作者: 英宁
【eNews消息】美国市场调研公司TowerGroup日前指出,2004年全球网页仿冒造成的损失金额预计达到1.371亿美元,比一般预期的损失金额要少,而据美其他公司进行的调查,受害金额将达到5亿美元强。
TowerGroup预期,随着网页仿冒蔓延到小规模金融机构、新加入的销售商以及ISP的顾客等原因,2004年全球实际受到网页仿冒攻击的合计数量将超过3.1万件,2005年将增加到8.6万件以上。罪犯通过实施网页仿冒攻击非法获取消费者的数据,但实际访问帐户和盗取金钱等实施诈骗的行为的案例并不多。而用于管理不断增加的网页仿冒的费用将远远大于诈骗直接导致的损失金额。
所谓网页仿冒,就是利用电子邮件将用户引诱到模仿某个实际企业的网站上,诱骗他们输入信用卡号码等来进行欺诈的行为。最近出现了使用弹出窗口伪装Internet Explorer(IE)地址栏的网页仿冒,如果点击邮件中的链接,就会被引诱到伪装成美国花旗银行的假冒网站。假冒网站会显示地址栏记有花旗银行正式URL的弹出窗口,假冒网站的真实URL则被隐藏起来。
使用弹出窗口伪装屏幕显示的方法本身并不新鲜。2004年7月就作为伪装IE对话框的方法之一被发现,现在出现的网页仿冒只是利用了这一方法而已。多数情况下被“做手脚”的对象是IE(以及利用IE的邮件软件),因此使用除IE之外的浏览器(不使用IE的邮件软件)也算是一种防范措施。不过,在其他浏览器中也发现了允许伪装的安全漏洞。
网页仿冒邮件之所以看起来象是真的,就在于发件人使用了真正企业的邮件地址。与链接到约会网站的邮件不同,由于正文的内容非常正规,所以利用过滤技术等现有反垃圾邮件对策还难以阻拦。 由于出现了网页仿冒这样的受害问题,电子邮件仅靠SMTP还是难以确认发信方通知的发件人信息是否准确。因此,需要对邮件标准作部分修改,增加能够确认发件人身份是否准确可靠的内容。
在防止网页仿冒邮件的发件人认证技术方面,目前有美国微软及美国Pobox.com与IETF联合提出的“Sender ID”、美国雅虎提出的“DomainKeys”。在进行标准化作业的同时,也正加紧把这些技术安装到各种邮件服务器上。随着标准化的完成,用户将很快就能用上防止网页仿冒邮件的发件人认证功能。
版权所有 新浪网