網站(zhàn)注冊與密碼提醒被利用(yòng) 詐騙趨于專門(mén)化

5月27日國際報(bào)道(dào)爲了(le)更好(hǎo)的實施他(tā)們的攻擊，垃圾郵件發送者與網絡騙子越來(lái)越多的了(le)解受害人的個人情況了(le)。

藍色安全公司本周公布報(bào)告稱，那些(xiē)使用(yòng)了(le)電子郵件作(zuò)爲密碼找回以及注冊申請(qǐng)選項的網站(zhàn)正在被網絡騙子們所利用(yòng)，騙子用(yòng)這(zhè)種機制去了(le)解用(yòng)戶的詳細背景情況。

報(bào)告稱，垃圾郵件發送者與網上(shàng)騙子通過網站(zhàn)注冊以及密碼提醒工(gōng)具自(zì)動發送成千上(shàng)萬的電子郵件地址。原因是，許多網站(zhàn)在收到(dào)用(yòng)戶注冊的電子郵件地址時(shí)，會(huì)發送一封确認信，攻擊者能(néng)夠了(le)解一個地址是否對(duì)應一個真實的用(yòng)戶。

通過從(cóng)一系列的網站(zhàn)收集到(dào)的信息，騙子們能(néng)夠對(duì)收信人制定專門(mén)的欺詐電子郵件。這(zhè)就增加了(le)用(yòng)戶将欺詐信同有用(yòng)信件區(qū)别開(kāi)來(lái)的難度。并且，專家們還表示，專門(mén)定制的郵件很(hěn)不容易被垃圾郵件過濾器捕獲。

反釣魚式攻擊工(gōng)作(zuò)組織的主席Dave Jevans說：“釣魚式攻擊最近明(míng)顯開(kāi)始變得個人化了(le)，它們具有很(hěn)強的針對(duì)性。”Jevans認爲，包含有收信人的姓名或者電子郵件地址的信息都是漏洞的根源。

釣魚式攻擊（Phishing）是一種典型的網絡欺詐方式，它主要想偷取敏感信息，比如用(yòng)戶名，密碼以及信用(yòng)卡号碼等等。然後，小(xiǎo)偷會(huì)将這(zhè)些(xiē)信息出售，或者直接假冒别人的身份進行犯罪。常見的釣魚式攻擊的手段包括發送垃圾郵件，制作(zuò)貌似正規的虛假網頁等等。

網上(shàng)騙子通常都有自(zì)己的一個電子郵件列表，這(zhè)些(xiē)地址可能(néng)是自(zì)己捏造的，也(yě)可能(néng)是購買到(dào)的或者利用(yòng)工(gōng)具從(cóng)網上(shàng)收集而來(lái)的。

利用(yòng)注冊或者密碼提醒機制進行攻擊的關鍵在于獲得回應。許多網站(zhàn)在一個電子郵件地址被注冊的時(shí)候，會(huì)向用(yòng)戶發送這(zhè)樣的訊息：本地址已經被注冊。如果攻擊者填送的地址獲得了(le)這(zhè)樣的的回應，那麽他(tā)們就知(zhī)道(dào)這(zhè)個地址是真實有效的郵件地址。

利用(yòng)這(zhè)種原理(lǐ)，網絡罪犯能(néng)夠了(le)解用(yòng)戶的性别，性傾向，政治立場，地理(lǐ)位置，愛好(hǎo)，以及在網上(shàng)商店(diàn)使用(yòng)的電子郵件地址等等。

藍色安全公司的首席執行官Eran Reshef說：“想象一下(xià)，有人清楚所有你(nǐ)曾經注冊過的網站(zhàn)，想象一下(xià)有人能(néng)夠從(cóng)這(zhè)些(xiē)機制中發現(xiàn)你(nǐ)的個人信息。所有這(zhè)些(xiē)信息能(néng)夠勾畫(huà)出個人的詳細背景資料。”

這(zhè)樣一來(lái)，攻擊者得手的機率會(huì)大(dà)大(dà)的增加，原因是欺詐信中的語句會(huì)包含很(hěn)多精确的信息，使得它看(kàn)上(shàng)去是一封正常的郵件。比如，一封自(zì)稱來(lái)自(zì)銀行或者信用(yòng)卡公司的電子郵件中可能(néng)出現(xiàn)用(yòng)戶曾經消費過的網絡商店(diàn)名字。

藍色安全公司已經發現(xiàn)，絕大(dà)多數美(měi)國受歡迎的網站(zhàn)允許釣魚式攻擊者，垃圾郵件發送者進行這(zhè)樣的 “惡意信息探詢”活動。另外(wài)，很(hěn)多小(xiǎo)網站(zhàn)，包括網上(shàng)商店(diàn)，球隊的網站(zhàn)，組織組織等團體的網站(zhàn)都存在這(zhè)樣的漏洞。

但(dàn)是，藍色安全公司的報(bào)告也(yě)發現(xiàn)，這(zhè)樣的“惡意信息探詢”活動還沒有蔓延開(kāi)來(lái)。

有些(xiē)網站(zhàn)，比如大(dà)銀行的網站(zhàn)對(duì)這(zhè)個問題明(míng)顯的比較重視(shì)。這(zhè)些(xiē)網站(zhàn)不允許人們用(yòng)電子郵件作(zuò)爲他(tā)們的登陸名。這(zhè)些(xiē)網站(zhàn)還要求用(yòng)戶提供另外(wài)的注冊信息，或者使用(yòng)企業的安全檢測手段。

eBay也(yě)不允許注冊與密碼提醒式攻擊。在釣魚式攻擊泛濫之前，eBay已經停止使用(yòng)電子郵件作(zuò)爲用(yòng)戶的登陸身份。

惡意信息探詢讓釣魚式攻擊變得更有針對(duì)性。本月初，安全人員報(bào)告說，有人竊取了(le)消費者的數據，然後用(yòng)這(zhè)些(xiē)信息抹掉了(le)受害人的銀行帳戶。

反釣魚式攻擊工(gōng)作(zuò)組的Jevans表示，藍色安全公司的報(bào)告表明(míng)，一種新的釣魚式攻擊手段正在形成，他(tā)認爲，網絡組織應該采取措施，消滅注冊與密碼提醒式漏洞攻擊。