计算机产业安全联盟(CSIA)在周三发布的一份研究报告称,上月几乎一半的被调查者表示由于担心网络身份被窃取而缩减了网络商业行为。此外,在被调查者中,97%认为网络盗窃问题应该解决,93%对间谍软件表示出了担忧。CSIA的成员包括Juniper网络、McAfee、RSA和Entrust公司。
CSIA的执行主管Paul Kurtz表示,显然用户对于其信息在网络上的安全性表示出了担忧,这种担忧无疑影响了电子商务市场潜在的发展前景。
尽管如此,在安全公司VeriSign一个涉及13万5千名用户的调查项目结果却表明在过去的一年间电子商务规模增长了30%。据该安全公司这份周二发布的调查结果,最近几个月网络交易的规模正在逐步增长,今年第一季度电子商务交易的平均规模增长了4%,从上个季度的144美元增长到了150美元。
通过这两份独立独立的研究报告,我们不难看出,尽管网络攻击行为包括钓鱼式诱骗(Phishing)和域欺骗(Pharming)让消费者产生了顾虑,并导致了其削减了网络购物规模,但今年电子商务市场继续呈现上升势头。
钓鱼式攻击(Phishing)是一种典型的网络欺诈方式,它主要想偷取敏感信息,比如用户名,密码以及信用卡号码等等。然后,小偷会将这些信息出售,或者直接假冒别人的身份进行犯罪。常见的钓鱼式攻击手段包括发送垃圾邮件,制作貌似正规的虚假网页等等。网上骗子通常都有自己的一个电子邮件列表,这些地址可能是自己捏造的,也可能是购买到的或者利用工具从网上收集而来的。
利用注册或者密码提醒机制进行攻击的关键在于获得回应。许多网站在一个电子邮件地址被注册时,会向用户发送这样的讯息:本地址已经被注册。如果攻击者填送的地址获得了这样的的回应,那么他们就知道这个地址是真实有效的邮件地址。
利用这种原理,网络罪犯能够了解用户的性别、性倾向、政治立场、地理位置、爱好,以及在网上商店使用的电子邮件地址等等。
业内人士提醒,想象一下,有人清楚所有你曾经注册过的网站,想象一下有人能够从这些机制中发现你的个人信息。所有这些信息能够勾画出个人的详细背景资料。这样一来,攻击者得手的机率会大大的增加,原因是欺诈信中的语句会包含很多精确的信息,使得它看上去是一封正常邮件。比如,一封自称来自银行或者信用卡公司的电子邮件中可能出现用户曾经消费过的网络商店名字。
绝大多数美国受欢迎的网站允许钓鱼式攻击者,垃圾邮件发送者进行这样的“恶意信息探询”活动。另外,很多小网站,包括网上商店,球队的网站,组织团体的网站都存在这样的漏洞。恶意信息探询让钓鱼式攻击变得更有针对性。
VeriSign指出钓鱼式攻击者正在采用越来越复杂的手段来对付安全措施。与此同时,域欺骗(Pharming)的攻击手段也在日益兴起,它充分利用了DNS服务器中的安全漏洞来窃取用户的敏感信息。这种网络欺诈行为通过将恶意代码自动植入用户系统中,通过修改HOSTS文件引导用户进入仿冒网站。业内人士指出攻击者的手段更加复杂而狡猾,通过修改HOSTS文件的域欺骗攻击更加可怕,用户预防邮件诱骗的措施都将失效,恶意代码将越来越多地用于诱骗攻击。该实验室的忠告是:不随意打开不明附件、经常修改密码、升级静态密码体系、采用双因子认证技术。
同时,黑客也在扩大攻击范围,小规模的金融机构与电子商务网站逐渐成为攻击目标。Websense近日跟踪的一起案例中黑客瞄准著名网络游戏Warcraft的用户群,玩家不小心输错仅差一个字符的URL后即被引导进入一个几乎相同的仿冒页面,并提交游戏的用户名与密码。黑客借此盗用玩家身份进行游戏装备交易。
为了对抗此类攻击保护用户网络隐私,CSIA调查报告发现17%的用户要求制定对应的法律措施来责罚此类网络犯罪,64%的用户要求政府除去更多的措施来保护计算机安全。
(T111)
