互聯(lián)網(wǎng)在飛速發(fā)展，各種基于互聯(lián)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用技術(shù)和安全技術(shù)也在飛速發(fā)展，同樣的互聯(lián)網(wǎng)犯罪也是發(fā)展到了極致。在過去十來年，網(wǎng)絡(luò)釣魚不斷滲透，在世界各地每日的網(wǎng)絡(luò)釣魚攻擊大約為800萬次數(shù)，網(wǎng)絡(luò)釣魚已經(jīng)逐漸成為了互聯(lián)網(wǎng)安全的最大威脅。

網(wǎng)絡(luò)釣魚無界限

網(wǎng)絡(luò)釣魚——引誘電腦用戶提供敏感信息盜取身份和商業(yè)數(shù)據(jù)——對企業(yè)和普通消費者都構(gòu)成極大威脅。

反網(wǎng)絡(luò)釣魚工作組(APWG)報道說，在2008年第二季度，光網(wǎng)絡(luò)釣魚攻擊就上升了13%，超過28000次數(shù)。它還報道稱，在同樣的時期內(nèi)，被感染了電腦密碼竊取代碼、可用來惡意軟件傳播的網(wǎng)站就已經(jīng)突破了9500個——與2007年同期相比，增長了258%。圖一顯示了網(wǎng)絡(luò)釣魚——魚叉式網(wǎng)路網(wǎng)絡(luò)釣魚在16個月內(nèi)的增長情況。

提防最新網(wǎng)絡(luò)釣魚陰謀

Spear phishing(魚叉式網(wǎng)路網(wǎng)絡(luò)釣魚)

魚叉式網(wǎng)路網(wǎng)絡(luò)釣魚 只針對特定目標進行攻擊，通常鎖定的對象并非一般個人,而是特定公司、組織成員，比如著名的銀行、金融公司及其高管等。

消費者并不是魚叉式網(wǎng)絡(luò)釣魚攻擊的唯一目標。越來越多的企業(yè)員工被狡猾的犯罪分子盯上。他們的目標是要獲取銀行信息、客戶數(shù)據(jù)和其他資料，以資助他們的網(wǎng)絡(luò)犯罪行徑。

根據(jù)VeriSign iDefense，魚叉式網(wǎng)絡(luò)釣魚攻擊在2008年4月至五月期間對企業(yè)發(fā)起的攻擊，達到了前所未有的水平。這些攻擊的目標主要是高級管理人員和公司其他重要人物。在15個月內(nèi)，受害者企業(yè)用戶數(shù)量達到了驚人的15000之多。這些受害者包括全球500強公司、政府機構(gòu)、金融機構(gòu)和律師事務(wù)所。

商業(yè)服務(wù)網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚

除了魚叉式網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚之外，網(wǎng)絡(luò)釣魚新陰謀還包括有針對商業(yè)服務(wù)的網(wǎng)絡(luò)釣魚攻擊。比如，利用Yahoo !推出的關(guān)系和谷歌的AdWords進行網(wǎng)絡(luò)釣魚。據(jù)PhishTank報告稱，AdWords用戶會受到一封電子郵件，提醒他們賬戶需要更新。之后，用戶就會被要求登陸一個假冒的AdWords界面并提供信用卡信息。由于很多中小型企業(yè)依賴在線廣告來提供網(wǎng)站流量，他們的市場管理者很容易受到網(wǎng)絡(luò)釣魚者盯上。

利用經(jīng)濟恫嚇發(fā)起網(wǎng)絡(luò)釣魚攻擊

當前低迷的經(jīng)濟形勢，為犯罪分子發(fā)起網(wǎng)絡(luò)釣魚攻擊提供了便利條件。比如，利用電子郵件假扮成來自某個金融機構(gòu)需要獲取受害者銀行卡、存貸款等財務(wù)信息，以幫助處理企業(yè)破產(chǎn)或者合并、收購等事宜。大量的合并和收購信息，讓廣大消費者感到迷茫。更糟糕的是，缺乏統(tǒng)一通信，更是讓欺詐者有恃無恐。

混合式網(wǎng)絡(luò)釣魚/惡意軟件威脅

為了提高成功率，一些網(wǎng)絡(luò)釣魚攻擊會與惡意軟件相結(jié)合的方式進行。例如，某個潛在的受害者收到發(fā)來網(wǎng)絡(luò)釣魚電子賀卡的郵件，通過點擊該賀卡，用戶就會在不知情的條件下進入一個偽造的網(wǎng)站上，并感染網(wǎng)站上自動下載過來的木馬程序。另外，受害者可能會看到一條消息，在查看賀卡的之前需要下載更新軟件(比如Flash)。當用戶該軟件的時候，其實它就是一個鍵盤記錄軟件。

基于網(wǎng)絡(luò)釣魚的鍵盤記錄軟件，會跟蹤用戶的每一個上網(wǎng)記錄，并監(jiān)視其中有用的信息，比如在線購物、銀行卡賬戶和密碼等敏感信息。

另外一種會讓網(wǎng)絡(luò)釣魚攻擊者捕獲敏感信息的木馬，則是重定向。重定向會讓用戶進入不是其本意的網(wǎng)站。目前，基于網(wǎng)絡(luò)釣魚的鍵盤記錄軟件和重定向正大肆流行。

中間人SSL滲透攻擊

2008年，出現(xiàn)了一種新型的可以讓犯罪分子欺騙加密會話的惡意軟件。這種標準的中間人攻擊的變種，可以讓罪犯訪問網(wǎng)絡(luò)傳輸上不受保護的密碼和其他敏感信息。

短信和手機網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚詐騙

網(wǎng)絡(luò)釣魚攻擊者可能會使用短信來取代電子郵件，以冒充某個金融機構(gòu)并獲得機密賬戶信息。被稱為smishing(通過短消息的網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚攻擊)，屬于一種典型的手機詐騙，它會通知用戶銀行賬戶失密或者銀行卡被停用，并要求撥打某個電話來恢復(fù)銀行服務(wù)。手機用戶一旦登陸網(wǎng)站或者通過自動電話系統(tǒng)，就會被騙取透露銀行財務(wù)信息和PIN號碼。