據(jù)CERT的一位安全專家Jason Milletary說(shuō)���,所謂“釣魚式攻擊(phishing attacks)”,就是別有用心者使用欺詐性郵件����,將自己假扮成銀行或其它法律機(jī)構(gòu),從而從用戶那里獲取有用的個(gè)人信息��。在一份聲明中�,Milletary警告說(shuō)“那些進(jìn)行釣式攻擊和在線金融詐騙的不法分子攻擊的對(duì)象種類越來(lái)越多,采用的技術(shù)也日益復(fù)雜�。”
CERT還指出“釣魚者(phishers)”正在使用更惡意的代碼來(lái)攻擊用戶的帳戶信息��?!昂驼嬲臐O夫一樣,現(xiàn)在那些‘釣魚者’擁有各式各樣的捕釣工具�����?�!?Milletary說(shuō)����。
Spectrum系統(tǒng)咨詢公司副總裁Vit Kantor說(shuō)金融部門正面臨一場(chǎng)真槍實(shí)彈的戰(zhàn)爭(zhēng)�����?�!艾F(xiàn)在要發(fā)現(xiàn)那些隱藏在幕后的令人厭惡的東西變得越來(lái)越困難了��?��!盞antor補(bǔ)充說(shuō),為了讓他們的偽造的網(wǎng)站看上去更真實(shí)可信���,“捕釣者”們?cè)絹?lái)越擅長(zhǎng)于將Web瀏覽器重新定向到偽造的站點(diǎn)�。
但是Vit Kantor認(rèn)為銀行需要慎重考慮一下后端存儲(chǔ)系統(tǒng)上的盜竊密碼所造成的影響�。他說(shuō):“這絕對(duì)是至關(guān)重要的。他們需要在整個(gè)基礎(chǔ)架構(gòu)中實(shí)施風(fēng)險(xiǎn)管理策略��,而不只是停留在用戶認(rèn)證上�?���!?/P>
Kantor表示,銀行應(yīng)該配置數(shù)據(jù)庫(kù)訪問(wèn)與監(jiān)管軟件�,以便檢驗(yàn)是誰(shuí)試圖掌握后端數(shù)據(jù)�?!皯?yīng)該有一個(gè)裝置來(lái)控制對(duì)內(nèi)部資源的訪問(wèn)?�!?/P>
來(lái)自一家大的美國(guó)銀行的不愿透露姓名的IT經(jīng)理說(shuō)他們已經(jīng)采取措施來(lái)解決這個(gè)問(wèn)題�。他們將自己的存儲(chǔ)系統(tǒng)全都有效地隔離出來(lái)?!巴饨鐭o(wú)法進(jìn)入到我們的存儲(chǔ)網(wǎng)絡(luò),我們甚至不允許(第三方)廠商筆記本接入我們的網(wǎng)絡(luò)�。”他解釋說(shuō)����。
那位IT經(jīng)理說(shuō),至關(guān)緊要的是用戶也不能直接訪問(wèn)存儲(chǔ)網(wǎng)絡(luò)���。這就是說(shuō)�����,即使密碼泄露了�,數(shù)據(jù)丟失的危險(xiǎn)也能降到最低�����。
他還補(bǔ)充說(shuō)現(xiàn)在很多銀行主要是針對(duì)網(wǎng)上銀行客戶來(lái)進(jìn)行反釣魚攻擊。銀行希望對(duì)這些客戶采取所謂的“雙重認(rèn)證”來(lái)驗(yàn)證身份��。
這樣一來(lái)�����,用戶如果要訪問(wèn)他們?cè)诰€帳戶�����,不僅需要密碼��,還需要所謂的“硬件憑證”����。這些硬件憑證,比如美國(guó)RSA Security公司的SecureID Token��,已經(jīng)在很多行業(yè)被用于認(rèn)證用戶身份��。
舉個(gè)例子����,這位IT經(jīng)理說(shuō)他們公司的員工已經(jīng)開始使用RSA公司的SecureID Token以及傳統(tǒng)的密碼來(lái)訪問(wèn)銀行的某些最高級(jí)別的安全系統(tǒng)。
安全巨頭賽門鐵克公司最近收購(gòu)了反釣魚式安全工具和安全分析軟件公司W(wǎng)holeSecurity以增強(qiáng)反釣魚安全技術(shù)�。另外,賽門鐵克還發(fā)布了今年上半年全球安全威脅報(bào)告�����,據(jù)報(bào)告顯示���,反釣魚式攻擊呈上升勢(shì)頭��。每天的釣魚攻擊信息由過(guò)去的299萬(wàn)個(gè)增長(zhǎng)到了現(xiàn)在的570萬(wàn)個(gè)��。由賽門鐵克檢測(cè)的125份郵件中就有一份是釣魚式信息�。
但是Kantor警告說(shuō):“我們看到網(wǎng)絡(luò)釣魚者傾向于攻擊規(guī)模較小但具有高價(jià)值的團(tuán)體���。比如商業(yè)銀行的高價(jià)值客戶�����?��!?/P>
