反钓鱼解决方案

银行业金融机构反钓鱼整体解决方案

- I -

目录

一. 概述 ...................................................................................................................................................... 1 二. 钓鱼攻击的现状和防护需求 ............................................................................................................... 1 2.1 钓鱼攻击已成为最为严重的互联网威胁之一 ............................................................................... 1 2.2 关于进一步加强网上银行风险防控工作的通知 ........................................................................... 2 三. 反钓鱼的整体防护思路 ....................................................................................................................... 3 3.1 钓鱼攻击本质分析 ........................................................................................................................... 3 3.1.1 钓鱼攻击的手段 ....................................................................................................................... 4 3.1.2 钓鱼攻击的特点 ....................................................................................................................... 4 3.1.3 钓鱼攻击产业链分析 ............................................................................................................... 5 3.2 反钓鱼的整体防护思路 ................................................................................................................... 6 3.2.1 传统反钓鱼方案的不足 ........................................................................................................... 6 3.2.2 基于“事前-事中-事后”循序改进的防护思路 ..................................................................... 7 四. XXX银行反钓鱼整体解决方案建议 ..................................................................................................... 8 4.1 事前及时预警 ................................................................................................................................... 9 4.1.1 业务安全风险评估 ................................................................................................................... 9 4.1.2 业务环境脆弱性评估 ............................................................................................................. 10 4.1.3 基于“云”的钓鱼风险实时检测 .............................................................................................. 11 4.1.4 有效的风险转移机制 ............................................................................................................. 12 4.1.5 完整的法律援助计划 ............................................................................................................. 13 4.1.6 异常交易监测与风险警示 ..................................................................................................... 13 4.2 事中主动防御 ................................................................................................................................. 13

- II - 4.2.1 关停钓鱼网站，切断万恶之源 ............................................................................................. 14 4.2.2 从客户端抓起，及时阻断钓鱼威胁 ..................................................................................... 14 4.3 事后整改和教育 ............................................................................................................................. 15 4.3.1 专项整改行动 ......................................................................................................................... 15 4.3.2 多样化的安全意识教育 ......................................................................................................... 15 4.3.3 案例分析和存档 ..................................................................................................................... 16 4.4 建立一个完善的反钓鱼体系 ......................................................................................................... 17 4.4.1 建立多方协作的反钓鱼合作平台 ......................................................................................... 17 4.4.2 建立反钓鱼应急预案 ............................................................................................................. 18 4.4.3 建立高效的事件处理流程 ..................................................................................................... 19 4.4.4 建立开放的反馈和举报机制 ................................................................................................. 19

- III -

一. 概述

互联网技术的高速发展，电子商务平台的大规模应用和推广，以及黑客攻击驱动力的变化，这些都促使安全威胁也有了一些新的转变。作为一种主要基于互联网传播和实施的新兴攻击方式，“钓鱼攻击”（Phishing Attack）正呈逐年上升之势，这不仅让广大用户遭受到财产和经济损失，也让金融证券机构、电子商务公司的声誉和形象受到了影响。

据中国反钓鱼网站联盟（APAC）发布的统计数据，仅2011年3月，APAC处理的钓鱼网站达3,988个，其中以针对支付交易类和金融证券类的钓鱼网站居多，占比超过85%以上。截至2011年3月份，APAC累计认定并处理钓鱼网站共43,842个。来自《2010年中国网络购物安全报告》的分析：2010年，包括钓鱼攻击、恶意代码在内的安全威胁，给国内网购用户带来了超过150亿的损失。

如何及时、准确地发现钓鱼网站，并予以有效的控制和阻断，不仅是互联网用户关注的问题，同时也是金融证券机构、电子商务公司亟待解决的问题。该文档将给出“反钓鱼”的一些思路和整体方案建议，希望能给有意构建“反钓鱼”体系的机构，带来一些启示。

二. 钓鱼攻击的现状和防护需求

2.1 钓鱼攻击已成为最为严重的互联网威胁之一

关于钓鱼攻击 (Phishing Attack)，国际反钓鱼网站工作组APWG（Anti-Phishing Working Group）的定义如下：一种利用社会工程和技术诡计，针对客户个人身份数据和金融账号进行盗窃的犯罪机制。

钓鱼攻击一般把自己伪装成信誉卓越的机构以骗取用户的信任，主要基于搜索引擎、电子邮件，或垃圾短信等渠道传播和实施。首先将用户引诱到通过精心设计的，与目标组织的网站非常相似的钓鱼网站上，通过恶意代码窃取包括账号、密码等在内的个人敏感信息。攻击者则最终得以假冒受害者，进行欺诈性金融交易。

钓鱼攻击技术最早于1987年问世，首度使用“网络钓鱼”这个术语则是在1996年，是由“Fishing”和“Phone”综合而成（最早的钓鱼攻击通过电话作案），意味着放线钓鱼以“钓”取受害人的财务数据和密码。

©

- 1 -

最早的钓鱼攻击是针对“美国在线”（AOL）发生的，通过引诱骗取受害者的账号、密码后，攻击者可实施欺诈，交换盗版软件，或是发送垃圾邮件。随后，攻击者认识到钓鱼攻击面向支付系统是同样可行的，他们开始向各类金融机构开始渗透。被钓鱼者所青睐的目标机构包括很多著名的银行、信用卡公司和涉及日常性支付行为的知名互联网商务网站（如eBay和PayPal等），其主要目的是受到经济利益的驱使。

钓鱼攻击是一种利用社会工程技术来愚弄用户的实例，凭恃现行网络安全技术的低亲和度。其攻击手段种类繁多，攻击技术也在不断提高，更关键的是它利用了信息安全防御体系中最薄弱环节——人的弱点，令人防不胜。钓鱼攻击越来越频繁地出现在我们身边，所带来的经济损失也超过了传统恶意代码攻击，甚至已经成为经济犯罪工业化的一部分。《2010年中国网络购物安全报告》显示，2010年国内网民进行网上购物时，面临的安全威胁主要包括钓鱼网站、新型交易劫持木马，以及传统盗号木马等，其中遭受过钓鱼攻击的占比72%，远远超过其它类型的威胁。

为了避免更多的用户成为钓鱼攻击的受害者，保障他们的合法权利和财产安全，在美国和英国已经成立了专门反假冒网址等网络诈骗的组织，如2003 年11月成立的APWG（Anti-Phishing Working Group），以及2004年6月成立的TECF(Trusted Electronic Communications Forum)。

在国内，2008年7月18日，由银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者组成的“中国反钓鱼网站联盟”在京正式宣布成立。联盟已初步建立快速解决机制，借助停止钓鱼网站CN域名解析等手段，及时终止其危害，构建可信网络。由域名注册管理机构中国互联网络信息中心（CNNIC）承担联盟秘书处的职责。

2.2 关于进一步加强网上银行风险防控工作的通知

近些年来，钓鱼攻击相关的网银欺诈案件，已经涉及到国内多家商业银行和农村金融机构，使得用户蒙受经济损失，也严重影响了银行业金融机构的声誉。为了有效应对钓鱼欺诈，提高银行业金融机构网站及网上银行系统的风险防御能力，维护公众利益和银行声誉，中国银监会于2011年3月15日发布了《关于进一步加强网上银行风险防控工作的通知》，要求各银行业金融机构应高度重视网上银行风险管控，加强对仿冒网站等“钓鱼”欺诈事件的防范。同时，加强反“钓鱼”应急处置机制建设，有效切断“钓鱼”诈骗渠道。

 深刻认识并重视“钓鱼”诈骗案件可能引发的各类风险，严格落实管理责任，加强

主动防范、主动干预。各银行业金融机构应积极利用手工或自动化技术以及外部专业服务等多种手段、措施，加强仿冒网站的主动搜索、监测和识别。

 强化网上银行交易环节的技术和业务防护措施，以多种方式提高网上交易的安全性。

©

- 2 -

 加强网银可疑交易监控机制研究和系统建设。  做好负面舆情和客户投诉的处理工作。  加强“钓鱼”风险提示和公众教育。

三. 反钓鱼的整体防护思路

3.1 钓鱼攻击本质分析

钓鱼攻击带来的影响不再赘述，那么钓鱼攻击是怎么发生的呢，一般会采用哪些手段，又有什么特点？知己知彼，方能有效应对、主动防范。

所谓“姜太公钓鱼，愿者上钩”，钓鱼者首选的策略是通过大量散发诱骗邮件、垃圾短信，冒充成一个可信的组织机构（通常是受害者所信任的机构），去引诱尽可能多的用户。钓鱼者会发出一个让用户采取紧急动作的请求，而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害，这封欺骗性的电子邮件将会包含一个容易混淆的链接，指向一个假冒目标机构公开网站的远程网页。

图3.1 钓鱼攻击的一般过程

©

- 3 -

3.1.1 钓鱼攻击的手段

钓鱼攻击常用的手段归纳起来主要分为两类，第一类主要通过漏洞触发，包括目标网站服务器漏洞（如XSS、SQL注入），第三方引用内容的问题（如IFRAME挂马），网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷（如DNS劫持），以及客户端终端环境存在的隐患，攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗，如发送大量诱骗邮件、搜索引擎虚假信息，发布各类仿冒网站等。

表 3.1 钓鱼攻击的常见攻击手段

攻击手段 攻击类别细分 网站自身弱点 由漏洞触发引起的钓鱼攻击 第三方引用内容问题 客户端弱点 其他如弱点 虚假诱骗 非漏洞触发引起的钓鱼攻击 内容仿冒 域名仿冒 社会工程 欺骗性弹窗 隐藏显示 综合的钓鱼攻击技巧应用 欺骗性超链接 修改HOSTS文件 恶意插件 3.1.2 钓鱼攻击的特点

钓鱼攻击最大的特征即是具有极大的欺骗性。攻击者制作一个仿冒网站，类似于真实网站的克隆，再结合含有近似域名的网址来加强仿真度，进而进一步骗取用户的信任。

 针对性、目的性很强

通常与钓鱼攻击紧密相关的都是一些银行、商业机构的网站。网上银行、电子商务，及网上购物都已经成为了网民息息相关的服务，庞大的网络资金流动，带动了很多的新兴行业，也带来了潜在的安全隐患。  攻击手段综合化

©

- 4 -

网上银行业务，及其相关的IT支撑系统都会存在很多安全隐患，钓鱼者会综合利用这些弱点，并结合社会工程技巧，发起攻击。如：利用Internet Explorer的一些漏洞去构造连接地址，或者利用漏洞去种植间谍软件或者键盘木马等等。  传播途径多样化

钓鱼攻击带来的损失，一定程度上取决于钓鱼网站的传播范围。为了扩大钓鱼网站的影响，攻击者会通过搜索引擎、垃圾邮件、垃圾短信，以及虚拟社区论坛等各种渠道，发布虚假诱骗信息。  存活时间较短

为了保护自己不被发现和追查，钓鱼网站一般在窃取到一定价值的信息后，会主动关停或旁靠（暂时停用钓鱼页面），小成本的钓鱼网站更是如此，很可能存活时间仅几个小时。据APWG统计表明，2010年其监测到的钓鱼网站平均存活时间为14.5小时。  难以追溯和审查

为了逃避追查，钓鱼网站往往会采用境外注册和托管方式，并经常变更托管空间，更有甚者会先入侵一台服务器，然后在服务器上面发布虚假信息。混杂着真实信息的钓鱼攻击，更难追溯和审查。  可识别性

钓鱼网站并不是完全没有破绽。因为钓鱼者会尽可能少地利用资源去构造钓鱼网站，无法利用真实网站一些独有资源（如域名、USBKEY、数字验证等）。所以，通常当我们查看HTML源码，或者一些独有资源时，就可以较容易地识别出虚假网站。

3.1.3 钓鱼攻击产业链分析

天下熙熙，利之所趋。钓鱼攻击带来的暴利正在催生新的地下黑色产业链，从钓鱼网站代码开发，自动化钓鱼工具生产，到钓鱼网站的销售和推广，再到用户敏感数据的收集，欺诈攻击的实施，正逐步形成一个完整的链条，并在全球范围内迅速传播。

黑色产业链下的分工和合作，使得钓鱼攻击的实现变得越来越简单和廉价。攻击者一方面在互联网上找寻可能被渗透的主机，评估目标网站及其承载的业务流程，依赖的支撑环境所存在的弱点；另一方面不遗余力地打造仿冒站点，并通过搜索引擎、垃圾邮件、垃圾短信肆意传播，去引诱尽可能多的终端用户；钓鱼者甚至开始在互联网上大肆推销钓鱼攻击外包服务，企图扩大这条黑色产业链的规模和影响。

©

- 5 -

实现一次钓鱼攻击，最简单的方式是拷贝一个HTML页面，上传至一个被攻陷的服务器，同时在服务器端安置可用来处理用户输入数据的脚本；也可能涉及更为复杂的网站、内容重定向，但两者的目标是一致的，构建一个假冒可信机构，并设法窃取用户的敏感信息。

使用HTML编辑工具能够很容易构建一个仿冒站点，攻击者还需要寻找一个托管仿冒站点的空间，这可以是一个虚拟空间，也可以是一台被攻陷的服务器。另外，一个极具诱惑力的域名对钓鱼者来说同样重要，那么申请一个有效的域名也是很有必要的一项工作。对于采用SSL证书的站点，钓鱼者甚至为假冒的域名注册一个有效的SSL证书，从而对SSL加密保护的口令进行记录。

钓鱼者在构建一个几乎以假乱真的仿冒站点之后，需要考虑如何将用户从一个合法的网站转移到他们所假设的仿冒站点。除非有能力改变目标站点的DNS解析（如DNS投毒），或采用其它方式进行网络流量重定向（如pharming攻击），钓鱼者更多依赖于某种形式上的欺骗，去引诱用户访问假冒站点。为了在尽可能短的时间内感染更多的用户，钓鱼网站还是主要通过垃圾邮件、垃圾短信等方式进行传播。

一次钓鱼攻击可能会依赖于多种因素，钓鱼者往往会综合考虑钓鱼网站制作、传播成本，和钓鱼攻击收益之间的平衡，采用性价比更高的方式。

3.2 反钓鱼的整体防护思路

钓鱼网站的频繁出现，已经影响到银行业金融机构互联网业务的拓展，损害了企业的品牌和声誉，同时还危害到社会公众利益，干扰了公众使用电子金融产品的信心。如何及时发现钓鱼网站，有效控制钓鱼攻击带来的影响，已成为全球关注并感到棘手的问题，也是各银行业金融机构目前迫切需要解决的问题。

3.2.1 传统反钓鱼方案的不足

如何对抗网络钓鱼，一直以来都是人们热议的话题，一些企业也采用了不同的防护手段。如：使用SSL证书加强网站合法性验证，加固Web服务器防止被渗透，或是购买专业安全厂商提供的反欺诈服务。

这些防护手段在一定程度上的确能缓解钓鱼攻击带来的影响，但因为缺乏总体规划和设计，片面且单一的反钓鱼措施存在一些不足，需要加以改进。

 解决方案的完整性不足

©

- 6 -

传统的反钓鱼方案更多基于单一安全事件的防护需求设计，缺乏体系化的建设思路，也缺少对关键业务流程的风险分析，一些可能被钓鱼攻击利用的业务逻辑缺陷，将引入极大的风险。

在面向一些新兴的业务模式时，传统的方案显得力不从心，缺乏前瞻性的风险防范建议和扩展防护能力。如何解决WAP站点面临的钓鱼风险，将是下一步需要考虑的问题。

 被动防范效果不好

由于钓鱼攻击具有较强的欺骗性，在无法有效发现钓鱼网站的前提下，传统的反钓鱼方案多数被动呈现。主要还是依赖于客户自身的警惕性和风险意识进行防范，对于企业也只能依赖最终客户的投诉和举报，来获得更多的钓鱼网站信息。

 控制力度和范围都非常有限

因为缺乏明确的责权定义和跨平台的合作机制，在钓鱼攻击发生之后，企业无法有效地协调相关部门进行处理。加之企业和相关部门之间存在现实的协调沟通方面的局限性，造成一起钓鱼事件发生后到最终问题的解决，常常经历较长的时间，这将极大影响用户对于企业的信任。

 预警方式形式单一

由于只能被动形式的接受客户的投诉与举报来获得钓鱼网站的信息，对于事件的可知、可控、可管理的三个环节，都无法得到完全保障。对于频繁发生的钓鱼攻击，企业基本没有对风险预警能力，只能在事件造成一定不良影响的形势下，通过追加公告的方式，提醒更多客户提高安全意识，避免类似的钓鱼事件发生。

3.2.2 基于“事前-事中-事后”循序改进的防护思路

为了有效应对钓鱼攻击，应该全面评估钓鱼攻击可能利用的各种弱点，以及黑色产业链条各个环节可能带来的影响，需要建立一个覆盖立法监管、培训和教育、举报和反馈，以及技术监控等多个层面的反钓鱼体系。

从立法监管层面来看待“反钓鱼”，主要考虑如何维护一个稳定、和谐的网络社会次序，包括互联网内容监管、域名注册监管，以及服务器运维托管监管等工作，应该尽早明确各项事务所遵循的法规、执行机构所肩负的责任和权力，同时协调、整合业界多种优势资源，集中投入到“反钓鱼”监控体系。

从技术监控、培训和教育、举报和反馈等层面来看待“反钓鱼”，应该兼顾网上银行、电子商务平台运营机构，以及终端用户的防护需求，建立一个快捷、高效的举报和反馈平台，部署一套先进、智能的钓鱼网站监测系统，并加强终端用户的安全意识培训和教育。

©

- 7 -

对抗网络钓鱼，应该遵循“主动搜索，积极防御”的原则，也就是尽早发现尽可能多的钓鱼网站，并通过多种方式予以控制。一个较为行之有效的思路：基于事件发生的时间线索，把钓鱼攻击拆分成三个阶段，分别实施有针对性的监测和控制。

如果把钓鱼网站的发现到关闭这个阶段定义为“事中阶段”，包含至少一次完整的钓鱼攻击，那么这个阶段主要考虑控制钓鱼攻击的影响。在钓鱼网站真正产生危害之前，即便钓鱼网站已经存活，但没有发现，这个阶段可定为“事前阶段”，主要解决如何及时发现钓鱼网站，并通知用户的问题。基于钓鱼攻击的后续处理阶段，则统称为“事后阶段”，包括案例总结、分析，专项整改等事项，以避免同类事件的再次发生。

有了明确的时间边界，以及确定的防护需求和工作目标，反钓鱼解决方案才能更充分、更完整地发挥其应有的效益。基于此思路，循序改进，从而最终建立一个完善的反钓鱼体系。

四. XXX银行反钓鱼整体解决方案建议

面向XXX银行，建设一个积极、主动的“反钓鱼”体系，一方面需要依托互联网监管环境的治理，另一方面应该坚持贯彻“预防为主，防治结合”的方针，深入挖掘银行业金融机构可能被钓鱼攻击利用的各种潜在威胁，主动找寻、实时监测互联网上网络钓鱼相关的安全风险，多方面积极控制钓鱼攻击可能带来的影响，为网上银行风险防控工作提供先进的技术支撑，为金融机构业务拓展提供强有力的安全保障。

采用上述章节提到的“事前-事中-事后”分阶段防护思路，大体可以把反钓鱼整体解决方案拆分成三个部分。

 事前预警：通过定期主动评估，以及实时安全监测的方式，及时找到可能被钓鱼攻

击利用的弱点，第一时间协助XXX银行启动紧急预案，做出响应。

 事中防御：在发现钓鱼网站之后，采用多种方式控制钓鱼攻击可能带来的影响，主

要包括关停域名、阻断终端用户对钓鱼网站的访问等方法。

 事后整改：处置完钓鱼网站之后，在案例总结分析的基础上，需要及时修补被钓鱼

攻击利用的弱点，并进一步加强终端用户培训和教育，以减少同类事件的发生概率。

©

- 8 -

图4.1 基于“事前-事中-事后”防护思路的反钓鱼方案结构

4.1 事前及时预警

对抗网络钓鱼以预防为主，如果能及时昭示钓鱼风险的前兆，超前反馈，快速布置，则在一定程度能够有效防范钓鱼事件的发生，在信息安全对抗过程中，也能处于更加积极、主动的位置。

反钓鱼整体解决方案的事前预警阶段，需要在钓鱼者之前，尽可能多地找出各种可能被钓鱼攻击利用的弱点，包括来自业务系统自身的缺陷，业务系统运行的支撑环境弱点，以及来自互联网的安全威胁。所以，本阶段可以考虑综合使用业务安全风险评估、业务环境脆弱性评估，以及钓鱼风险实时监测等多种方法，以确保预警工作的完备性。

4.1.1 业务安全风险评估

业务流程的设计失误同样会引入网络钓鱼等各类风险，如网银系统虽然采用了双重用户身份认证手段，但如果没有考虑登陆和交易两类业务单元的逻辑顺序以及相互依赖性，钓鱼者利用窃取到的用户账号、密码对，就能够即时完成登录和转账等操作，直接导致用户个人财产损失。所以，及时找出业务流程中存在的问题，既有助于保障业务系统的正常运转，又能防范钓鱼攻击等安全事件的发生。

业务安全风险评估，是一种基于安全目标的业务流程分析方法，从目标业务系统的关键流程步骤分解入手，分析每个步骤具有的安全风险，及防范风险所采取的安全措施，判断各

©

- 9 -

项功能的安全措施是否符合为实现安全目标所要达到的安全要求。同时，对业内为达到该安全要求普遍采取的安全手段与现有安全措施进行对比分析，主要关注两个方面：安全措施是否有缺失、安全措施是否有效，最终提出对现有流程的安全建议，对流程进行客观评价。

图4.2 基于安全目标的流程分析方法

采用业务流程安全风险评估的方法，可以让XXX银行清楚地识别出业务流程每一个关键步骤可能面临的风险，在对业务目标，以及现有安全控制措施做出客观评价之后，最终形成安全现状报告，使XXX银行更加清晰地认识到网上银行的整体安全状况，能够给下一步流程整改和优化，带来融合业界最佳实践的指导意见。

4.1.2 业务环境脆弱性评估

钓鱼攻击的一种常见方式，是首先利用网站自身的弱点，或是业务系统运行环境（包括承载业务系统的平台、操作系统，以及相关应用系统等）存在的缺陷，进行渗透，然后再发起钓鱼欺诈。如果能解决上述安全问题，一方面可以保护XXX银行的网站不被攻击，另外一方面也能在一定程度上，降低钓鱼攻击发生的几率。

无论是网站的XSS、SQL注入漏洞，还是引自第三方内容的数据隐患，以及客户端环境的技术弱点，都可以通过安全技术评估来提前发现。一种传统的思路，是使用漏洞扫描软件进行弱点检查，但需要兼顾评估能力和资源等方面的因素。

一种革新的思路：基于互联网，采用来自“云端”的远程漏洞扫描能力，对网站、业务系统支撑环境进行脆弱性评估。这是一种定制化的，基于“云”的安全服务模式，可结合安全专家的分析，对网站结构与漏洞、操作系统漏洞，以及域名解析服务器的漏洞，进行定期检查，用户无需采购任何安全漏洞扫描产品，即可获得网站全方位的钓鱼攻击风险评估报告，以及获得修补建议。

©

- - 10

因为XXX银行的网站、业务系统自身处于持续改进的状态，所以针对业务环境的脆弱性评估工作应该固化下来，定期进行，并予以阶段性的调整和完善。

4.1.3 基于“云”的钓鱼风险实时检测

因为有了确定的防护对象、可控的防护范围，针对业务流程，以及业务环境的安全评估可以定期展开，以确保及时发现XXX银行内部信息系统的弱点。而另一类来自互联网，和钓鱼攻击相关的安全威胁，因为存在大量的不确定性，所以一直难以被识别和穷尽。

钓鱼者可能在全球任何一个有Internet接入的角落发起钓鱼攻击，这类攻击有着明确的目标，欺骗性很强，会综合利用多种攻击手段，并借助多种渠道传播和实施。钓鱼网站的平均存活时间很短，一般还会选择境外注册和托管，导致国内监管机构难以发挥其应有的效力。

如何主动找到互联网上更多和XXX银行相关的钓鱼网站，如何长期建立和维护一个有效的恶意钓鱼站点库，已经成为XXX银行面临的一个极大挑战。

区别于传统被动防范钓鱼网站的发现方式，当前出现了一些更有效的检测与发现方式，“反钓鱼网站监控”服务就是其中一种新型的应用模式。

“反钓鱼网站监控”服务主要根据网站所有者的域名、IP和关键字组合清单，定期对不同传播方式（如搜索引擎）的相关内容进行监测，监测使用这些信息渠道的访问者被钓鱼攻击的风险。

“反钓鱼网站监控”服务是一项基于“云”的一站式托管式服务，承载于XX“互联网安全监测平台”，用户无需安装任何硬件或软件，无需改变目前的网络部署状况，也无需专门的人员进行安全设备维护及分析日志。

XX“互联网安全监测平台”通过对互联网站点进行自动分析，发现与目标站点相类似的可疑钓鱼站点，包括但不限于板式设计、logo图片、仿冒真实网站的URL地址以及页面内容，在半自动进行确认后进行报警。

同时，XX“互联网安全监测平台”会通过全国范围内，多个地理位置部署的监控引擎，对XXX银行网站的域名基础设施进行监测，确保不会受到劫持和中间人攻击。此外，XX“互联网安全监测平台”还会通过域名自动变形算法，搜索互联网上和XXX银行网站相似的域名；监控指定域名是否被启用的方式，来找出域名相似类的钓鱼攻击。

对于钓鱼网站的检测，同样还考虑采用基于生命周期的检测方式。在访问网站前，对网站的域名、IP地址进行查询分析，若发现与预设规则不符则判定为可疑网站。这些预设规则往往如域名的使用时间、生效时长、IP地址与域名的绑定时长等等。

XX“互联网安全监测平台”分析的数据来源，主要集中于搜索引擎、第三方钓鱼数据库，以及用户提交的日志分析结果。在发现可疑的钓鱼网站后，XXXX7×24小时安全值守团队会

©

- - 11

马上进行人工确认，并将确认后事件即时通知XXX银行。钓鱼事件的分析、发现及通知情况，需要在监测报告中呈现。

对于使用“反钓鱼网站监控”服务的XXX银行，只需要将被监控网站的域名、IP和关键字组合告知XXXX，即可坐享7×24小时的“反钓鱼风险监控”专项支持。XX“互联网安全监测平台”，以及其身后的安全专家团队，会对XXX银行的网站进行全方位的钓鱼风险评估和监控，一旦发现钓鱼攻击即刻启动应急预案，最大限度的阻止钓鱼站点的传播。相关服务流程示意如下图所示。

图4.3 XX反钓鱼监控服务流程

基于互联网的钓鱼风险实时监测，可以协同业务安全风险评估、业务环境脆弱性评估等方法，形成一套较为完整的预警方案。我们建议，XXX银行应该综合运用上述方法，主动防范可能发生的钓鱼攻击。

4.1.4 有效的风险转移机制

合理的安全技术手段，能够降低钓鱼攻击发生的几率。从传统的风险防范思路来看，针对钓鱼攻击的预先处理，则还可以考虑采用风险转移、法律援助，以及异常交易监测等方法。

在发生钓鱼攻击前，XXX银行应该充分考虑这种攻击给客户带来的风险，有必要对此风险进行预先的风险评估和转移措施的准备。在风险规避或转移方面，可以引入保险的方式。例如：在开通网上电子银行业务时，为客户增加1元的电子安全风险保险，当客户发生类似

©

- - 12

于网络钓鱼的安全事件时，便可从保险中获得赔偿，这样对银行来说，无疑是一种很好的风险转移手段。

4.1.5 完整的法律援助计划

和风险转移机制类似，在发生钓鱼攻击前，XXX银行应该建立完整的法律协助计划。和有关的法律咨询机构、律师事务所等建立良好的合作关系，一旦发生类的钓鱼事件，迅速给终端用户提供响应的法律援助，避免发生将用户推至一边置之不理的现象，有助于持续维持一个健康的企业形象。

4.1.6 异常交易监测与风险警示

钓鱼攻击最终将通过一系列“异常交易”来获取非法利益，那么对网上银行在线交易的过程，特别是针对所谓“异常交易”的监测，是非常有必要的。

加强网上银行风险防控工作已经成为XXX银行需要高度关注的一项工作，XXX银行应该尽快建立一套“异常交易”监测预警机制，进一步研究和建设完善的网上银行等电子交易的风险监测系统，加强对新签约后迅速转账、同一额度以及大额频繁转账等可疑交易的识别、事中干预和处置，从而进一步防范其它以网上银行为渠道的非法资金流动。

XXX银行“异常交易”监测系统针对异常交易的判定，应该是建立在大量客户行为分析基础之上的，根据用户以往的使用情况或操作习惯，形成一个自适应的正常行为模型，从而能够协助分析当前每笔交易，是否符合用户以往的历史交易习惯。若不符合则认为存在异常风险，即刻为终端用户提供安全警示。

4.2 事中主动防御

对抗网络钓鱼的方法很多，最有效的方法是同时把几种技术手段和服务结合在一起，以便尽快减缓钓鱼攻击带来的影响。无论是采用自有资源，还是选用外包服务，对抗网络钓鱼都是一个持续需要专家建议的过程。

反钓鱼整体解决方案的事中防御阶段，要综合考虑多方面的因素，既包括在线未授权交易的及时发现和处理，还包括对非法钓鱼网站的分析、调查、取证，甚至是反制。在本方案中，主要考虑如何整合各种资源，抑制钓鱼攻击影响的问题。

©

- - 13

4.2.1 关停钓鱼网站，切断万恶之源

控制钓鱼攻击，最有效方法的就是直接关停钓鱼网站，从根本上杜绝钓鱼攻击的发生。例如APAC在处理这一类问题时，主要通过协调中国互联息中心（CNNIC）来关停CN域名的钓鱼网站。然而随着CN域名实名制工作的不断完善，注册CN域名制作钓鱼网站将逐渐成为历史，APAC的统计报告显示，2011年3月，以CN域名注册的钓鱼网站仅占处理总量的0.65%。

关停钓鱼网站还存在一些技术上的难度和局限性。如，境外注册的钓鱼网站，无法快速阻止；钓鱼网站生存周期短，成本低，可快速复制，关停力度凸显不足。另外，停止钓鱼网站的域名解析也有一定风险，如果用户误报了钓鱼网站，一旦被关停将导致法律风险。为了避免这种风险，在发现可疑钓鱼网站后，必须提交目标机构确认，在获得授权后再上报有关机构，查封恶意域名。

4.2.2 从客户端抓起，及时阻断钓鱼威胁

尽管关停钓鱼网站能够从根本上解决钓鱼问题，但这个过程往往会花费几个小时，甚至几天的时间，这对于分秒必争的反钓鱼工作，是不能接受的。因为难以操作，效力有限（仅针对.COM或.CN域名生效），XXX银行在尝试关停钓鱼网站的同时，还可以同步实施的反钓鱼措施是网站屏蔽，如从客户端阻断可能发生的钓鱼网站访问行为，以减轻钓鱼攻击所造成的损害。

客户端防护仍然沿用传统的，基于黑名单的访问控制策略，在发现终端用户即将访问存在钓鱼风险的页面时，终端系统将弹出一个警示对话框，以揭示当前用户行为的安全隐患。为了避免干扰用户的正常互联网访问行为，终端系统所加载的钓鱼网站黑名单必须是可靠、且能够持续更新的。

结合主动、准确的钓鱼网站检测和发现机制，将最新的钓鱼网站信息，通过客户端提示的方式，快速告知客户，可以很好地加强最终客户的风险防范意识，提高钓鱼网站识别能力，并最终提升安全应对的时效性。

作为XX“反钓鱼网站监控”服务的一项基本内容，XXXX承诺发现钓鱼网站后，将第一时间通知相关联的银行业金融机构，在获得该机构授权后，XXXX安全专家团队会根据应急预案进行即时响应。一方面协助用户将钓鱼事件上报给监管机关，进入钓鱼网站关停流程；另一方面通过合作伙伴，进行终端层面的钓鱼网站即时阻断。

©

- - 14

4.3 事后整改和教育

正如前文所述，钓鱼攻击的本质问题是人的认知问题，因为无法准确识别出钓鱼网站，才导致终端用户访问了高风险的页面。如果能提升用户对钓鱼风险的识别能力，则能极大降低钓鱼攻击发生的概率。看似普通的安全意识教育，在对抗钓鱼攻击的过程中，反而能产生最大的功效。

反钓鱼整体解决方案的事后整改阶段，一方面要基于当前案例的分析结论，修补业务流程、业务环境存在的弱点；另一方面要加强终端用户的安全意识培训力度，防范于未然。当然，此类培训更应该作为一项日常工作，周期性地持续开展下去。

4.3.1 专项整改行动

顾名思义，专项整改有着明确的目标和改进对象，XXX银行可结合定期安全评估的结果，以及在实际钓鱼攻击事件中突现出来的问题，执行针对性的改进措施，包括业务流程优化，可管理的安全服务实施等。

专项整改虽然能减小钓鱼攻击再次发生的几率，但不能完全杜绝钓鱼攻击。尤其对于部分短期内无法修补的弱点，如业务逻辑设计缺陷，仍需加强相关方面的日常监测工作。

4.3.2 多样化的安全意识教育

在钓鱼攻击的过程中，人性的弱点暴露无疑，很多受害者都是因为经不起诱惑而落入陷阱。所以严格说来，网络钓鱼并非单纯的技术问题，加强用户对网络钓鱼攻击手法的认识，是解决此类攻击的最好方法。

对于为终端用户提供高质量的金融电子服务的企业来说，XXX银行有义务为广大用户普及防钓鱼的相关知识。因此，在网站或相关页面建立专项的“反钓鱼”知识栏目，提供丰富的“钓鱼”案件实例分析，是一种值得应用和推广的方式。为了最大化地吸引用户对知识的学习，可以通过游戏的方式模拟遭遇网络钓鱼的经历，教导用户如何识别可疑站点。

©

- - 15

图4.4 反钓鱼意识培训的游戏截图

除此之外，教育活动本身应该是形式多样的，可以与终端用户的日常生活、工作结合起来。在加强用户识别可疑站点的同时，增加用户对特定的关键信息进行强化记忆，可以是特定网站的登陆界面、特殊图片、特定信息等，表4.1提到的一些形式和内容，可供XXX银行参考。

表 4.1 多样化的教育方式

意识培训 现场交互类 各种交互活动 动态BANNER 张贴标语 日常提示类 警示便签 屏幕保护 易拉宝 小物品 物品提示类 分发小册子 电子杂志 线上的培训材料 模拟场景/在线问答等 在网站或各种服务的登录页面放置安全提示 在营业厅显眼位置放置张贴画 在电脑、门禁等地方张贴安全提醒便签 提供安全意识培养屏保 安全宣传活动中展现企业安全警讯、口号等 包含安全提示的各种定制小物件，例如笔筒、钥匙扣之类。 印刷制作安全小册子，分发客户教育手册。 专题形式的教育电子杂志 4.3.3 案例分析和存档

一旦遭遇了钓鱼攻击，银行业金融机构首先应该配合机关的调查取证工作，为更快速地挽回客户损失、避免造成影响而努力。同时，还应该主动跟踪钓鱼事件的发展状态，并

©

- - 16

主动为客户提供法律援助。最后，应该对事件进行认真的分析总结，形成案例并存档，针对案例提出改进措施和预防建议，以避免类似事件的再次发生。

4.4 建立一个完善的反钓鱼体系

网络钓鱼因为其影响恶劣，已经让人深恶痛绝。如何有效对抗钓鱼攻击，不再是单一用户，或某个行业单独面临的问题，而是成为了一个公众共同关注的问题。

总的来说，一个较为完善的反钓鱼体系，应该融合立法监管、教育和培训、举报和反馈，以及技术监控等多个层面，并从预警、控制和响应三个阶段，分别给出安全防护建议。

基于“事前-事中-事后”循序改进的反钓鱼整体解决方案给出了一些具体的实施建议，但方案的落地仍需依附于一个多方协作的合作平台，需要XXX银行内部建立一个清晰的钓鱼事件处理流程，以及在这个流程中可能涉及的多项保障制度，如钓鱼攻击应急预案等。

图4.5 完善的反钓鱼体系架构

4.4.1 建立多方协作的反钓鱼合作平台

评价反钓鱼体系有效性的两项关键指标是速度和效率，这使得对抗网络钓鱼注定成为耗费时间的资源密集型工作，需要综合应用各种资源，得到多个相关机构的鼎力支持。只有建立一个多方协作的合作平台，集结银行业金融机构、域名注册和管理机构、专业安全公司、IDC，甚至互联网公司等多方优势资源，才能最大限度地发挥反钓鱼体系的作用。

©

- - 17

另外，在钓鱼网站防治方面，信息的共享同样重要。建立基于行业的“云”共享平台，是很有必要的，特别是钓鱼网站相关的“云”共享，对于加强检测手段，防范钓鱼攻击都将有突出贡献。

4.4.2 建立反钓鱼应急预案

XXX银行建立的反钓鱼应急预案是指面对突发的钓鱼攻击时，即刻启动的应急管理、指挥协调，以及安全响应计划等。应急预案应该形成体系，针对可能发生的钓鱼攻击，制定专项应急预案和现场处置方案，并明确事前、事中、事后的各个过程中，相关部门和有关人员的职责。

一个完整的应急预案体系一般会涉及组织、流程和资源三部分内容，包括准备、检测、控制、整改、恢复，以及跟踪等六个阶段。

 准备阶段

这个阶段主要解决预案、组织、平台和协作体系的问题。在钓鱼事件发生之前，需建立高效的事件处理流程、完善的信息发布和汇报流程；同时确定应急响应责任人，并赋予其必要的资源和权力；强大的数据汇总、分析能力，以及完备的法律援助计划，在这个阶段也是要考虑的。  检测阶段

这个阶段主要确定钓鱼事件的状态。包括当前事件的性质、状态和影响程度；需要预估风险和应急等级，计划投入什么资源进行响应；同时激活审计功能，提高系统的安全监测级别。  控制阶段

这个阶段主要钓鱼攻击的影响范围。潜在的损失和破坏，可以选择适当的控制方式，如关停域名，添加客户端访问控制策略等，同时需要列出若干风险，汇总数据，预估损失。  整改阶段

这个阶段需要找出事件的根源并根除。一方面制定紧急补救措施，基于细致的分析，找到漏洞并修补；另外一方面需要重新审视安全保障策略，加强防范措施，同时加强宣传和教育工作。  恢复阶段

©

- - 18

如系统遭受破坏，在这个阶段则主要恢复被攻击的系统。把所有受侵害的系统、应用、数据还原到正常状态，确保服务重新上线，并建立新的数据备份，进行持续的安全监控。  跟踪阶段

这个阶段主要进行钓鱼事件的回顾、跟踪和总结。回顾钓鱼事件处理过程，总结经验教训，并建立跟踪文档，规范记录跟踪结果。同时还需要关注系统恢复后的状况，如有必要介入司法程序，进一步打击犯罪。

4.4.3 建立高效的事件处理流程

XXX银行在发生钓鱼攻击等安全事件前，应建立一套清晰的事件处理流程，以确保在遭遇突发事件时，能参照一个规范化、标准化的处理办法，顺利协调到相应资源，并最终及时处理钓鱼攻击。

钓鱼攻击的响应流程基本涵括检测、通知和阻断等过程。在一些资源相对充足的反钓鱼体系中，可能会引入多个网络阻塞合作伙伴，包括微软、Google、Cisco等，以钓鱼网站的充分曝光。对于一些研究机构而言，取证和诱捕能够让他们更加清楚地了解到钓鱼攻击的本质，以及具体的攻击手法。这些工作丰富了反钓鱼响应流程的内容，XXX银行在建立自己的反钓鱼体系中，需要结合自身需求和资源匹配情况，针对性地进行取舍。

图4.6 钓鱼攻击响应的基本流程

4.4.4 建立开放的反馈和举报机制

用户反馈和举报一直是反钓鱼技术手段中最有效的部分，根据APAC统计数据显示，2011年3月，APAC处理的钓鱼网站总量的85.38%，来自联盟内部成员举报；另外，来自12321

©

- - 19

网络不良与垃圾信息举报受理中心转来的钓鱼网站占比5.59%。由此可见，用户反馈和举报在未来的一段时间内，仍将发挥不可替代的作用。

受限于自身资源的配置情况，XXX银行可委托第三方建立一个用户反馈和举报平台，主要考虑解决以下几方面的问题：

1、 如何确保平台的开放性，能接受社会各界的反馈和举报； 2、 如何确保流程简化，易于操作；

3、 如何完成从信息收集，到数据分析，最后再到信息确认这个完整的过程； 4、 如何验证用户反馈信息的可靠性。

XX“反钓鱼网站监控”服务涵括的反馈处理机制，较好地解决了上述问题。任何来自第三方的疑似钓鱼网站，在交付XXXX后，会依次经过“网站安全监测平台”和XX安全专家的逐一分析和确认，处理结果将于第一时间告知举报人。整个过程简单、快速，无需举报人过多参与。

图4.7 XX“反钓鱼网站监控”服务反馈处理流程

目前，对抗网络钓鱼，已经成为行业监管机构、银行业金融机构、信息安全公司，以及普通用户共同关注的热点。

作为值得信赖的专业安全解决方案提供商，XXXX致力于为用户提供一套完整的反钓鱼解决方案。本方案将综合XX“网站安全监测平台”，及专业的安全服务能力，为XXX银行提供全方位的反钓鱼网站监控服务，包括：业务环境脆弱性评估、7×24小时被保护站点安全状态监测、互联网仿冒站点主动检索，以及多层次的主动防御措施等。

©

- - 20

XX“网站安全监测平台”定期生成的钓鱼风险评价报告，在得到安全专家的补充和完善后，将从多个视角全面反映XXX银行的网站安全状况，以及正面临的各项钓鱼风险。在帮助用户认清趋势、发现问题并分析风险后，报告将最终协助用户完成网站安全管理策略的优化，以确保XXX银行的网站能够持续、稳定地正常运转。

©

- - 21