垃圾郵件分析與防范案例一：小學(xué)文化男子做釣魚網(wǎng)站盜錢，搜索排名超官網(wǎng)

2011年9月底，在余杭區(qū)某電子科技公司上班的馬女士想在網(wǎng)上給自己的加油卡充點錢，于是她在百度里輸入“中國石化浙江網(wǎng)”。跳出來的第一條就寫著“中國石化浙江網(wǎng)上營業(yè)廳”，可以網(wǎng)上充值。點開一看，和以前登錄的中石化加油卡充值網(wǎng)站也差不多。沒有多加思考，馬女士就輸入自己的加油卡卡號，用支付寶充值了1000元。充值5分鐘后，馬女士收到一條來自剛剛的充值網(wǎng)站的短信，大意是說自己充值太少，要求再充5000元，以獲得更大的優(yōu)惠，還附了客服的QQ號碼。收到短信，馬女士感覺不對勁，立即撥打了中石化的客服電話進行詢問，才知道自己中招了。之后她又撥打支付寶客服，得知自己那1000元支付給了北京的一個商家，購買了虛擬物品新浪U幣。發(fā)現(xiàn)自己被騙后，馬女士立即向余杭公安報了案。經(jīng)過網(wǎng)監(jiān)偵查，2011年11月30日，公安機關(guān)在廣東省湛江市抓獲嫌疑人小林，而他居然是一個小學(xué)文化程度的17歲男孩。小林自小頑皮，讀完小學(xué)就不肯再讀了。但他對電腦異常感興趣，也確實有些天分，便自學(xué)成才，掌握了很多電腦及網(wǎng)站方面的技能，還靠著接網(wǎng)站優(yōu)化、推廣的工作賺了點錢。2011年9月初，小林在老家湛江發(fā)現(xiàn)中石化加油站里來加油的人多數(shù)都用加油卡付費。他想，這大批量的加油卡肯定有通過網(wǎng)絡(luò)充值的渠道。林某在網(wǎng)上搜索，果然發(fā)現(xiàn)中石化浙江分公司支持網(wǎng)上充值。腦筋活絡(luò)的他，決定制作一個中石化浙江公司的釣魚網(wǎng)站，騙取充值人的錢。于是，這個電腦高手一步步設(shè)計了一個騙錢陷阱：他先模仿官網(wǎng)制作了一個網(wǎng)站，并注冊了一個類似的域名，然后，他在網(wǎng)上購買了一個第三方接口和支付寶方式進行了對接。要讓充值的人多，網(wǎng)站必須有人氣，在百度搜索中的排名要盡可能靠前。于是，小林拿出看家本領(lǐng)，不斷“優(yōu)化”自己的釣魚網(wǎng)站。短短一個月，他的虛假網(wǎng)站竟然在百度排名中超過了中石化加油卡充值的官網(wǎng)。只要有人在百度中輸入“加油卡充值”或者“中國石化浙江充值”等，出現(xiàn)在第一條的就是小林的釣魚網(wǎng)站。因此，跳入陷阱的人越來越多。經(jīng)過小林的設(shè)置，這些通過支付寶或者網(wǎng)銀打進冒牌網(wǎng)站的錢其實直接打入了他的第三方游戲帳號，變成大量的虛擬貨幣。小林用這些虛擬貨幣購買人人豆、新浪U幣等各種游戲幣后，再通過網(wǎng)絡(luò)轉(zhuǎn)賣給網(wǎng)上收購游戲幣的買家。通過這種方式，小林在短短兩個月的時間里非法獲取利益19000余元。案例二：McAfee：安卓設(shè)備已成惡意軟件重災(zāi)區(qū)

McAfee稱Android設(shè)備已經(jīng)成為惡意軟件的重災(zāi)區(qū)。最近一款名為Android/Multi.dr的惡意病毒首先偽裝是熱門游戲NFL12，然后分成包括rootexploit,IRCbot和SMSTrojan三個部分。rootexploit是攻擊的主力軍，會直接“root”設(shè)備獲得系統(tǒng)最高權(quán)限，然后以Administrator身份執(zhí)行代碼連接到遠程服務(wù)器，當(dāng)獲得權(quán)限并已經(jīng)建立連接之后IRCbots就開始做些“骯臟”的工作。一旦設(shè)備已經(jīng)root，IRC程序也被執(zhí)行之后，就會以一張PNG圖片的顯示偽裝起來。 安全專家ArunSabapathy稱這個文件實際上是Android設(shè)備很常見的.ELF文件，不過最危險的是SMSTrojan，他將收集用戶的各種短信、文檔信息，然后連接傳輸?shù)竭h程服務(wù)器上。 “安全攻擊形勢相當(dāng)險峻”，Sabpathy說：“目前我們還不清楚他們收集用戶數(shù)據(jù)的目的，也不清楚服務(wù)器那邊的代碼是如何運作的”。Sabapathy稱Android系統(tǒng)下的攻擊未來將越來越多，而且已經(jīng)受到攻擊者攻擊像PC平臺一樣頻繁。思考1、在案例一中，為什么只有小學(xué)文化的小林能夠?qū)覍业檬郑?、綜合案例一和案例二分析當(dāng)前惡意軟件攻擊的主要趨勢。3、新型惡意軟件攻擊泛濫的主要原因是什么？11.1惡意軟件概述

11.1.1惡意軟件的概念與特征11.1.2惡意軟件清除工具11.1.3使用Windows清理助手清除惡意軟件11.1.1惡意軟件的概念與特征惡意軟件的特征主要表現(xiàn)為：（1）強制安裝，在未明確提示用戶或未經(jīng)用戶許可的情況下在用戶計算機或其它終端上安裝軟件。（2）難以卸載，未提供通用的卸載方式，或在不受其它軟件影響、人為破壞的情況下，卸載后仍然有活動程序的行為。（3）瀏覽器劫持，在未經(jīng)用戶許可的情況下修改用戶瀏覽器或其它相關(guān)設(shè)置，迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)。（4）廣告彈出，在未明確提示用戶或未經(jīng)用戶許可的情況下利用安裝在用戶計算機或其它終端上的軟件彈出廣告。（5）惡意收集用戶信息，在未明確提示用戶或未經(jīng)用戶許可的情況下惡意收集用戶信息的行為。（6）惡意卸載，未明確提示用戶或未經(jīng)用戶許可的情況下誤導(dǎo)、欺騙用戶卸載其它軟件。（7）惡意捆綁，在軟件中捆綁已被認定的惡意軟件。（8）其它侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。11.1.2惡意軟件清除工具

1、Windows清理助手Windows清理助手是目前國內(nèi)最常用的惡意軟件清除工具，它能對已知的惡意軟件和木馬程序進行徹底的掃描與清理，如圖11-1所示。它提供系統(tǒng)掃描與清理、在線升級等功能，它能輕易對付強行駐留系統(tǒng)、更名等一系列惡意行為的軟件。同時其高級功能包括微軟備份工具、文件提取、文件粉碎、IE瀏覽器清理、磁盤清理等。圖11-1Windows清理助手主界面11.1.2惡意軟件清除工具

2、金山清理專家金山清理專家是一款完全免費的上網(wǎng)安全輔助軟件，針對惡意軟件和瀏覽器插件尤為有效，使用增強的惡意軟件查殺引擎可以解決一般殺毒軟件不能解決的安全問題，包括徹底查殺300多款惡意軟件、廣告軟件和隱蔽軟件。金山清理專家使用文件粉碎技術(shù)對抗Rootkits，能夠徹底清除使用Rootkits進行保護和偽裝的惡意軟件，同時能夠檢查和卸載超過200余種IE插件和系統(tǒng)插件，其獨創(chuàng)的插件信任管理列表能夠避免用戶誤刪除自己需要的正常插件。11.1.2惡意軟件清除工具

3、A-SquaredA-Squared可以清理隱藏于計算機中的惡意程序，它的界面簡單清楚、操作方便，而且可以隨時通過在線更新最新的惡意軟件資料庫來查殺最新出現(xiàn)的惡意軟件，還可以幫助用戶有效地檢測并清除木馬病毒、間諜軟體、廣告軟體、蠕蟲、鍵盤記錄程序、Rootkit、撥號程序等多種惡意程序所帶來的安全威脅，有效保護用戶的個人信息安全。11.1.2惡意軟件清除工具

4、Spyware

doctorSpywareDoctor是一款優(yōu)秀的間諜程序、廣告程序、惡意程序免疫清除工具，如圖11-4所示。它采用業(yè)界領(lǐng)先的查殺引擎，及時更新特征碼數(shù)據(jù)庫來保障用戶的計算機不受惡意軟件的攻擊。

SpywareDoctorStarterEdition是SpywareDoctor的免費版，被收入在GooglePack中，用戶可以通過GoogleUpdater下載使用，相對于SpywareDoctor，SpywareDoctorStarterEdition只能算得上含有較少功能的基礎(chǔ)版，具有基本的文件監(jiān)控、手動掃描、自動升級等功能，可以足夠滿足一般用戶的需要。圖11-4SpywareDoctor主界面11.1.3使用Windows清理助手清除惡意軟件

軟件打開時會自動檢測系統(tǒng)，可點擊“跳過”取消檢測，直接打開軟件主界面，如圖11-5所示圖11-5Windows清理助手主界面11.1.3使用Windows清理助手清除惡意軟件

1、點擊“掃描清理”，選擇掃描范圍，選中掃描類型，如圖11-6所示。標(biāo)準掃描：只掃描C盤（系統(tǒng)盤）的文件。自定義掃描：點擊右邊的“設(shè)置”可以自己選擇需要掃描的磁盤或文件。完整掃描：掃描所有磁盤和所有文件。重啟掃描：重新啟動計算機之后自動掃描。圖11-6Windows清理助手掃描清理11.1.3使用Windows清理助手清除惡意軟件

2、診斷報告診斷報告可以掃描出計算機的整體情況，發(fā)現(xiàn)需要改進的項目，從而有目標(biāo)地優(yōu)化系統(tǒng)，如圖11-7所示，點擊“開始診斷”即可。圖11-7Windows清理助手診斷界面11.1.3使用Windows清理助手清除惡意軟件

2、診斷報告診斷完成后會顯示出計算機的整體情況，點擊下方的“保存診斷報告”可以另存為TXT文本，如圖11-8所示。圖11-8Windows清理助手診斷報告11.1.3使用Windows清理助手清除惡意軟件

3、故障修復(fù)如果計算機被惡意軟件篡改了系統(tǒng)設(shè)置，可以使用“故障修復(fù)”來恢復(fù)（具體需要修復(fù)的選項可以自行勾選），點擊右下角的“執(zhí)行修復(fù)”即可，如圖11-9所示。圖11-9Windows清理助手故障修復(fù)11.1.3使用Windows清理助手清除惡意軟件

4、論壇求助如果遇到一些無法解決的問題，可以進入論壇發(fā)帖求助，或者看看論壇有沒有類似問題的解決辦法。11.2間諜軟件分析與防范

11.2.1間諜軟件的概念與特征11.2.2間諜軟件的攻擊方式11.2.3防范間諜軟件攻擊11.2.1間諜軟件的概念與特征間諜軟件是指將自身非法附著在操作系統(tǒng)上的一類計算機程序間諜軟件一般不會損壞用戶的計算機，而是偷偷潛入計算機并隱藏在后臺，它們往往以推銷產(chǎn)品為主要使命，所做的破壞更多的是向用戶宣傳目標(biāo)廣告，或是讓用戶的瀏覽器顯示某些特定的站點或搜索結(jié)果計算機感染間諜軟件往往是由于用戶的某些操作引起的大多數(shù)間諜軟件在計算機啟動時都會作為后臺應(yīng)用程序運行，它具有不斷地彈出廣告、修改瀏覽器和防火墻設(shè)置、下載并安裝其它惡意軟件，重定向網(wǎng)絡(luò)搜索等功能，部分智能型的間諜軟件甚至可以在用戶試圖清除它們時進行攔截11.2.2間諜軟件的攻擊方式1、背載式軟件安裝有些應(yīng)用程序會在標(biāo)準安裝過程中安裝間諜軟件。如果不仔細閱讀安裝列表，用戶可能不會注意到自己將安裝文件共享應(yīng)用程序之外的內(nèi)容。那些聲稱自己是付費軟件替代品的“免費”軟件尤為如此。2、隨看隨下或安裝網(wǎng)站或彈出式窗口會自動嘗試在計算機上下載并安裝間諜軟件，用戶可能收到的唯一警告是瀏覽器的標(biāo)準消息，告知軟件的名稱并詢問是否要安裝它。當(dāng)計算機的安全級別設(shè)置過低時，用戶甚至看不到該警告。3、瀏覽器加載項這是一些用來增強網(wǎng)絡(luò)瀏覽器功能的軟件，比如工具欄、動畫幫手或附加搜索框。它們有時名副其實，但有時也會包含一些間諜軟件元素。業(yè)界把一些特別頑固的加載項稱為瀏覽器劫持軟件，這些加載項將自己牢牢地嵌入在計算機中，難以清除。11.2.3防范間諜軟件攻擊1、使用間諜軟件掃描器大部分間諜軟件掃描器都是免費的，它們的工作方式與防病毒軟件類似，并可以提供主動式保護和檢測。此外，它們還會檢測InternetCookie，并告訴用戶這些Cookie所指向的網(wǎng)站

WindowsDefender和大部分間諜軟件掃描工具的區(qū)別在于：對于包含有間諜軟件的危險文件，WindowsDefender可以對它們進行修復(fù)，而不是簡單的刪除和隔離，充分體現(xiàn)了WindowsDefender較為人性化的一面

以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（1）打開WindowsDefender主界面，如圖11-10所示。一個顯示器模樣的圖標(biāo)顯示著軟件當(dāng)前的狀態(tài)，如果是打勾則說明WindowsDefender正在保護著用戶的操作系統(tǒng)，下面顯示著實時保護的狀態(tài)以及病毒和間諜軟件定義的版本。在窗口的右邊有快速、完全、自定義三個掃描選項。11.2.3防范間諜軟件攻擊圖11-10WindowsDefender主界面11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（2）WindowsDefender的更新是和WindowsUpdate在一起的，每當(dāng)有了新的病毒和間諜軟件庫時，系統(tǒng)就會自動為軟件更新，如圖11-11所示

圖11-11WindowsDefender更新界面11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（3）在歷史記錄頁面中，可以清楚地看到有哪些文件被感染，并且被執(zhí)行了哪些操作，WindowsDefender還很人性化地根據(jù)警報級別對這些感染文件進行了分級，如圖11-12所示。圖11-12WindowsDefender歷史記錄11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（4）在設(shè)置頁面中，WindowsDefender具有實時保護、排除信任的文件和位置、排除信任的進程等選項，可以幫助用戶進行一些個性化的安全設(shè)置，如圖11-13所示。

圖11-13WindowsDefender設(shè)置界面11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（5）設(shè)置菜單的高級選項中提供了掃描可移動驅(qū)動器、創(chuàng)建系統(tǒng)還原點等高級選項，如圖11-14所示。圖11-14WindowsDefender高級設(shè)置

11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（6）當(dāng)WindowsDefender檢測到系統(tǒng)存在間諜軟件時，會在桌面的右上角彈出“已檢測到惡意文件”的提示框，同時伴有提示音。并且在右下角以氣泡的形式提示你檢測到可能有害的軟件，當(dāng)單擊氣泡時，WindowsDefender還會對檢測到的有害軟件進行復(fù)查，并執(zhí)行相應(yīng)的操作，如圖11-15所示。圖11-15間諜軟件檢測結(jié)果11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

對于檢測到的可能含有間諜軟件的文件，可以在選擇操作的下拉菜單中選擇隔離、刪除等選項，如圖11-16所示

圖11-16間諜軟件處理方式11.2.3防范間諜軟件攻擊以MicrosoftWindowsDefender為例介紹間諜軟件掃描器的基本使用方法

（7）當(dāng)所執(zhí)行的操作成功后，窗口的顏色會變?yōu)榫G色，如圖11-17所示。

圖11-17WindowsDefender警報11.2.3防范間諜軟件攻擊2、使用彈出式窗口阻止程序包括InternetExplorer和MozillaFirefox在內(nèi)的很多瀏覽器都能夠阻止網(wǎng)站上彈出的窗口以微軟的InternetExplorer為例，其設(shè)置方法如下：（1）點擊“工具”->“彈出窗口阻止程序”->“啟動彈出窗口阻止程序”，如圖11-17所示。

圖11-17啟用InternetExplorer彈出窗口阻止程序11.2.3防范間諜軟件攻擊以微軟的InternetExplorer為例，其設(shè)置方法如下：（2）點擊“工具”->“彈出窗口阻止程序”->“彈出窗口阻止程序設(shè)置”，如圖11-18所示。在阻止級別設(shè)置中包括高（阻止所有彈出窗口）、中（阻止大多數(shù)自動彈出窗口）、低（允許來自安全站點的彈出窗口）三類，此外，還可以在該頁面上添加受信任的地址，對這些地址的彈出窗口不做攔截操作。圖11-18InternetExplorer彈出窗口阻止程序設(shè)置11.2.3防范間諜軟件攻擊3、禁用ActiveX由于很多間諜軟件利用了Windows系統(tǒng)中一種稱為ActiveX的特殊代碼，因此，禁用瀏覽器上的ActiveX是防止間諜軟件的一個不錯的方法但是，在禁用了ActiveX的同時也禁用了對此類代碼的合法使用，可能會影響某些網(wǎng)站的正常功能以微軟的InternetExplorer為例，點擊“工具”->“Internet選項”->“安全”->“自定義級別”，如圖11-19所示，將所有涉及ActiveX的選項設(shè)置為禁用或者提示。11.2.3防范間諜軟件攻擊圖11-19禁用ActiveX11.2.3防范間諜軟件攻擊4、在安裝新軟件時多加注意一般而言，當(dāng)一個站點詢問用戶是否要在計算機上安裝某個新軟件時，需要始終保持懷疑的態(tài)度。如果它不是熟悉的插件，比如Flash、QuickTime或最新的Java引擎，最安全的操作是拒絕安裝新組件，除非用戶有足夠理由信任它們。另外，可以采用先拒絕安裝再檢查是否需要的策略，一個值得信任的站點始終會讓用戶有機會返回并下載其所需的組件。

11.2.3防范間諜軟件攻擊5、使用“×”關(guān)閉彈出式窗口熟悉和了解計算機系統(tǒng)消息的外觀可以幫助用戶發(fā)現(xiàn)“贗品”。在了解了系統(tǒng)警報的標(biāo)準外觀后，一般很容易就能判斷出二者的差別。盡量不要使用“否”按鈕，而是使用工具欄一角的“×”關(guān)閉窗口。11.3網(wǎng)絡(luò)釣魚攻擊分析與防范

11.3.1網(wǎng)絡(luò)釣魚攻擊的概念與原理11.3.2網(wǎng)絡(luò)釣魚攻擊的方式11.3.3網(wǎng)絡(luò)釣魚攻擊過程分析11.3.4防范網(wǎng)絡(luò)釣魚攻擊11.3.1網(wǎng)絡(luò)釣魚攻擊的概念與原理

網(wǎng)絡(luò)釣魚攻擊是一種通過大量發(fā)送聲稱來自于銀行或其它知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼或信用卡詳細信息）的攻擊方式網(wǎng)絡(luò)釣魚攻擊的典型特征是受害者遭受巨大的經(jīng)濟損失或被竊取全部個人信息網(wǎng)絡(luò)釣魚攻擊技術(shù)和手段越來越高明和復(fù)雜，比如隱藏在圖片中的惡意代碼、鍵盤記錄程序等，當(dāng)然還有和合法網(wǎng)站外觀完全一樣的虛假網(wǎng)站，有些虛假網(wǎng)站甚至連瀏覽器下方的鎖形安全標(biāo)記都能顯示出來11.3.1網(wǎng)絡(luò)釣魚攻擊的概念與原理

網(wǎng)絡(luò)釣魚攻擊的工作流程一般包含五個階段，如圖11-20所示（1）釣魚攻擊者入侵服務(wù)器，竊取用戶的名字和郵件地址。（2）釣魚攻擊者發(fā)送有針對性的郵件。（3）誘導(dǎo)受害用戶訪問假冒網(wǎng)址。（4）受害用戶提供的私密用戶信息被釣魚攻擊者取得。（5）釣魚攻擊者使用受害用戶的身份訪問正常的網(wǎng)絡(luò)服務(wù)，獲取利益。

圖11-20網(wǎng)絡(luò)釣魚攻擊的工作流程11.3.2網(wǎng)絡(luò)釣魚攻擊的方式

1、發(fā)送電子郵件，以虛假信息引誘用戶中圈套。詐騙分子以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎、顧問、對帳等內(nèi)容引誘用戶在郵件中填入金融帳號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，從而盜竊用戶資金2、建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號密碼實施盜竊。釣魚攻擊者建立起域名和網(wǎng)頁內(nèi)容都與真正的網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺極為相似的網(wǎng)站，引誘用戶輸入帳號、密碼等信息，進而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡盜竊資金還有的是利用跨站腳本，即利用合法網(wǎng)站服務(wù)器程序上的漏洞，在站點的某些網(wǎng)頁中插入惡意HTML代碼，屏蔽一些可以用來辨別網(wǎng)站真?zhèn)蔚闹匾畔ⅲ胏ookies竊取用戶信息11.3.2網(wǎng)絡(luò)釣魚攻擊的方式

3、利用木馬和黑客技術(shù)等手段竊取用戶信息后實施盜竊活動木馬制作者通過發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當(dāng)感染木馬的用戶進行網(wǎng)上交易時，木馬程序即以鍵盤記錄的方式獲取用戶的帳號和密碼，并發(fā)送給指定郵箱，使用戶資金受到嚴重的威脅4、利用用戶弱口令等漏洞破解、猜測用戶帳號和密碼。不法分子利用部分用戶貪圖方便設(shè)置弱口令的漏洞，對銀行卡密碼進行破解。不少犯罪分子從網(wǎng)上搜尋某銀行儲蓄卡卡號，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手11.3.3網(wǎng)絡(luò)釣魚攻擊過程分析

下面以針對中國工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過程。1、用戶收到自稱為中國工商銀行網(wǎng)絡(luò)客服發(fā)送的電子郵件，郵件中包含工行網(wǎng)站的訪問地址，如圖11-21所示。需要注意的是，該郵件是從一個普通的QQ郵箱地址發(fā)送來的。圖11-21網(wǎng)絡(luò)釣魚攻擊的假冒郵件11.3.3網(wǎng)絡(luò)釣魚攻擊過程分析

下面以針對中國工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過程。2、用戶通過郵件中提供的假冒網(wǎng)址訪問工行網(wǎng)站，如圖11-22所示。需要注意的是，該網(wǎng)站地址是，而不是。雖然該假冒的釣魚網(wǎng)站與工行官網(wǎng)一模一樣，但當(dāng)用戶點擊釣魚網(wǎng)中的相關(guān)頁面（除“個人網(wǎng)上銀行登陸”按鈕外），網(wǎng)站都會自動跳轉(zhuǎn)到(中國工商銀行官方網(wǎng)站)的其它正常鏈接中去。

圖11-22域名為的假冒工行釣魚網(wǎng)站11.3.3網(wǎng)絡(luò)釣魚攻擊過程分析

下面以針對中國工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過程3、用戶點擊釣魚網(wǎng)站上的“個人網(wǎng)上銀行登陸”按鈕后，進入假冒網(wǎng)銀登陸界面，如圖11-23所示。真實的工行個人網(wǎng)銀登陸地址為/icbc/perbank/index.jsp，而假冒個人網(wǎng)銀登陸地址為/icbc/perbank/index.asp。圖11-23假冒個人網(wǎng)銀登陸界面11.3.3網(wǎng)絡(luò)釣魚攻擊過程分析

下面以針對中國工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過程4、用戶輸入用戶名和密碼登陸后，該頁面將用戶名和密碼發(fā)送至釣魚攻擊者，同時彈出用戶名和密碼輸入錯誤的頁面，如圖11-24所示。圖11-24彈出用戶名密碼不正確的頁面11.3.3網(wǎng)絡(luò)釣魚攻擊過程分析

下面以針對中國工商銀行網(wǎng)銀的釣魚攻擊為例，介紹網(wǎng)絡(luò)釣魚攻擊的一般過程5、當(dāng)用戶點擊“重新輸入”后，頁面將被重置到中國工商銀行正常網(wǎng)銀登陸界面，用戶再次登陸后，一切正常。從上述例子可知，釣魚攻擊者使用了一個與工行官網(wǎng)非常相近的域名，給用戶正在訪問工行官網(wǎng)的錯覺，同時頁面顯示內(nèi)容與真實工行網(wǎng)站一模一樣，使用戶難以辨別。在用戶第一次輸入用戶名密碼后，頁面即被重置為正常頁面，后期操作一切正常，一般用戶往往容易認為是自己不小心輸錯了密碼，而根本無法發(fā)現(xiàn)自己的用戶名和密碼在此時已經(jīng)被發(fā)送給了釣魚攻擊者

11.3.4防范網(wǎng)絡(luò)釣魚攻擊

1、電子郵件欺詐防范收到具有如下特點的郵件就要提高警惕，不要輕易打開。（1）是偽造發(fā)件人信息，如ABC@。（2）問候語或開場白往往模仿被假冒單位的口吻和語氣，如“親愛的用戶”等。（3）郵件內(nèi)容多為傳遞緊迫的信息，如以帳戶狀態(tài)將影響到正常使用或宣稱正在通過網(wǎng)站更新帳號資料信息等。（4）索取個人信息，要求用戶提供密碼、帳號等敏感信息。11.3.4防范網(wǎng)絡(luò)釣魚攻擊

2、假冒的網(wǎng)上銀行和網(wǎng)上證券網(wǎng)站防范用戶在進行網(wǎng)上交易時要注意以下幾點：（1）仔細核對網(wǎng)址，看是否與真正網(wǎng)址一致。（2）保管好密碼，不要選諸如身份證號碼、出生日期、電話號碼等作為密碼，建議用字母、數(shù)字混合密碼，盡量避免在不同系統(tǒng)使用同一密碼。（3）做好交易記錄，對網(wǎng)上銀行、網(wǎng)上證券等平臺辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看歷史交易明細和打印業(yè)務(wù)對賬單，如發(fā)現(xiàn)異常交易或差錯，立即與有關(guān)單位聯(lián)系。（4）管好數(shù)字證書，避免在公用的計算機上使用網(wǎng)上交易系統(tǒng)。（5）對異常情況提高警惕，如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼，并遇到類似“系統(tǒng)維護”之類提示時，應(yīng)立即撥打有關(guān)客服熱線進行確認，萬一資料被盜，應(yīng)立即修改相關(guān)交易密碼或進行銀行卡、證券交易卡掛失。（6）通過正確的程序登錄支付網(wǎng)關(guān)，通過正式公布的網(wǎng)站進入，不要通過搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站的鏈接直接進入。11.3.4防范網(wǎng)絡(luò)釣魚攻擊

3、虛假電子商務(wù)信息防范用戶應(yīng)掌握以下詐騙信息的特點，不要上當(dāng)。（1）虛假購物、拍賣網(wǎng)站看上去都比較“正規(guī)”，有公司名稱、地址、聯(lián)系電話、聯(lián)系人、電子郵箱等，有的還留有互聯(lián)網(wǎng)信息服務(wù)備案編號和信用資質(zhì)等。（2）交易方式單一，消費者只能通過銀行匯款的方式購買，且收款人均為個人而非公司，訂貨方法一律采用先付款后發(fā)貨的方式。（3）在進行網(wǎng)絡(luò)交易前要對交易網(wǎng)站和交易對方的資質(zhì)進行全面了解。11.3.4防范網(wǎng)絡(luò)釣魚攻擊

4、采取相關(guān)網(wǎng)絡(luò)安全防范措施（1）安裝防火墻和防病毒軟件，并經(jīng)常升級。（2）注意經(jīng)常更新系統(tǒng)補丁，填補軟件漏洞。（3）禁止瀏覽器運行JavaScript和ActiveX代碼。（4）不要訪問一些不太了解的小網(wǎng)站，不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件，不要打開MSN或者QQ上傳送過來的不明文件等。（5）提高自我保護意識，注意妥善保管自己的私人信息，不向他人透露本人證件號碼、帳號和密碼等，盡量避免在網(wǎng)吧等公共場所使用網(wǎng)上電子商務(wù)或網(wǎng)絡(luò)交易服務(wù)。11.4垃圾郵件分析與防范

11.4.1垃圾郵件的概念與特點11.4.2垃圾郵件攻擊的原理11.4.3垃圾郵件的攻擊方式11.4.4反垃圾郵件常用技術(shù)11.4.1垃圾郵件的概念與特點

垃圾郵件是指未經(jīng)請求而大量發(fā)送的電子郵件

垃圾郵件主要來源于匿名轉(zhuǎn)發(fā)服務(wù)器、匿名代理服務(wù)器、一次性帳戶、僵尸主機四個方面

垃圾郵件具有以下特點：（1）未經(jīng)收件人同意或允許。（2）郵件發(fā)送數(shù)量大。（3）具有明顯的商業(yè)目的或欺騙性目的。（4）非法的郵件地址收集。（5）隱藏發(fā)件人身份、地址、標(biāo)題等信息；含有虛假的、誤導(dǎo)性的或欺騙性的信息。（6）非法的傳遞途徑。垃圾郵件因為占用大量的網(wǎng)絡(luò)帶寬和服務(wù)器系統(tǒng)資源而造成郵件服務(wù)器擁塞，進而使得整個網(wǎng)絡(luò)的運行效率降低11.4.2垃圾郵件攻擊的原理

在電子郵件發(fā)送過程中有三個重要的概念郵件用戶代理(MailUserAgent，MUA)：即通常所說的郵件客戶端軟件，它幫助用戶讀寫和管理郵件郵件傳輸代理（MailTransportAgent，MTA）：郵件傳輸過程中經(jīng)過的一系列的中轉(zhuǎn)服務(wù)器的統(tǒng)稱，它們將郵件發(fā)送給其它的郵件服務(wù)器或最終的收件人服務(wù)器郵件投遞代理(MailDeliverAgent，MDA)，即收件服務(wù)器，它負責(zé)接收并保存發(fā)給用戶的郵件11.4.2垃圾郵件攻擊的原理

電子郵件的發(fā)送過程如圖11-25所示

圖11-25電子郵件傳輸過程11.4.2垃圾郵件攻擊的原理

通常，一次完整的郵件發(fā)送過程包括以下3個階段：

（1）發(fā)件人將郵件通過MUA提交給郵件發(fā)件服務(wù)器（發(fā)送MTA）。電子郵件發(fā)送時，一般并不是直接從發(fā)件人計算機上的MUA發(fā)到保存收件人郵箱的MDA。（2）發(fā)件服務(wù)器將郵件發(fā)送給收件人郵箱所在服務(wù)器（收件服務(wù)器）。發(fā)件服務(wù)器會通過SMTP協(xié)議將郵件提交給收件服務(wù)器。根據(jù)SMTP協(xié)議的規(guī)定，如果發(fā)件服務(wù)器無法直接連接收件服務(wù)器，可以通過其它服務(wù)器進行中轉(zhuǎn)。發(fā)件服務(wù)器或中轉(zhuǎn)服務(wù)器在發(fā)送郵件時，如果發(fā)送不成功時會嘗試多次，直到發(fā)送成功或因為嘗試次數(shù)過多放棄為止。這種轉(zhuǎn)發(fā)方法對轉(zhuǎn)發(fā)郵件來源沒有任何限制，任何服務(wù)器都可以通過它來轉(zhuǎn)發(fā)郵件。由于在郵件頭中只記錄了域名信息，而沒有IP地址信息，因此經(jīng)過轉(zhuǎn)發(fā)之后無法得知郵件初始發(fā)出的IP地址。很多垃圾郵件制造者就利用這一點結(jié)合偽造域名信息來隱藏自己的實際發(fā)送地址。

（3）收件人MUA從MDA上收取自己的郵件。郵件被MDA保存到用戶郵箱之后，用戶就可以收取這些郵件了。與郵件發(fā)送的第一步一樣，根據(jù)用戶使用的MUA的不同，不同的用戶可能會使用不同的協(xié)議來收取郵件。常見的郵件收取協(xié)議有POP3、HTTP和IMAP等。11.4.2垃圾郵件攻擊的原理

電子郵件投遞遵循的是SMTP協(xié)議，