黑客的出现可以说是当今信息社会,尤其是在Internet互联全球的过程中,网络用户有目共睹、不容忽视的一个独特现象。黑客们在世界各地四处出击,寻找机会袭击网络,几乎到了无孔不入的地步。有不少黑客袭击网络时并不是怀有恶意,他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华,但也有一些黑客的网络袭击行为无意或者有意地对社会造成了不同程度的危害。
黑客(Hacker)一词起源于美国麻省理工学院,Hacker的原意是指热衷于计算机程序设计的人。当时有一个学生组织对当局限制某个计算机网络系统使用的措施极为不满,他们便开始寻找方法侵入该系统,并以“黑客”自居。黑客们认为网络中的任何信息都应当是自由的和公开的,任何人都可以平等地共享和获取网络资源。
目前世界各国对黑客的定义还不尽相同,但其普遍含意是指计算机网络系统的非法入侵者。绝大多数黑客对计算机非常着迷,认为自己有着比别人更高的计算机技能。只要愿意,他们可以而且也能够非法进入某些网络禁区,或开玩笑或恶作剧,甚至做出违法犯罪的事情,并常常以此作为一种智力挑战而陶醉于其中。
由于黑客袭击网络的目的和目标并不一致,所以黑客行为的特点也不统一,据此可以将黑客分为不同的类型。
(1)恶作剧型。
这类黑客喜欢侵入一些较为著名的网站,并在网页上写入一些文字或贴上一些图片,以表达自己的好恶或显示自己网络袭击的技术水平。这类侵入多为给站点开开玩笑,或篡改站点的某些数据,愚弄普通访问用户。例如,黑客可能将网页中待售商品价格修改,使之大幅度降价,让广大消费者误以为价廉而大量订购,从而与站点产生纠纷;或者,黑客可能会在网页上以一名少女的口气发布求爱信,并约定一个其实根本不存在的见面地点,捉弄一些男士。
(2)制造矛盾型。
这类黑客唯恐天下不乱,非法侵入他人网络后,大肆修改网络信息,如E-mail内容、各类数据库内容等。目的在于制造用户之间的矛盾与信任危机,并在适当的时候介入其中,谋取利益。
(3)信息截取型。
这类黑客常通过监控网络的方式,截取网络通信过程中有价值的信息,甚至在合法用户没有收到前便将这些信息迅速清除掉。黑客获取这些信息后,往往会利用这些信息谋取一定的经济收益,或者达到某种目的。
(4)窥秘型。
这类黑客乐于侵入网络窥探别人的秘密,尤其是一些社会名流、演艺名人和政府要员等的个人隐私问题,一方面从中寻求刺激,另一方面可能会凭借一些不可告人的秘密来要挟他们,让他们在某些事情上做出让步,或支付一笔钱财。
(5)事后报复型。
这类黑客多为程序员,工作过程中可能对公司老板或公司制度不满意,所以编写程序时预先将报复程序或病毒写入系统中,并规定在将来的某一个时候或满足某种条件时激活发作,摧毁公司的网络系统。这种报复性程序通常会在黑客从该公司离职一段时间后发作,如几个月或半年、一年。因此,这类事件很难取证,也很难证明系黑客所为,危害极大。
(6)商业间谍型。
这类黑客通常由一些厂商派出,以招聘方式进入竞争对手的公司,在了解到该公司内部计算机网络的重要信息,如用户账号、密码、数据传输方式、网络管理模式以及相关机密文件资料后,再从这家公司悄悄离职,返回自己原来的公司。回到自己的公司后,便经常侵入竞争对手公司的网络,监视其运作动态,窃取商业秘密,并为自己的公司所用。
(7)病毒袭击型。
这类黑客将自己或别人制造的病毒植入他人的网络系统中,使得对方的网络系统不能正常运行,或破坏网络数据库,或摧毁网络安全体系等。
黑客袭击网络的手段多种多样,下面简单介绍一些较为常用的手段。
(1)口令破解与获取。
口令是黑客侵入网络的关键因素,黑客们有很多方法可以取得口令。例如,通过观察和拾取他人的某些记录资料,经过反复试验和推测用户及其亲属的名字、生日、电话号码或其他易记的线索等,来获取进入计算机网络系统的口令,以求侵入系统,从事各种袭击活动。当这种方法不能奏效时,黑客们便借助各种软件工具,进行口令破解。
(2)暗中捕获。
黑客常使用一些驻留内存的程序暗中捕获用户的口令。这类程序类似于“特洛伊木马”(Trojan Horse)的病毒程序,它通常在用户收发E-mail或浏览网页时,借机潜入用户的计算机系统中,并在暗中偷偷地记录用户输入的每个口令,然后把这些口令发送给黑客的E-mail信箱。黑客再使用一些程序,读出其中的口令,进而侵入网络。
为了向用户输出捕获程序,黑客有时简直是费尽心机。例如,他们可能会冒充一些网络机构,如ISP等,给用户发去E-mail,进行某项调查,让用户填写调查表格,并答应凡合作的用户均将得到什么奖励,其实,他不过是在暗中捕获用户的口令。黑客还可能寄给用户一封E-mail,并提醒用户里面含有一张或几张裸体照片,赶快下载预览,用户只要经不住诱惑,就陷入黑客的诡计了。
(3)暴力破密。
如果黑客实在无法得到侵入网络的口令,则会采用一些工具软件,通过删除密码数据、跳过密码检测、更改密码结果等,强行进入网络系统。例如John the Ripper 1.4版,使用它的“-i: all”参数,即可进行暴力破密。
(4)利用操作系统的漏洞。
操作系统是一个复杂、庞大的软件,有时因为程序员的疏忽或软件设计上的失误,可能会留下一些漏洞(计算机界常称之为Bug,即“臭虫”的意思),从而成为黑客进入网络的一个“后门”。例如,Windows 98/2000/XP和Windows NT系统是目前最常用的个人计算机操作系统和网络操作系统,但它们都有严重的安全漏洞,用户如果不及时到Microsoft的站点上下载升级程序,则很有可能成为黑客造访的对象。
(5)即时信息轰炸。
黑客一经确定当前在网上操作的某个用户为袭击目标,便会采用一些程序,以极快的速度向该用户发送无限数的信息,实施“轰炸”,直到用户的计算机因内存过满或硬盘过满而死机。
(6)利用匿名。
黑客有时会以E-mail的形式向用户寄发轰炸信息,由于一般情况下用户收到的E-mail都含有发件人的地址,那么读者可能会问,为什么不能根据发件人地址而追查黑客呢?事实上,黑客根本不采用普通的E-mail系统,而是利用匿名E-mail转递系统给用户寄发E-mail,从这种E-mail中是无法获得黑客的真实地址的,因为E-mail转递系统是一种可以隐密发件人E-mail地址的计算机服务系统。
在Internet上建立匿名E-mail转递系统是Internet“文明”发展到一定水平后的结果,它是保护个人隐私和言论自由的一把利器。有些用户作为某一公司的职员,想对公司产品、管理等表达一些看法,但又担心老板不高兴;或者用户想通过Internet寻找新工作却不愿被现在的老板发现;或者用户想批评某个人又怕遭到报复;或者担心透露E-mail地址后会受到E-mail炸弹的袭击……,只要借助匿名E-mail转递系统,就可以免去这诸多忧虑了。匿名系统的关键是用一个假的地址代替用户的真实E-mail地址,并把信件转递过去,同时一并用一些假的信息代替其他相关资料。匿名E-mail转递系统的初衷是好的,但它却被一些黑客所利用,从事网络袭击活动。
另外,黑客还通过申请一些虚假个人信息的免费E-mail地址来从事类似的袭击活动。
(7)其他方法。
黑客袭击网络的其他方法主要有使用逻辑炸弹、特洛伊木马和E-mail炸弹等袭击用户的E-mail信箱,袭击Web页面,袭击网络防火墙以及制造与传播网络病毒、宏病毒等。
在这个网络时代,每个人都可以轻易地从网络上得到各种简单易用的黑客工具。在网络上实施电子商务必须遵循必要的防黑客措施与安全准则。
对于使用公共机器上网的网民,一定要注意IE(Internet Explorer浏览器)的安全性。因为IE的自动完成功能在给用户填写表单和输入Web地址带来一定便利的同时,也给用户带来了潜在的泄密危险,最好禁用IE的自动完成功能。IE的历史记录中保存了用户已经访问过的所有页面的链接,在离开之前一定要清除历史记录;另外IE的临时文件夹内保存了用户已经浏览过的网页,通过IE的脱机浏览特性,其他用户能够轻松地翻阅你浏览的内容,所以离开之前也需删除该路径下的文件。
使用具有对Cookie程序控制权的安全程序,因为Cookie程序会把信息传送回网站,当然安装防黑客软件也可对Cookie的使用进行禁止、提示或启用。
不要在网络上随意公布或者留下你的E-mail地址,有些专门软件会收集网页上的E-mail地址,然后发送轰炸的E-mail或者那令人恼火的垃圾邮件。在E-mail客户端软件中限制E-mail大小和过滤垃圾邮件。使用远程登录的方式来预览E-mail,直接删除垃圾邮件。
不要轻易打开E-mail中的附件,更不要轻易运行E-mail附件中的程序,除非知道信息的来源。对于E-mail附件要先用查毒、杀毒软件和专业清除木马的工具进行扫描后方可使用。要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序。
对于重要的信,要让收件人回复确认。对于秘密信息,最好通过其他渠道传送,如果实在需要利用网络,请加密信息。
局域网里的用户喜欢将自己的计算机设置为文件共享,以方便相互之间资源共享,但是如果设置了共享的话,就为那些黑客留了后门,这样他们就有机可乘进入你的计算机偷看你的文件,甚至搞些小破坏。
建议在非设共享不可的情况下,最好为共享文件夹设置一个密码,否则公众以及你的对手将可以自由地访问那些共享文件。
不要使用简单的密码。不要简单地用生日、单词或电话号码作为密码,密码的长度至少要6个字符以上,包含数字、大、小写字母和键盘上的其他字符混合。
对于不同的网站和程序,要使用不同口令,以防止被黑客破译。要记录好你的ID和密码以免忘记,但不要将记录存放在上网的计算机里。要经常更改密码,不要向任何人透露你的密码。不要为了下次登录方便而保存密码。
只向有安全保证的网站发送信用卡号码,留意寻找浏览器底部显示的挂锁图标或钥匙形图标。
不可允许网上的商家为了便于你以后购物而储存你的信用卡资料。
在使用聊天软件的时候,最好设置为隐藏用户,以免别有用心者使用一些专用软件查看到你的IP地址,然后采用一些针对IP 地址的黑客工具对你进行攻击。在聊天室的时候,还要预防Java炸弹,攻击者通常发送一些带恶意代码的HTML语句使你的计算机打开无数个窗口或显示巨型图片,最终导致死机。你只需禁止Java脚本的运行和显示图像功能,就可以避免遭到攻击,但这时你就没法访问一些交互式网页。
网络是个宝藏,让你永远也挖掘不完,而此时,面对美丽的诱惑,你要清醒,因为在它背后,可能有不可告人的黑幕,如广为流行的CIH病毒,就是通过下载软件传播的。而有的网站,让你下载某个程序,说通过它可以看一些隐秘的图片,而一些涉世不深的网友,下载该软件后,等待你的将是什么呢,该软件切断了你与ISP的连接,而偷偷把你的电话拨到某个小国,的确你也看到了你想看的东西,但等到你缴付费用的那天,你会明白了一切。
不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序,如果你一旦安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的计算机。
很多常用的程序和操作系统的内核都会发现漏洞,某些漏洞会让入侵者很容易进入到你的系统,这些漏洞会以很快的速度在黑客中传开。软件的开发商会把补丁公布,以便用户补救这些漏洞。建议用户订阅关于这些漏洞的邮件列表,以便及时知道这些漏洞后打上补丁,以防黑客攻击。当然最好使用最新版本的浏览器软件、E-mail软件以及其他程序,但不要是测试版本。
如果你使用的是宽带上网,那么你就会在任何时候都连上Internet,这样,你就很有可能成为那些闹着玩的黑客的目标。强烈建议安装防黑客软件(如天网防火墙个人版、LockDown等)并且经常将其升级更新,从而使有破坏性的程序远离你的计算机。
随着人们越来越多地依靠Internet进行商业、个人财政和投资等活动,Internet诈骗已经成为一个越来越大的威胁。网络钓鱼就是Internet诈骗中发展最快的一种。网络钓鱼(Phishing)的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机账户信息。攻击者然后利用这些信息进行犯罪活动,如身份窃取、盗窃或欺诈。用户在被欺骗的情况下,或者通过网页形式透露信息,或者通过下载和安装恶意软件而透露信息。
“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或E-mail,然后对其中的程序代码动手脚,如果使用者信以为真地按其链接和要求填入个人重要资料,资料将被传送到诈骗者手中。实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取多种手法交织、配合进行,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。
(1)发送E-mail,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。2006年2月份发现的一种骗取美邦银行(Smith Barney)用户的账号和密码的“网络钓鱼”E-mail,该邮件就是利用了IE浏览器的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。而用户单击链接时,实际连接的是钓鱼网站,该网站页面酷似Smith Barney银行网站的登录界面,但是用户一旦输入了自己的账号密码,这些信息就会被黑客窃取。
(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。犯罪分子建立域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号、密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用Cookie窃取用户信息。
如曾出现过的某假冒银行网站,网址为http://www.1cbc.com.cn,而真正银行网站是http://www.icbc.com.cn,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。2004年7月发现的某假冒联想网站(网址为http://www.1enovo.com),而真正网站为http:// www.lenovo.com,诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问。而一旦用户访问该网站,首先生成一个弹出窗口,上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站主页面在后台即通过多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转向到真正网站主页,用户在毫无觉察中就感染了病毒。病毒程序执行后,将下载该网站上的另一个病毒程序bbs5.exe,用来窃取用户的传奇账号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。
(3)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送E-mail或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。如2005年网上出现的盗取某银行个人网上银行账号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。木马“证券大盗”可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的单击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。2004年3月陈某盗窃银行储户资金一案,陈通过其个人网页向访问者的计算机种植木马,进而窃取访问者的银行账户和密码,再通过电子银行转账实施盗窃行为。
(4)利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登录该银行网上银行网站,尝试破解弱口令,并屡屡得手。
(5)利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年,罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾主将购货款汇入其用虚假身份在多个银行开立的账户,然后转移钱款的案件。除少数不法分子自己建立电子商务网站外,大部分人采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,以走私货充行货,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。
下面我们从人在网上活动的各个阶段来分析如何防范网络钓鱼。
(1)消息获取阶段。
在理想状态下,对钓鱼攻击的最佳防范是通过在消息获取时过滤所有钓鱼攻击通信并进行拦截,使他们不能显示给用户。这种解决办法的基本要求是计算机必须能准确地从合法消息中识别出钓鱼消息。在消息获取时过滤的防范措施取决于计算机易于理解的消息的属性。
其中一个属性是发信人的身份,“黑名单”被广泛用于拦截潜在的危险或不受欢迎的消息,如垃圾邮件。如果发信人的IP地址在“黑名单”中,接收的消息就被当作垃圾邮件,或者甚至在不通知用户的情况下简单地拒收。但是“黑名单”也拒绝了新身份的E-mail。
与“黑名单”相对的是“白名单”,它允许用户只查看来自可接受消息源列表的消息。“白名单”避免了新身份的问题,因为新创建源的初始状态被标记为不可接受,但是,确定“白名单”是一个很头疼的问题。
消息过滤所涉及的另一个属性是消息的文本内容,这种内容分析的方法被广泛用于反垃圾邮件和防病毒解决方案中。危险的消息可通过搜索已知的模式如垃圾邮件关键词和病毒代码特征进行探测。
垃圾邮件过滤是在消息获取时应用的一种防范措施。由于目前很多钓鱼攻击都是通过垃圾邮件进行的,因此,控制垃圾邮件可以大大降低遭受钓鱼攻击的危险。
(2)显示阶段。
当一个消息通过E-mail客户端程序或网页浏览器提供给用户时,用户界面也能提供一些可视线索,帮助用户确定该消息是否是合法的。
当前的网页浏览器通过一系列可视线索提供网页的源地址和完整性信息,例如,窗口上方的地址栏能显示所打开网页的URL,状态栏还会显示一个有代表性的锁的图标,表明该网页是否通过一个加密的、已被验证的连接打开的。目前这些线索在应对钓鱼攻击的防范中被广泛应用且最易为用户所理解,对钓鱼攻击的安全建议也提醒用户要在任何时候都密切关注这些线索。
但是,这些可视的线索也有一些缺陷。首先,这些线索显示在浏览器的外围区域,同网页的内容是分离的,而内容位于中央,且永远是用户的关注焦点,外围的线索必须要能引起用户的注意。其次,这些线索可被“钓鱼者”直接攻击。如URL隐藏和域名相似就是地址栏欺骗的一个例证,攻击者还利用JavaScript和Java程序隐藏或伪造其他安全线索,包括地址栏、状态栏、验证对话框、SSL锁图标、SSL证书信息等。
(3)行动阶段。
钓鱼攻击不仅要使用户上当受骗,而且要使用户按照欺骗信息的指示采取行动,因此,安全专家建议用户不要执行有潜在危险性的行动。例如,目前大多数钓鱼攻击利用E-mail消息作为初始诱饵,并骗使接收者单击E-mail中提供的链接,而该链接指向一台钓鱼攻击服务器。在此情况下,用户应无视E-mail中的链接,并打开一个新浏览器窗口,手动输入合法网站的URL。
(4)系统操作阶段。
在一次成功钓鱼攻击的最后一步,用户的行动被转变成系统操作,这也是我们防止攻击的最后机会。但是,由于钓鱼攻击不是利用系统缺陷,攻击所涉及的系统操作都是非常正当的,例如,向远程服务器发送信息是一件很平常的事。只基于系统操作的告警将不可避免地导致较高的虚假错误率,即就合法行动向用户发出警告。这种高虚假错误率的最终结果是使用户关闭告警或按照习惯取消告警。
有一种较为有趣的方法是按照系统操作的目的地修改系统操作,网络密码散列将这种思想应用于防范盗取网站密码的钓鱼攻击。浏览器自动将用户输入的密码同密码要发送到的域名进行散列,为每个网站产生一个唯一的密码,因此,它向钓鱼网站发送的就是经过散列的无用的垃圾信息。网络密码散列认为用户将在HTML环境中输入他们的密码,但高级攻击可以诱骗用户通过其他途径泄露其密码。