绿盟安全月刊->第54期->安全新闻 互联网“钓鱼式”攻击增长快 金融业受重灾

出处：赛迪网-中国计算机报
日期：2004-12-06

赛迪网-中国计算机报

【赛迪网讯】据反钓鱼式欺诈工作组（APWG）称，尽管金融机构在努力地打击窃取在线服务消费者机密帐户资料的行为，但10月份在线钓鱼式攻击有了大幅度的增长。

APWG在上周发表的一份报告中称，10月份用来进行钓鱼式欺诈攻击的网站数量为1142个，较9月份的543个网站增长了110%。

10月份，APWG收到了6600种不同钓鱼式欺诈攻击电子邮件。APWG的秘书长彼特·卡西迪表示，自7月份以来，钓鱼式欺诈攻击电子邮件数量平均每个月的增长幅度为36%。他说，有组织的犯罪活动已经使用了这一技术，自动化提高了这种技术的可用性，他们对钓鱼式欺诈攻击技术使用得越来越纯熟了。

当恶意黑客发送欺诈性电子邮件吸引消费者访问伪装成知名金融机构网站的网站时，钓鱼式欺诈活动就开始了。电子邮件会让消费者在网站上留下帐户资料。据联邦贸易委员会称，去年，有1000多万美国人的个人资料被窃取，收到钓鱼式欺诈电子邮件的互联网用户数量达到了5700万。

金融服务产业是钓鱼式欺诈攻击的重灾户。上个月广泛传播的一封电子邮件似乎是来自花旗银行。据Gartner集团的一份报告称，去年，钓鱼式欺诈攻击使银行和信用卡机构蒙受了102亿美元的损失。

银行正在通过对消费者进行有关欺诈性电子邮件的教育来打击钓鱼式欺诈攻击。已经有数家银行在网站上发布了针对它们网站的钓鱼式藏族攻击的信息。卡西迪表示，APWG预计钓鱼式攻击者将会对地区性银行发动攻击，但目前这种攻击还没有出现。他说，攻击的范围仍然局限于花旗银行、美洲银行等大银行。我们预计会有更多的银行受到攻击，只不过这种情况发生的时间比我们预期的要长一些。

卡西迪还警告用户和企业称，已经出现了一种新形式的钓鱼式欺诈攻击，当电子邮件被打开时，只会运行一段脚本程序。目前只有巴西发现了这种新的技术，但只可能只是大规模使用前的试验。

8月份，美国司法部宣布，它已经抓捕、起诉了150多名互联网犯罪分子，其中许多犯罪嫌疑人都涉嫌进行了钓鱼式欺诈活动。由于许多互联网犯罪活动都是由国际性的犯罪集团实施的，美国联邦调查局已经对其机构进行了重组，对电脑犯罪活动进行更有力的打击。