反钓鱼解决方案.docx

银行业金融机构反钓鱼整体解决方案目录一. 概述1二. 钓鱼攻击的现状和防护需求12.1 钓鱼攻击已成为最为严重的互联网威胁之一12.2 关于进一步加强网上银行风险防控工作的通知2三. 反钓鱼的整体防护思路33.1 钓鱼攻击本质分析33.1.1 钓鱼攻击的手段43.1.2 钓鱼攻击的特点43.1.3 钓鱼攻击产业链分析53.2 反钓鱼的整体防护思路63.2.1 传统反钓鱼方案的不足63.2.2 基于“事前-事中-事后”循序改进的防护思路7四. XXX银行反钓鱼整体解决方案建议84.1 事前及时预警94.1.1 业务安全风险评估94.1.2 业务环境脆弱性评估104.1.3 基于“云”的钓鱼风险实时检测114.1.4 有效的风险转移机制124.1.5 完整的法律援助计划134.1.6 异常交易监测与风险警示134.2 事中主动防御134.2.1 关停钓鱼网站，切断万恶之源144.2.2 从客户端抓起，及时阻断钓鱼威胁144.3 事后整改和教育154.3.1 专项整改行动154.3.2 多样化的安全意识教育154.3.3 案例分析和存档164.4 建立一个完善的反钓鱼体系174.4.1 建立多方协作的反钓鱼合作平台174.4.2 建立反钓鱼应急预案184.4.3 建立高效的事件处理流程194.4.4 建立开放的反馈和举报机制19- III -一. 概述互联网技术的高速发展，电子商务平台的大规模应用和推广，以及黑客攻击驱动力的变化，这些都促使安全威胁也有了一些新的转变。作为一种主要基于互联网传播和实施的新兴攻击方式，“钓鱼攻击”（Phishing Attack）正呈逐年上升之势，这不仅让广大用户遭受到财产和经济损失，也让金融证券机构、电子商务公司的声誉和形象受到了影响。据中国反钓鱼网站联盟（APAC）发布的统计数据，仅2011年3月，APAC处理的钓鱼网站达3,988个，其中以针对支付交易类和金融证券类的钓鱼网站居多，占比超过85%以上。截至2011年3月份，APAC累计认定并处理钓鱼网站共43,842个。来自2010年中国网络购物安全报告的分析：2010年，包括钓鱼攻击、恶意代码在内的安全威胁，给国内网购用户带来了超过150亿的损失。如何及时、准确地发现钓鱼网站，并予以有效的控制和阻断，不仅是互联网用户关注的问题，同时也是金融证券机构、电子商务公司亟待解决的问题。该文档将给出“反钓鱼”的一些思路和整体方案建议，希望能给有意构建“反钓鱼”体系的机构，带来一些启示。二. 钓鱼攻击的现状和防护需求2.1 钓鱼攻击已成为最为严重的互联网威胁之一关于钓鱼攻击 (Phishing Attack)，国际反钓鱼网站工作组APWG（Anti-Phishing Working Group）的定义如下：一种利用社会工程和技术诡计，针对客户个人身份数据和金融账号进行盗窃的犯罪机制。钓鱼攻击一般把自己伪装成信誉卓越的机构以骗取用户的信任，主要基于搜索引擎、电子邮件，或垃圾短信等渠道传播和实施。首先将用户引诱到通过精心设计的，与目标组织的网站非常相似的钓鱼网站上，通过恶意代码窃取包括账号、密码等在内的个人敏感信息。攻击者则最终得以假冒受害者，进行欺诈性金融交易。钓鱼攻击技术最早于1987年问世，首度使用“网络钓鱼”这个术语则是在1996年，是由“Fishing”和“Phone”综合而成（最早的钓鱼攻击通过电话作案），意味着放线钓鱼以“钓”取受害人的财务数据和密码。最早的钓鱼攻击是针对“美国在线”（AOL）发生的，通过引诱骗取受害者的账号、密码后，攻击者可实施欺诈，交换盗版软件，或是发送垃圾邮件。随后，攻击者认识到钓鱼攻击面向支付系统是同样可行的，他们开始向各类金融机构开始渗透。被钓鱼者所青睐的目标机构包括很多著名的银行、信用卡公司和涉及日常性支付行为的知名互联网商务网站（如eBay和PayPal等），其主要目的是受到经济利益的驱使。钓鱼攻击是一种利用社会工程技术来愚弄用户的实例，凭恃现行网络安全技术的低亲和度。其攻击手段种类繁多，攻击技术也在不断提高，更关键的是它利用了信息安全防御体系中最薄弱环节人的弱点，令人防不胜。钓鱼攻击越来越频繁地出现在我们身边，所带来的经济损失也超过了传统恶意代码攻击，甚至已经成为经济犯罪工业化的一部分。2010年中国网络购物安全报告显示，2010年国内网民进行网上购物时，面临的安全威胁主要包括钓鱼网站、新型交易劫持木马，以及传统盗号木马等，其中遭受过钓鱼攻击的占比72%，远远超过其它类型的威胁。为了避免更多的用户成为钓鱼攻击的受害者，保障他们的合法权利和财产安全，在美国和英国已经成立了专门反假冒网址等网络诈骗的组织，如2003 年11月成立的APWG（Anti-Phishing Working Group），以及2004年6月成立的TECF(Trusted Electronic Communications Forum)。在国内，2008年7月18日，由银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者组成的“中国反钓鱼网站联盟”在京正式宣布成立。联盟已初步建立快速解决机制，借助停止钓鱼网站CN域名解析等手段，及时终止其危害，构建可信网络。由域名注册管理机构中国互联网络信息中心（CNNIC）承担联盟秘书处的职责。2.2 关于进一步加强网上银行风险防控工作的通知近些年来，钓鱼攻击相关的网银欺诈案件，已经涉及到国内多家商业银行和农村金融机构，使得用户蒙受经济损失，也严重影响了银行业金融机构的声誉。为了有效应对钓鱼欺诈，提高银行业金融机构网站及网上银行系统的风险防御能力，维护公众利益和银行声誉，中国银监会于2011年3月15日发布了关于进一步加强网上银行风险防控工作的通知，要求各银行业金融机构应高度重视网上银行风险管控，加强对仿冒网站等“钓鱼”欺诈事件的防范。同时，加强反“钓鱼”应急处置机制建设，有效切断“钓鱼”诈骗渠道。u 深刻认识并重视“钓鱼”诈骗案件可能引发的各类风险，严格落实管理责任，加强主动防范、主动干预。各银行业金融机构应积极利用手工或自动化技术以及外部专业服务等多种手段、措施，加强仿冒网站的主动搜索、监测和识别。u 强化网上银行交易环节的技术和业务防护措施，以多种方式提高网上交易的安全性。u 加强网银可疑交易监控机制研究和系统建设。u 做好负面舆情和客户投诉的处理工作。u 加强“钓鱼”风险提示和公众教育。三. 反钓鱼的整体防护思路3.1 钓鱼攻击本质分析钓鱼攻击带来的影响不再赘述，那么钓鱼攻击是怎么发生的呢，一般会采用哪些手段，又有什么特点？知己知彼，方能有效应对、主动防范。所谓“姜太公钓鱼，愿者上钩”，钓鱼者首选的策略是通过大量散发诱骗邮件、垃圾短信，冒充成一个可信的组织机构（通常是受害者所信任的机构），去引诱尽可能多的用户。钓鱼者会发出一个让用户采取紧急动作的请求，而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害，这封欺骗性的电子邮件将会包含一个容易混淆的链接，指向一个假冒目标机构公开网站的远程网页。图3.1 钓鱼攻击的一般过程3.1.1 钓鱼攻击的手段钓鱼攻击常用的手段归纳起来主要分为两类，第一类主要通过漏洞触发，包括目标网站服务器漏洞（如XSS、SQL注入），第三方引用内容的问题（如IFRAME挂马），网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷（如DNS劫持），以及客户端终端环境存在的隐患，攻击者利用这些漏洞结合社会工程学对受害者进行诱骗。第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗，如发送大量诱骗邮件、搜索引擎虚假信息，发布各类仿冒网站等。表 3.1 钓鱼攻击的常见攻击手段攻击手段攻击类别细分由漏洞触发引起的钓鱼攻击网站自身弱点第三方引用内容问题客户端弱点其他如弱点非漏洞触发引起的钓鱼攻击虚假诱骗内容仿冒域名仿冒社会工程综合的钓鱼攻击技巧应用欺骗性弹窗隐藏显示欺骗性超链接修改HOSTS文件恶意插件3.1.2 钓鱼攻击的特点钓鱼攻击最大的特征即是具有极大的欺骗性。攻击者制作一个仿冒网站，类似于真实网站的克隆，再结合含有近似域名的网址来加强仿真度，进而进一步骗取用户的信任。u 针对性、目的性很强通常与钓鱼攻击紧密相关的都是一些银行、商业机构的网站。网上银行、电子商务，及网上购物都已经成为了网民息息相关的服务，庞大的网络资金流动，带动了很多的新兴行业，也带来了潜在的安全隐患。u 攻击手段综合化网上银行业务，及其相关的IT支撑系统都会存在很多安全隐患，钓鱼者会综合利用这些弱点，并结合社会工程技巧，发起攻击。如：利用Internet Explorer的一些漏洞去构造连接地址，或者利用漏洞去种植间谍软件或者键盘木马等等。u 传播途径多样化钓鱼攻击带来的损失，一定程度上取决于钓鱼网站的传播范围。为了扩大钓鱼网站的影响，攻击者会通过搜索引擎、垃圾邮件、垃圾短信，以及虚拟社区论坛等各种渠道，发布虚假诱骗信息。u 存活时间较短为了保护自己不被发现和追查，钓鱼网站一般在窃取到一定价值的信息后，会主动关停或旁靠（暂时停用钓鱼页面），小成本的钓鱼网站更是如此，很可能存活时间仅几个小时。据APWG统计表明，2010年其监测到的钓鱼网站平均存活时间为14.5小时。u 难以追溯和审查为了逃避追查，钓鱼网站往往会采用境外注册和托管方式，并经常变更托管空间，更有甚者会先入侵一台服务器，然后在服务器上面发布虚假信息。混杂着真实信息的钓鱼攻击，更难追溯和审查。u 可识别性钓鱼网站并不是完全没有破绽。因为钓鱼者会尽可能少地利用资源去构造钓鱼网站，无法利用真实网站一些独有资源（如域名、USBKEY、数字验证等）。所以，通常当我们查看HTML源码，或者一些独有资源时，就可以较容易地识别出虚假网站。3.1.3 钓鱼攻击产业链分析天下熙熙，利之所趋。钓鱼攻击带来的暴利正在催生新的地下黑色产业链，从钓鱼网站代码开发，自动化钓鱼工具生产，到钓鱼网站的销售和推广，再到用户敏感数据的收集，欺诈攻击的实施，正逐步形成一个完整的链条，并在全球范围内迅速传播。黑色产业链下的分工和合作，使得钓鱼攻击的实现变得越来越简单和廉价。攻击者一方面在互联网上找寻可能被渗透的主机，评估目标网站及其承载的业务流程，依赖的支撑环境所存在的弱点；另一方面不遗余力地打造仿冒站点，并通过搜索引擎、垃圾邮件、垃圾短信肆意传播，去引诱尽可能多的终端用户；钓鱼者甚至开始在互联网上大肆推销钓鱼攻击外包服务，企图扩大这条黑色产业链的规模和影响。实现一次钓鱼攻击，最简单的方式是拷贝一个HTML页面，上传至一个被攻陷的服务器，同时在服务器端安置可用来处理用户输入数据的脚本；也可能涉及更为复杂的网站、内容重定向，但两者的目标是一致的，构建一个假冒可信机构，并设法窃取用户的敏感信息。使用HTML编辑工具能够很容易构建一个仿冒站点，攻击者还需要寻找一个托管仿冒站点的空间，这可以是一个虚拟空间，也可以是一台被攻陷的服务器。另外，一个极具诱惑力的域名对钓鱼者来说同样重要，那么申请一个有效的域名也是很有必要的一项工作。对于采用SSL证书的站点，钓鱼者甚至为假冒的域名注册一个有效的SSL证书，从而对SSL加密保护的口令进行记录。钓鱼者在构建一个几乎以假乱真的仿冒站点之后，需要考虑如何将用户从一个合法的网站转移到他们所假设的仿冒站点。除非有能力改变目标站点的DNS解析（如DNS投毒），或采用其它方式进行网络流量重定向（如pharming攻击），钓鱼者更多依赖于某种形式上的欺骗，去引诱用户访问假冒站点。为了在尽可能短的时间内感染更多的用户，钓鱼网站还是主要通过垃圾邮件、垃圾短信等方式进行传播。一次钓鱼攻击可能会依赖于多种因素，钓鱼者往往会综合考虑钓鱼网站制作、传播成本，和钓鱼攻击收益之间的平衡，采用性价比更高的方式。3.2 反钓鱼的整体防护思路钓鱼网站的频繁出现，已经影响到银行业金融机构互联网业务的拓展，损害了企业的品牌和声誉，同时还危害到社会公众利益，干扰了公众使用电子金融产品的信心。如何及时发现钓鱼网站，有效控制钓鱼攻击带来的影响，已成为全球关注并感到棘手的问题，也是各银行业金融机构目前迫切需要解决的问题。3.2.1 传统反钓鱼方案的不足如何对抗网络钓鱼，一直以来都是人们热议的话题，一些企业也采用了不同的防护手段。如：使用SSL证书加强网站合法性验证，加固Web服务器防止被渗透，或是购买专业安全厂商提供的反欺诈服务。这些防护手段在一定程度上的确能缓解钓鱼攻击带来的影响，但因为缺乏总体规划和设计，片面且单一的反钓鱼措施存在一些不足，需要加以改进。u 解决方案的完整性不足传统的反钓鱼方案更多基于单一安全事件的防护需求设计，缺乏体系化的建设思路，也缺少对关键业务流程的风险分析，一些可能被钓鱼攻击利用的业务逻辑缺陷，将引入极大的风险。在面向一些新兴的业务模式时，传统的方案显得力不从心，缺乏前瞻性的风险防范建议和扩展防护能力。如何解决WAP站点面临的钓鱼风险，将是下一步需要考虑的问题。u 被动防范效果不好由于钓鱼攻击具有较强的欺骗性，在无法有效发现钓鱼网站的前提下，传统的反钓鱼方案多数被动呈现。主要还是依赖于客户自身的警惕性和风险意识进行防范，对于企业也只能依赖最终客户的投诉和举报，来获得更多的钓鱼网站信息。u 控制力度和范围都非常有限因为缺乏明确的责权定义和跨平台的合作机制，在钓鱼攻击发生之后，企业无法有效地协调相关部门进行处理。加之企业和相关部门之间存在现实的协调沟通方面的局限性，造成一起钓鱼事件发生后到最终问题的解决，常常经历较长的时间，这将极大影响用户对于企业的信任。u 预警方式形式单一由于只能被动形式的接受客户的投诉与举报来获得钓鱼网站的信息，对于事件的可知、可控、可管理的三个环节，都无法得到完全保障。对于频繁发生的钓鱼攻击，企业基本没有对风险预警能力，只能在事件造成一定不良影响的形势下，通过追加公告的方式，提醒更多客户提高安全意识，避免类似的钓鱼事件发生。3.2.2 基于“事前-事中-事后”循序改进的防护思路为了有效应对钓鱼攻击，应该全面评估钓鱼攻击可能利用的各种弱点，以及黑色产业链条各个环节可能带来的影响，需要建立一个覆盖立法监管、培训和教育、举报和反馈，以及技术监控等多个层面的反钓鱼体系。从立法监管层面来看待“反钓鱼”，主要考虑如何维护一个稳定、和谐的网络社会次序，包括互联网内容监管、域名注册监管，以及服务器运维托管监管等工作，应该尽早明确各项事务所遵循的法规、执行机构所肩负的责任和权力，同时协调、整合业界多种优势资源，集中投入到“反钓鱼”监控体系。从技术监控、培训和教育、举报和反馈等层面来看待“反钓鱼”，应该兼顾网上银行、电子商务平台运营机构，以及终端用户的防护需求，建立一个快捷、高效的举报和反馈平台，部署一套先进、智能的钓鱼网站监测系统，并加强终端用户的安全意识培训和教育。对抗网络钓鱼，应该遵循“主动搜索，积极防御”的原则，也就是尽早发现尽可能多的钓鱼网站，并通过多种方式予以控制。一个较为行之有效的思路：基于事件发生的时间线索，把钓鱼攻击拆分成三个阶段，分别实施有针对性的监测和控制。如果把钓鱼网站的发现到关闭这个阶段定义为“事中阶段”，包含至少一次完整的钓鱼攻击，那么这个阶段主要考虑控制钓鱼攻击的影响。在钓鱼网站真正产生危害之前，即便钓鱼网站已经存活，但没有发现，这个阶段可定为“事前阶段”，主要解决如何及时发现钓鱼网站，并通知用户的问题。基于钓鱼攻击的后续处理阶段，则统称为“事后阶段”，包括案例总结、分析，专项整改等事项，以避免同类事件的再次发生。有了明确的时间边界，以及确定的防护需求和工作目标，反钓鱼解决方案才能更充分、更完整地发挥其应有的效益。基于此思路，循序改进，从而最终建立一个完善的反钓鱼体系。四. XXX银行反钓鱼整体解决方案建议面向XXX银行，建设一个积极、主动的“反钓鱼”体系，一方面需要依托互联网监管环境的治理，另一方面应该坚持贯彻“预防为主，防治结合”的方针，深入挖掘银行业金融机构可能被钓鱼攻击利用的各种潜在威胁，主动找寻、实时监测互联网上网络钓鱼相关的安全风险，多方面积极控制钓鱼攻击可能带来的影响，为网上银行风险防控工作提供先进的技术支撑，为金融机构业务拓展提供强有力的安全保障。采用上述章节提到的“事前-事中-事后”分阶段防护思路，大体可以把反钓鱼整体解决方案拆分成三个部分。u 事前预警：通过定期主动评估，以及实时安全监测的方式，及时找到可能被钓鱼攻击利用的弱点，第一时间协助XXX银行启动紧急预案，做出响应。u 事中防御：在发现钓鱼网站之后，采用多种方式控制钓鱼攻击可能带来的影响，主要包括关停域名、阻断终端用户对钓鱼网站的访问等方法。u 事后整改：处置完钓鱼网站之后，在案例总结分析的基础上，需要及时修补被钓鱼攻击利用的弱点，并进一步加强终端用户培训和教育，以减少同类事件的发生概率。图4.1 基于“事前-事中-事后”防护思路的反钓鱼方案结构4.1 事前及时预警对抗网络钓鱼以预防为主，如果能及时昭示钓鱼风险的前兆，超前反馈，快速布置，则在一定程度能够有效防范钓鱼事件的发生，在信息安全对抗过程中，也能处于更加积极、主动的位置。反钓鱼整体解决方案的事前预警阶段，需要在钓鱼者之前，尽可能多地找出各种可能被钓鱼攻击利用的弱点，包括来自业务系统自身的缺陷，业务系统运行的支撑环境弱点，以及来自互联网的安全威胁。所以，本阶段可以考虑综合使用业务安全风险评估、业务环境脆弱性评估，以及钓鱼风险实时监测等多种方法，以确保预警工作的完备性。4.1.1 业务安全风险评估业务流程的设计失误同样会引入网络钓鱼等各类风险，如网银系统虽然采用了双重用户身份认证手段，但如果没有考虑登陆和交易两类业务单元的逻辑顺序以及相互依赖性，钓鱼者利用窃取到的用户账号、密码对，就能够即时完成登录和转账等操作，直接导致用户个人财产损失。所以，及时找出业务流程中存在的问题，既有助于保障业务系统的正常运转，又能防范钓鱼攻击等安全事件的发生。业务安全风险评估，是一种基于安全目标的业务流程分析方法，从目标业务系统的关键流程步骤分解入手，分析每个步骤具有的安全风险，及防范风险所采取的安全措施，判断各项功能的安全措施是否符合为实现安全目标所要达到的安全要求。同时，对业内为达到该安全要求普遍采取的安全手段与现有安全措施进行对比分析，主要关注两个方面：安全措施是否有缺失、安全措施是否有效，最终提出对现有流程的安全建议，对流程进行客观评价。图4.2 基于安全目标的流程分析方法采用业务流程安全风险评估的方法，可以让XXX银行清楚地识别出业务流程每一个关键步骤可能面临的风险，在对业务目标，以及现有安全控制措施做出客观评价之后，最终形成安全现状报告，使XXX银行更加清晰地认识到网上银行的整体安全状况，能够给下一步流程整改和优化，带来融合业界最佳实践的指导意见。4.1.2 业务环境脆弱性评估钓鱼攻击的一种常见方式，是首先利用网站自身的弱点，或是业务系统运行环境（包括承载业务系统的平台、操作系统，以及相关应用系统等）存在的缺陷，进行渗透，然后再发起钓鱼欺诈。如果能解决上述安全问题，一方面可以保护XXX银行的网站不被攻击，另外一方面也能在一定程度上，降低钓鱼攻击发生的几率。无论是网站的XSS、SQL注入漏洞，还是引自第三方内容的数据隐患，以及客户端环境的技术弱点，都可以通过安全技术评估来提前发现。一种传统的思路，是使用漏洞扫描软件进行弱点检查，但需要兼顾评估能力和资源等方面的因素。一种革新的思路：基于互联网，采用来自“云端”的远程漏洞扫描能力，对网站、业务系统支撑环境进行脆弱性评估。这是一种定制化的，基于“云”的安全服务模式，可结合安全专家的分析，对网站结构与漏洞、操作系统漏洞，以及域名解析服务器的漏洞，进行定期检查，用户无需采购任何安全漏洞扫描产品，即可获得网站全方位的钓鱼攻击风险评估报告，以及获得修补建议。因为XXX银行的网站、业务系统自身处于持续改进的状态，所以针对业务环境的脆弱性评估工作应该固化下来，定期进行，并予以阶段性的调整和完善。4.1.3 基于“云”的钓鱼风险实时检测因为有了确定的防护对象、可控的防护范围，针对业务流程，以及业务环境的安全评估可以定期展开，以确保及时发现XXX银行内部信息系统的弱点。而另一类来自互联网，和钓鱼攻击相关的安全威胁，因为存在大量的不确定性，所以一直难以被识别和穷尽。钓鱼者可能在全球任何一个有Internet接入的角落发起钓鱼攻击，这类攻击有着明确的目标，欺骗性很强，会综合利用多种攻击手段，并借助多种渠道传播和实施。钓鱼网站的平均存活时间很短，一般还会选择境外注册和托管，导致国内监管机构难以发挥其应有的效力。如何主动找到互联网上更多和XXX银行相关的钓鱼网站，如何长期建立和维护一个有效的恶意钓鱼站点库，已经成为XXX银行面临的一个极大挑战。区别于传统被动防范钓鱼网站的发现方式，当前出现了一些更有效的检测与发现方式，“反钓鱼网站监控”服务就是其中一种新型的应用模式。“反钓鱼网站监控”服务主要根据网站所有者的域名、IP和关键字组合清单，定期对不同传播方式（如搜索引擎）的相关内容进行监测，监测使用这些信息渠道的访问者被钓鱼攻击的风险。“反钓鱼网站监控”服务是一项基于“云”的一站式托管式服务，承载于XX“互联网安全监测平台”，用户无需安装任何硬件或软件，无需改变目前的网络部署状况，也无需专门的人员进行安全设备维护及分析日志。XX“互联网安全监测平台”通过对互联网站点进行自动分析，发现与目标站点相类似的可疑钓鱼站点，包括但不限于板式设计、logo图片、仿冒真实网站的URL地址以及页面内容，在半自动进行确认后进行报警。同时，XX“互联网安全监测平台”会通过全国范围内，多个地理位置部署的监控引擎，对XXX银行网站的域名基础设施进行监测，确保不会受到劫持和中间人攻击。此外，XX“互联网安全监测平台”还会通过域名自动变形算法，搜索互联网上和XXX银行网站相似的域名；监控指定域名是否被启用的方式，来找出域名相似类的钓鱼攻击。对于钓鱼网站的检测，同样还考虑采用基于生命周期的检测方式。在访问网站前，对网站的域名、IP地址进行查询分析，若发现与预设规则不符则判定为可疑网站。这些预设规则往往如域名的使用时间、生效时长、IP地址与域名的绑定时长等等。XX“互联网安全监测平台”分析的数据来源，主要集中于搜索引擎、第三方钓鱼数据库，以及用户提交的日志分析结果。在发现可疑的钓鱼网站后，XXXX724小时安全值守团队会马上进行人工确认，并将确认后事件即时通知XXX银行。钓鱼事件的分析、发现及通知情况，需要在监测报告中呈现。对于使用“反钓鱼网站监控”服务的XXX银行，只需要将被监控网站的域名、IP和关键字组合告知XXXX，即可坐享724小时的“反钓鱼风险监控”专项支持。XX“互联网安全监测平台”，以及其身后的安全专家团队，会对XXX银行的网站进行全方位的钓鱼风险评估和监控，一旦发现钓鱼攻击即刻启动应急预案，最大限度的阻止钓鱼站点的传播。相关服务流程示意如下图所示。图4.3 XX反钓鱼监控服务流程基于互联网的钓鱼风险实时监测，可以协同业务安全风险评估、业务环境脆弱性评估等方法，形成一套较为完整的预警方案。我们建议，XXX银行应该综合运用上述方法，主动防范可能发生的钓鱼攻击。4.1.4 有效的风险转移机制合理的安全技术手段，能够降低钓鱼攻击发生的几率。从传统的风险防范思路来看，针对钓鱼攻击的预先处理，则还可以考虑采用风险转移、法律援助，以及异常交易监测等方法。在发生钓鱼攻击前，XXX银行应该充分考虑这种攻击给客户带来的风险，有必要对此风险进行预先的风险评估和转移措施的准备。在风险规避或转移方面，可以引入保险的方式。例如：在开通网上电子银行业务时，为客户增加1元的电子安全风险保险，当客户发生类似于网络钓鱼的安全事件时，便可从保险中获得赔偿，这样对银行来说，无疑是一种很好的风险转移手段。4.1.5 完整的法律援助计划和风险转移机制类似，在发生钓鱼攻击前，XXX银行应该建立完整的法律协助计划。和有关的法律咨询机构、律师事务所等建立良好的合作关系，一旦发生类的钓鱼事件，迅速给终端用户提供响应的法律援助，避免发生将用户推至一边置之不理的现象，有助于持续维持一个健康的企业形象。4.1.6 异常交易监测与风险警示钓鱼攻击最终将通过一系列“异常交易”来获取非法利益，那么对网上银行在线交易的过程，特别是针对所谓“异常交易”的监测，是非常有必要的。加强网上银行风险防控工作已经成为XXX银行需要高度关注的一项工作，XXX银行应该尽快建立一套“异常交易”监测预警机制，进一步研究和建设完善的网上银行等电子交易的风险监测系统，加强对新签约后迅速转账、同一额度以及大额频繁转账等可疑交易的识别、事中干预和处置，从而进一步防范其它以网上银行为渠道的非法资金流动。XXX银行“异常交易”监测系统针对异常交易的判定，应该是建立在大量客户行为分析基础之上的，根据用户以往的使用情况或操作习惯，形成一个自适应的正常行为模型，从而能够协助分析当前每笔交易，是否符合用户以往的历史交易习惯。若不符合则认为存在异常风险，即刻为终端用户提供安全警示。4.2 事中主动防御对抗网络钓鱼的方法很多，最有效的方法是同时把几种技术手段和服务结合在一起，以便尽快减缓钓鱼攻击带来的影响。无论是采用自有资源，还是选用外包服务，对抗网络钓鱼都是一个持续需要专家建议的过程。反钓鱼整体解决方案的事中防御阶段，要综合考虑多方面的因素，既包括在线未授权交易的及时发现和处理，还包括对非法钓鱼网站的分析、调查、取证，甚至是反制。在本方案中，主要考虑如何整合各种资源，抑制钓鱼攻击影响的问题。4.2.1 关停钓鱼网站，切断万恶之源控制钓鱼攻击，最有效方法的就是直接关停钓鱼网站，从根本上杜绝钓鱼攻击的发生。例如APAC在处理这一类问题时，主要通过协调中国互联网信息中心（CNNIC）来关停CN域名的钓鱼网站。然而随着CN域名实名制工作的不断完善，注册CN域名制作钓鱼网站将逐渐成为历史，APAC的统计报告显示，2011年3月，以CN域名注册的钓鱼网站仅占处理总量的0.65%。关停钓鱼网站还存在一些技术上的难度和局限性。如，境外注册的钓鱼网站，无法快速阻止；钓鱼网站生存周期短，成本低，可快速复制，关停力度凸显不足。另外，停止钓鱼网站的域名解析也有一定风险，如果用户误报了钓鱼网站，一旦被关停将导致法律风险。为了避免这种风险，在发现可疑钓鱼网站后，必须提交目标机构确认，在获得授权后再上报有关机构，查封恶意域名。4.2.2 从客户端抓起，及时阻断钓鱼威胁尽管关停钓鱼网站能够从根本上解决钓鱼问题，但这个过程往往会花费几个小时，甚至几天的时间，这对于分秒必争的反钓鱼工作，是不能接受的。因为难以操作，效力有限（仅针对.COM或.CN域名生效），XXX银行在尝试关停钓鱼网站的同时，还可以同步实施的反钓鱼措施是网站屏蔽，如从客户端阻断可能发生的钓鱼网站访问行为，以减轻钓鱼攻击所造成的损害。客户端防护仍然沿用传统的，基于黑名单的访问控制策略，在发现终端用户即将访问存在钓鱼风险的页面时，终端系统将弹出一个警示对话框，以揭示当前用户行为的安全隐患。为了避免干扰用户的正常互联网访问行为，终端系统所加载的钓鱼网站黑名单必须是可靠、且能够持续更新的。结合主动、准确的钓鱼网站检测和发现机制，将最新的钓鱼网站信息，通过客户端提示的方式，快速告知客户，可以很好地加强最终客户的风险防范意识，提高钓鱼网站识别能力，并最终提升安全应对的时效性。作为XX“反钓鱼网站监控”服务的一项基本内容，XXXX承诺发现钓鱼网站后，将第一时间通知相关联的银行业金融机构，在获得该机构授权后，XXXX安全专家团队会根据应急预案进行即时响应。一方面协助用户将钓鱼事件上报给监管机关，进入钓鱼网站关停流程；另一方面通过合作伙伴，进行终端层面的钓鱼网站即时阻断。4.3 事后整改和教育正如前文所述，钓鱼攻击的本质问题是人的认知问题，因为无法准确识别出钓鱼网站，才导致终端用户访问了高风险的页面。如果能提升用户对钓鱼风险的识别能力，则能极大降低钓鱼攻击发生的概率。看似普通的安全意识教育，在对抗钓鱼攻击的过程中，反而能产生最大的功效。反钓鱼整体解决方案的事后整改阶段，一方面要基于当前案例的分析结论，修补业务流程、业务环境存在的弱点；另一方面要加强终端用户的安全意识培训力度，防范于未然。当然，此类培训更应该作为一项日常工作，周期性地持续开展下去。4.3.1 专项整改行动顾名思义，专项整改有着明确的目标和改进对象，XXX银行可结合定期安全评估的结果，以及在实际钓鱼攻击事件中突现出来的问题，执行针对性的改进措施，包括业务流程优化，可管理的安全服务实施等。专项整改虽然能减小钓鱼攻击再次发生的几率，但不能完全杜绝钓鱼攻击。尤其对于部分短期内无法修补的弱点，如业务逻辑设计缺陷，仍需加强相关方面的日常监测工作。4.3.2 多样化的安全意识教育在钓鱼攻击的过程中，人性的弱点暴露无疑，很多受害者都是因为经不起诱惑而落入陷阱。所以严格说来，网络钓鱼并非单纯的技术问题，加强用户对网络钓鱼攻击手法的认识，是解决此类攻击的最好方法。对于为终端用户提供高质量的金融电子服务的企业来说，XXX银行有义务为广大用户普及防钓鱼的相关知识。因此，在网站或相关页面建立专项的“反钓鱼”知识栏目，提供丰富的“钓鱼”案件实例分析，是一种值得应用和推广的方式。为了最大化地吸引用户对知识的学习，可以通过游戏的方式模拟遭遇网络钓鱼的经历，教导用户如何识别可疑站点。图4.4 反钓鱼意识培训的游戏截图除此之外，教育活动本身应该是形式多样的，可以与终端用户的日常生活、工作结合起来。在加强用户识别可疑站点的同时，增加用户对特定的关键信息进行强化记忆，可以是特定网站的登陆界面、特殊图片、特定信息等，表4.1提到的一些形式和内容，可供XXX银行参考。表 4.1 多样化的教育方式现场交互类意识培训线上的培训材料各种交互活动模拟场景/在线问答等日常提示类动态BANNER在网站或各种服务的登录页面放置安全提示张贴标语在营业厅显眼位置放置张贴画警示便签在电脑、门禁等地方张贴安全提醒便签屏幕保护提供安全意识培养屏保易拉宝安全宣传活动中展现企业安全警讯、口号等物品提示类小物品包含安全提示的各种定制小物件，例如笔筒、钥匙扣之类。分发小册子印刷制作安全小册子，分发客户教育手册。电子杂志专题形式的教育电子杂志4.3.3 案例分析和存档一旦遭遇了钓鱼攻击，银行业金融机构首先应该配合公安机关的调查取证工作，为更快速地挽回客户损失、避免造成影响而努力。同时，还应该主动跟踪钓鱼事件的发展状态，并主动为客户提供法律援助。最后，应该对事件进行认真的分析总结，形成案例并存档，针对案例提出改进措施和预防建议，以避免类似事件的再次发生。4.4 建立一个完善的反钓鱼体系网络钓鱼因为其影响恶劣，已经让人深恶痛绝。如何有效对抗钓鱼攻击，不再是单一用户，或某个行业单独面临的问题，而是成为了一个公众共同关注的问题。总的来说，一个较为完善的反钓鱼体系，应该融合立法监管、教育和培训、举报和反馈，以及技术监控等多个层面，并从预警、控制和响应三个阶段，分别给出安全防护建议。基于“事前-事中-事后”循序改进的反钓鱼整体解决方案给出了一些具体的实施建议，但方案的落地仍需依附于一个多方协作的合作平台，需要XXX银行内部建立一个清晰的钓鱼事件处理流程，以及在这个流程中可能涉及的多项保障制度，如钓鱼攻击应急预案等。 图4.5 完善的反钓鱼体系架构4.4.1 建立多方协作的反钓鱼合作平台评价反钓鱼体系有效性的两项关键指标是速度和效率，这使得对抗网络钓鱼注定成为耗费时间的资源密集型工作，需要综合应用各种资源，得到多个相关机构的鼎力支持。只有建立一个多方协作的合作平台，集结银行业金融机构、域名注册和管理机构、专业安全公司、IDC，甚至互联网公司等多方优势资源，才能最大限度地发挥反钓鱼体系的作用。另外，在钓鱼网站防治方面，信息的共享同样重要。建立基于行业的“云”共享平台，是很有必要的，特别是钓鱼网站相关的“云”共享，对于加强检测手段，防范钓鱼攻击都将有突出贡献。4.4.2 建立反钓鱼应急预案XXX银行建立的反钓鱼应急预案是指面对突发的钓鱼攻击时，即刻启动的应急管理、指挥协调，以及安全响应计划等。应急预案应该形成体系，针对可能发生的钓鱼攻击，制定专项应急预案和现场处置方案，并明确事前、事中、事后的各个过程中，相关部门和有关人员的职责。一个完整的应急预案体系一般会涉及组织、流程和资源三部分内容，包括准备、检测、控制、整改、恢复，以及跟踪等六个阶段。u 准备阶段这个阶段主要解决预案、组织、平台和协作体系的问题。在钓鱼事件发生之前，需建立高效的事件处理流程、完善的信息发布和汇报流程；同时确定应急响应责任人，并赋予其必要的资源和权力；强大的数据汇总、分析能力，以及完备的法律援助计划，在这个阶段也是要考虑的。u 检测阶段这个阶段主要确定钓鱼事件的状态。包括当前事件的性质、状态和影响程度；需要预估风险和应急等级，计划投入什么资源进行响