據(jù)CERT的一位安全專家Jason Milletary說����,所謂“釣魚式攻擊(phishing attacks)”���,就是別有用心者使用欺詐性郵件����,將自己假扮成銀行或其它法律機(jī)構(gòu),從而從用戶那里獲取有用的個(gè)人信息��。在一份聲明中���,Milletary警告說“那些進(jìn)行釣式攻擊和在線金融詐騙的不法分子攻擊的對(duì)象種類越來越多�����,采用的技術(shù)也日益復(fù)雜����?����!?/P>
CERT還指出“釣魚者(phishers)”正在使用更惡意的代碼來攻擊用戶的帳戶信息�。“和真正的漁夫一樣��,現(xiàn)在那些‘釣魚者’擁有各式各樣的捕釣工具���?���!?Milletary說。
Spectrum系統(tǒng)咨詢公司副總裁Vit Kantor說金融部門正面臨一場(chǎng)真槍實(shí)彈的戰(zhàn)爭(zhēng)����。“現(xiàn)在要發(fā)現(xiàn)那些隱藏在幕后的令人厭惡的東西變得越來越困難了����。”Kantor補(bǔ)充說���,為了讓他們的偽造的網(wǎng)站看上去更真實(shí)可信����,“捕釣者”們?cè)絹碓缴瞄L(zhǎng)于將Web瀏覽器重新定向到偽造的站點(diǎn)���。
但是Vit Kantor認(rèn)為銀行需要慎重考慮一下后端存儲(chǔ)系統(tǒng)上的盜竊密碼所造成的影響����。他說:“這絕對(duì)是至關(guān)重要的�。他們需要在整個(gè)基礎(chǔ)架構(gòu)中實(shí)施風(fēng)險(xiǎn)管理策略,而不只是停留在用戶認(rèn)證上�。”
Kantor表示���,銀行應(yīng)該配置數(shù)據(jù)庫訪問與監(jiān)管軟件�����,以便檢驗(yàn)是誰試圖掌握后端數(shù)據(jù)���。“應(yīng)該有一個(gè)裝置來控制對(duì)內(nèi)部資源的訪問�����?����!?/P>
來自一家大的美國銀行的不愿透露姓名的IT經(jīng)理說他們已經(jīng)采取措施來解決這個(gè)問題����。他們將自己的存儲(chǔ)系統(tǒng)全都有效地隔離出來?���!巴饨鐭o法進(jìn)入到我們的存儲(chǔ)網(wǎng)絡(luò)��,我們甚至不允許(第三方)廠商筆記本接入我們的網(wǎng)絡(luò)����?����!彼忉屨f��。
那位IT經(jīng)理說�,至關(guān)緊要的是用戶也不能直接訪問存儲(chǔ)網(wǎng)絡(luò)。這就是說���,即使密碼泄露了����,數(shù)據(jù)丟失的危險(xiǎn)也能降到最低��。
他還補(bǔ)充說現(xiàn)在很多銀行主要是針對(duì)網(wǎng)上銀行客戶來進(jìn)行反釣魚攻擊�����。銀行希望對(duì)這些客戶采取所謂的“雙重認(rèn)證”來驗(yàn)證身份。
這樣一來�����,用戶如果要訪問他們?cè)诰€帳戶�,不僅需要密碼����,還需要所謂的“硬件憑證”。這些硬件憑證���,比如美國RSA Security公司的SecureID Token���,已經(jīng)在很多行業(yè)被用于認(rèn)證用戶身份。
舉個(gè)例子�,這位IT經(jīng)理說他們公司的員工已經(jīng)開始使用RSA公司的SecureID Token以及傳統(tǒng)的密碼來訪問銀行的某些最高級(jí)別的安全系統(tǒng)。
安全巨頭賽門鐵克公司最近收購了反釣魚式安全工具和安全分析軟件公司W(wǎng)holeSecurity以增強(qiáng)反釣魚安全技術(shù)��。另外���,賽門鐵克還發(fā)布了今年上半年全球安全威脅報(bào)告���,據(jù)報(bào)告顯示���,反釣魚式攻擊呈上升勢(shì)頭。每天的釣魚攻擊信息由過去的299萬個(gè)增長(zhǎng)到了現(xiàn)在的570萬個(gè)��。由賽門鐵克檢測(cè)的125份郵件中就有一份是釣魚式信息�����。
但是Kantor警告說:“我們看到網(wǎng)絡(luò)釣魚者傾向于攻擊規(guī)模較小但具有高價(jià)值的團(tuán)體���。比如商業(yè)銀行的高價(jià)值客戶����?�!?/P>
