网钓技俩：Pharming

这阵子资讯安全议题在全球都是炒得沸沸扬扬。可怜的是一般网民已成为热锅上的蚂蚁，总是提心吊胆过日子，深怕那天被病毒或是网路诈骗邮件找上门，也被列入广大的受害者的名单当中。

那么，最近究竟出现了那些新式的网路攻击或诈骗手法，会让众多网民们担心到寝食难安呢？透过媒体的宣传，网路钓鱼 (phishing)是比较为大家所熟知的。

网路钓鱼，还真的有些“姜太公钓鱼 - 愿者上钩”的意味。Phishing是模仿真实网站（例如让网站看来像是“正常”的企业网站）所发出的电子邮件，以帐户到期或出现重大问题要求确认等理由，欺骗使用者连结到电子邮件中由骇客伪造的网站。

这些 phishing 网站通常会唯妙唯肖地模仿合法的网站，部份网站甚至还有安全认证，让使用者不易分辨出它的真假。通常这种 phishing 网站会向使用者要求一些之前就已提供给银行做为身份认证用的资料，让使用者填写个人机密资料，像是银行帐号、身份证字号、出生年月日或帐户密码等。骇客取得这些机密资料后，就可进行后续的转帐或其他恶意行为，造成使用者莫大的损失。

phishing的新模式: pharming

而网路骗术并不仅止于此，近来从phishing又衍生发展出更新更高段的诈骗招术--网址嫁接 (pharming)。

Pharming最早约莫出现在2004年，它藉由入侵DNS（Domain Name Server）的方式，将使用者导引到伪造的网站上，因此又称为DNS下毒（DNS Poisoning）。Domain Name Server的功能是将网站的IP位址（例如：125.13.213.1），转换成网址（例如：www.google.com），一旦DNS被入侵，使用者便经DNS的IP转换，不知不觉地被“导引”到一个伪造的网站，并让骇客有机会窃取个人的机密资料。

例如在2004年，一个德国的少年就绑架了Google.de；2005年1月，纽约一家ISP公司Panix的网址，就会嫁接到位于澳洲的网站，Pharming 和网钓同样是利用假造电子邮件欺骗使用者造访伪造的网站。两者不同之处是，Pharming 采用了更高段的手法，让使用者更难感觉出网站是伪造的。

Pharming 型态的攻击会悄悄地潜入已连结在网路上的电脑，并且从使用者平日浏览网页的活动中偷取使用者的个人金融相关资料。从技术面来看，pharming混合了 DNS下毒、木马程式 (Trojan) 及键盘动作侧录间谍程式 (key-logging spyware) 等数种手法，将合法网址转接到骇客伪造的网站，让使用者防不胜防。例如一旦使用者上了pharming的当之后，打算进入合法网站时，恶意程式就会在使用者不知情的情形下，将许多使用者常造访的网站“移形换位”，之后便会不知不觉地被导引到伪造的网站去。

既然 pharming 看来如此防不胜防，那么有没有对抗方法呢？在此提供各位检查是否被暗中导引到pharming伪装网站的 5 个方法，让大家在浏览网站时更为安心。

Pharming 伪装网站的5 大征兆

征兆一：感觉网站有点怪怪的
注意观察登入程序、使用者身份认证程序，或是显示出来的讯息，是否和以往不同？

征兆二：要求使用者提供过多的个人讯息
Pharming 网站通常都会要求使用者提供额外的身份辨识或是个人私密资料，这些资料大部份之前就已提供给银行做为对照之用。

征兆三：在浏览器上看不到 SSL 加密锁的标识
合法的网站，在要求使用者提供机密资料时，通常都会对该程序进行 SSL资料加密的动作。请使用者注意浏览器下方是否出现“加密锁”的图示，并可在该图示上双按滑鼠左键，检查该项SSL证明是否真实无误。

征兆四：网址列未出现表示安全网路连线的https字样
当使用者进入安全的网路连线时，网址列应该是以https//开头（多个s字母），而非原本的http://。而Pharming 网站一般都不具备 SSL 安全网路连线的能力，也就是说，既使在要求使用者提供机密资料的网页上，其网址起始字串仍然是普通的 http://。

征兆五：浏览器会出现SSL 认证有问题的警示视窗
如果骇客对具有 SSL 认证功能的网站进行诈骗时，使用者的浏览器会显示安全认识有问题的警示讯息。建议使用者最好不要忽略这些警告，把握此机会检查认证，注意其是否为恶意的诈骗网站。

Pharming 这种混合多种病毒的网路攻击方式已愈来愈多，让网路安全厂商对这些电子犯罪的技术疲于奔命。企业或是网路服务供应商都需要不断提醒使用者有关 pharming 的相关警讯。在教育使用者反击之道的同时，使用者也应具备防毒、入侵侦侧、防火墙及其他网路安全防护的能力，对网路传输内容进行完整的过滤，建构完善的网路安全防护机制。