网站注册与密码提醒被利用 诈骗趋于专门化

5月27日国际报道为了更好的实施他们的攻击，垃圾邮件发送者与网络骗子越来越多的了解受害人的个人情况了。

蓝色安全公司本周公布报告称，那些使用了电子邮件作为密码找回以及注册申请选项的网站正在被网络骗子们所利用，骗子用这种机制去了解用户的详细背景情况。

报告称，垃圾邮件发送者与网上骗子通过网站注册以及密码提醒工具自动发送成千上万的电子邮件地址。原因是，许多网站在收到用户注册的电子邮件地址时，会发送一封确认信，攻击者能够了解一个地址是否对应一个真实的用户。

通过从一系列的网站收集到的信息，骗子们能够对收信人制定专门的欺诈电子邮件。这就增加了用户将欺诈信同有用信件区别开来的难度。并且，专家们还表示，专门定制的邮件很不容易被垃圾邮件过滤器捕获。

反钓鱼式攻击工作组织的主席Dave Jevans说：“钓鱼式攻击最近明显开始变得个人化了，它们具有很强的针对性。”Jevans认为，包含有收信人的姓名或者电子邮件地址的信息都是漏洞的根源。

钓鱼式攻击（Phishing）是一种典型的网络欺诈方式，它主要想偷取敏感信息，比如用户名，密码以及信用卡号码等等。然后，小偷会将这些信息出售，或者直接假冒别人的身份进行犯罪。常见的钓鱼式攻击的手段包括发送垃圾邮件，制作貌似正规的虚假网页等等。

网上骗子通常都有自己的一个电子邮件列表，这些地址可能是自己捏造的，也可能是购买到的或者利用工具从网上收集而来的。

利用注册或者密码提醒机制进行攻击的关键在于获得回应。许多网站在一个电子邮件地址被注册的时候，会向用户发送这样的讯息：本地址已经被注册。如果攻击者填送的地址获得了这样的的回应，那么他们就知道这个地址是真实有效的邮件地址。

利用这种原理，网络罪犯能够了解用户的性别，性倾向，政治立场，地理位置，爱好，以及在网上商店使用的电子邮件地址等等。

蓝色安全公司的首席执行官Eran Reshef说：“想象一下，有人清楚所有你曾经注册过的网站，想象一下有人能够从这些机制中发现你的个人信息。所有这些信息能够勾画出个人的详细背景资料。”

这样一来，攻击者得手的机率会大大的增加，原因是欺诈信中的语句会包含很多精确的信息，使得它看上去是一封正常的邮件。比如，一封自称来自银行或者信用卡公司的电子邮件中可能出现用户曾经消费过的网络商店名字。

蓝色安全公司已经发现，绝大多数美国受欢迎的网站允许钓鱼式攻击者，垃圾邮件发送者进行这样的 “恶意信息探询”活动。另外，很多小网站，包括网上商店，球队的网站，组织组织等团体的网站都存在这样的漏洞。

但是，蓝色安全公司的报告也发现，这样的“恶意信息探询”活动还没有蔓延开来。

有些网站，比如大银行的网站对这个问题明显的比较重视。这些网站不允许人们用电子邮件作为他们的登陆名。这些网站还要求用户提供另外的注册信息，或者使用企业的安全检测手段。

eBay也不允许注册与密码提醒式攻击。在钓鱼式攻击泛滥之前，eBay已经停止使用电子邮件作为用户的登陆身份。

恶意信息探询让钓鱼式攻击变得更有针对性。本月初，安全人员报告说，有人窃取了消费者的数据，然后用这些信息抹掉了受害人的银行帐户。

反钓鱼式攻击工作组的Jevans表示，蓝色安全公司的报告表明，一种新的钓鱼式攻击手段正在形成，他认为，网络组织应该采取措施，消灭注册与密码提醒式漏洞攻击。