瑞星安全专家唐威畅谈反钓鱼技术发展

瑞星安全专家唐威做客ZOL

　　编者按：10月26日，安全厂商瑞星公司于北京洲际酒店发布其年度安全新品--瑞星全功能安全软件2011。针对这款瑞星新版2011产品我们在以往的文章中已经详细的进行了介绍。新版瑞星2011相比测试版本最大的不同是增加了先进的反钓鱼功能，依然基于"智能云安全"和"虚拟化云引擎"设计，针对日益泛滥的钓鱼网站，能够有效的拦截。

　　根据瑞星云安全系统的数据，目前挂马网站的数量比去年同期下降了90%，病毒样本数也下降了近50%，钓鱼网站给网民带来的损失却大幅提高，由于网络钓鱼而造成的经济损失每年高达200亿元！目前国内每天截获钓鱼网站1万余个，其中95%以上由机器自动生成，无法通过传统杀毒软件来有效抵御。

 瑞星全功能2011截图

　　针对目前非常猖獗的钓鱼网站的威胁，我们采访了瑞星安全专家唐威，唐威为我们彻底分析了当前钓鱼网站的形式，以及反钓鱼技术的特点。尤其详细解析了瑞星智能反钓鱼技术。

　　主持人：各位网友，大家好！我是本期节目的主持人，来自软件事业部的刘建，坐在我旁边的是瑞星安全专家唐威。

　　唐威：各位网友，大家好。

钓鱼网站的类型介绍

　　主持人：下面由唐威为我们简单的介绍一下这期的主题"解析钓鱼网站 捍卫网友利益"，下面有请唐威为我们介绍一下什么是钓鱼网站？钓鱼网站都有哪些类型？

　　唐威：钓鱼网站通常我们简单的理解就是所有在网上行骗的网站，欺骗用户、骗取用户的个人利益和帐号隐私等等，这种网站都可以叫做钓鱼网站。比如说比较流行的假淘宝、假的中奖信息，都属于钓鱼网站的范畴。具体到钓鱼网站有什么危害？有一个钓鱼网站的视频，请大家先看一下这个视频。

　　主持人：网络钓鱼正在催生新一代的黑客产业链，请唐威介绍一下这些产业链是如何运作的？

　　唐威：最近一段时间我们发布了一个钓鱼网站的安全报告，今年瑞星截获了钓鱼网站有63万个，这个数量和去年相比增长了726%，这个数字非常的可怕。为什么今年有这么多的钓鱼网站开始泛滥呢？目前黑客产业链已经细分不同的层次，有传统的木马产业链，最新的钓鱼网站的产业链，这个产业链的形成最大一点是能够为黑客带来很大的利益。完整的产业链包含了几个方面，跟病毒的产业链大同小异：第一，有专门的人制作钓鱼网站的程序、钓鱼网站的模板，跟这些人相配合有另外一批人，或者做模板的人会随时专注社会热点的话题，网民关注东西，网民关注哪些内容，以这个点制作钓鱼网站的程序和模板，这是第一个环节。模板做完了以后有贩卖钓鱼网站模板，提供域名空间。

　　另外一个环节，小黑客或者是想赚这种钱的人花几百块钱把模板买回来自己做钓鱼网站，开始骗人。骗完了之后会收到大量个人用户的信息，收到大量的个人帐户的密码。

　　另外一个环节，收到这些信息之后，不直接自己获利，把这个信息打包卖这个信息。比如最常见的就是假冒《非常6+1》的节目，钓鱼网站会收集到大量的个人用户的信息，通过钓鱼网站收到很多用户的信息之后，不用挖掘这个信息，直接把这个信息打包，比如说1G卖你，你们直接给我多少钱就可以了。

　　另外是洗钱，比如说我收到个人信息，我买了信息之后我会通过这些信息发送垃圾短信，发垃圾邮件，通过这个从广告商获利。

　　还有一个比较危险，当用户上当受骗之后，他可能会把自己的帐号密码填到钓鱼网站，钓鱼网站的人收到之后，比如说我收到了网银的帐号密码，可以通过在网上购物或者在网上转帐，把用户的钱洗出来，这都是他们获利的方式。

　　这几个环节就可以看出来，从模板的制作到骗钱、收信息、贩卖信息、洗钱这几个环节，目前的互联网的情况下，已经可以看到形成完整的钓鱼产业链。现在挂马网站和病毒或多或少都呈现下降的趋势，只有钓鱼网站新的攻击方式和诈骗的方式在快速的上升。

　　主持人：您认为现在安全厂商在反钓鱼网站的时候存在哪些瓶颈？瑞星是如何突破这些瓶颈的？

　　唐威：传统的安全软件或者是专门的防钓鱼的辅助安全工具，大家靠的都是核心技术人工识别的方式，来判定一个网站是不是钓鱼网站。这怎么理解？这涉及到另外一个问题，厂商如何获取钓鱼网站的？获取的方式通常有几种：第一，靠用户举报。有用户说这个网站可能是钓鱼网站，把网址给厂商之后厂商进行分析。第二靠厂商主动搜集互联网上的钓鱼网站。核心的技术方式人工识别是，当我拿到一个可疑的网站之后，我通过工程师的经验分辨这个网站到底是不是正规的网站，或者拿一个正常的网站跟这个网站进行对比，发现其中一些东西认定这个网站确实是钓鱼网站，我把它的域名加到黑名单，恶意网址库里，这种情况下把这个库升级给用户，当用户再访问到这个域名时，进行域名的匹配，发现黑名单里有这条记录，我就可以给这个网站拦掉了，告诉用户这是一个钓鱼网站。这是目前传统的安全软件在反钓鱼用的核心技术。

　　面对目前钓鱼网站，黑客大量的传播钓鱼网站，今天已经有63万，目前为止肯定超过这个数字了。作为安全厂商来看，如果还用人工识别、用户举报的方式来走，肯定是要远远落在钓鱼网站产业链的后面，因为现在黑客已经实现了钓鱼网站模板，有专门人提供模板，网站的域名可以自动生成，可以自动定期更换。因为钓鱼网站有生成周期的问题，黑客不能为了躲避某些组织机关的封闭，自己定期的更换一个域名，重新骗新的网友。这种情况下厂商还靠人工分析，从发现一个钓鱼网站确定它是一个钓鱼网站，给用户解决方案的时候，要完成这个流程可能需要很长的时间，在这个时间内很可能黑客已经生成了新的域名，骗新的用户了。这种情况下，对用户的安全利益或者个人隐私，网络财产安全起不到保护的作用。

　　瑞星也是发现了目前的钓鱼网站开始迅速上升的势头之后，我们前期对大量的钓鱼网站进行了深入的分析之后，我们发现钓鱼网站虽然本身网页代码绝大多数是不含有恶意代码的，但是分析和大量的调研，他们怎么骗用户的？怎么做钓鱼网站模板的？经过深入的分析，发现一定的东西还是有一定的共性的，我们把这些共性总结出来提炼出规则，这条规则类似杀毒软件处理病毒时候的通杀记录。比如说现在杀毒专业厂商不可能收到一个病毒升级一个，专门对抗这个病毒，这种情况比较少，比如说家族类的病毒，通常加一条规则可以解决目前整个一大类家族类。我们说的瑞星智能反钓鱼记录跟通杀记录的概念有一定的类似，我们通过对假的中奖信息网站的分析，把这类网站的规则提取出来之后生成几条记录，这几条记录在用户端目前的验证效果来看，对所有的假冒中奖信息类的网站都可以起到比较有效的拦截的效果。

解析瑞星智能反钓鱼技术

　　主持人：从瑞星发布的多份反钓鱼的报告中可以看出瑞星对反钓鱼的重视程度，反钓鱼之路任重道远，未来钓鱼网站会有怎样的发展趋势呢？网友应该如何应付这些钓鱼网站？

　　唐威：从最近一段时间来看，钓鱼网站更贴近于大家关注的热点话题，最近一两天的时间，通过瑞星2011版增加了智能反钓鱼功能之后，我们每天都会收到大量的帮用户拦截，通过智能的行为分析技术，拦截新的钓鱼网站，每天都上万条钓鱼网站的量。我们发现，最近大家关心的话题是苹果iPad、iPhone，尤其是iPhone4非常关注，因为一个是比较时尚，另外是缺货，一机难求的状况，我想买一个水货都要加几百块钱甚至上千块钱。我们发现目前最新的钓鱼网站开始做假苹果手机，假iPhone4的钓鱼网站，如果想对他进行分析判断拦截，它的难度甚至比我分析一个假冒重点信息类的网站或者淘宝假购物、假网银的钓鱼网站的难度要高很多，因为这种网站绝大多数没有让用户填一个非常详细的个人资料的地方，也没有让用户给他汇款或者留下银行帐号密码。这些行骗的手段都没有，图片就是从苹果官网拷贝过来的，价格很低，还告诉用户这是厂家直销的，内部供货渠道，独家供货，只有我这个网站才有。很多愿意买iPhone4的用户前期跟很多人都沟通过，确实不好买。当他偶然间看到这个网站的时候，又便宜又有货，就很容易上当。我们处理这种钓鱼网站的时候，如果没有瑞星新品的智能反钓鱼技术，就非常的困难。如果按照传统的人工识别钓鱼网站的方式，工程师拿到这个网站之后想识别它到底是不是钓鱼网站怎么办？很有可能发生的情况是，我这个工程师必须得在这个网站上买一个产品，自己把这个流程走一遍，甚至掏钱买一次，最后看看是不是真的，很有可能发生这个现象。这个过程就比较慢了，我分析出来了，等几天收货了，收一假货或者根本没有收到，这个周期非常长。

　　我们依据瑞星的智能反钓鱼技术，像这种网站，第一靠域名，假苹果网站域名识别，第二是智能的图片相似度的对比，还有网页在购买的流程问题。我们智能黑名单，跟传统的不一样，我们这个智能黑名单不仅放了一个钓鱼网站的域名，还包括很多假网站很多的详细信息，比如说服务器的位置，网站存活的周期时间，包括网站是否有合法的备案信息等等，同时我们还会再结合白名单的信息。苹果官方在线销售渠道据我个人了解不太多，自己的在线商店是官方最近出了合法的，我们把这个作为官方的域名进行匹配，就会把钓鱼网站的范围缩得更加精确。很多的技术综合辅助判定，这种情况下必须要人工的判定，新的假的网站出来之后，就可以认定是钓鱼网站，从而达到保护用户不被骗，不汇款的效应。

　　我刚才说的例子比较长，钓鱼网站肯定做的越逼真越好，因为图片都是拷贝过来的，甚至网站风格跟苹果的都差不多，相似度非常高。第二，大家关心什么我就做什么？第三，会给用户非常诱惑的价格。这三点可以说是从有钓鱼网站那天开始，都是利用了这几点，只不过做的越来越好。

　　主持人：也就是说网友对越多人气的产品，或者对越多热点关注的东西一定要小心了，没准了碰上的就是一个钓鱼网站。

　　瑞星10月26日发布了一个全功能的2011新版，据我了解今天也发布了一款杀毒软件2011，它们都包含最新的瑞星反钓鱼技术，请您介绍一下从发布到现在，瑞星反钓鱼技术有哪些成果？

　　唐威：我们是同步发布的，只不过26日发布的是全功能的产品，除了这个产品之外新品的产品线，像单杀，瑞星杀毒软件还有单独的防火墙。我纠正一下，不是单杀和全功能都有智能反钓鱼技术，是全功能和我们防火墙，瑞星2011防火墙具有智能反钓鱼功能的技术。智能反钓鱼的功能模块最根本属于防火墙的恶意网址拦截的功能的子功能。恶意网址拦截，通常我们会拦截所有的恶意网站，包括挂马网站，流氓下载站，钓鱼网站等等这几类，我们都算为恶意网站，我们都将进行拦截。

　　第二，从10月26日到目前一周左右的时间，由于新品上线之后，用户买完了2011之后装上就可以对钓鱼网站进行智能的拦截了，我们在公测期间每天收几千条或者收上万，对比去年的数据就不错了，但是我们新品发布之后这段时间，能够看到智能反钓鱼功能的效果作用户中确实不错，达到了我们预期效果的值。从10月26日，之前是9月份，10月份，现在是11月份，是不断上升的曲线。目前几大类，假冒重点信息的比较多，假苹果的量在最近一两天起来的，我算了一下到目前为止之前有九千多条，在短短几天时间会有快速的上升，在钓鱼网站如此迅速上升的事态下，如果没有智能反钓鱼技术，没有这种技术软件的话，用户一旦遇到这种网站欺骗的话，会非常的危险。没有人愿意主动访问钓鱼网站，很多情况病毒的传播，不正规下载网站都会遇到传播钓鱼网站的案例，这种情况下用户就比较危险了。

　　主持人：目前在安全领域，这个市场挺乱的，到处充斥着口水和其他不良的商业行为，瑞星在新版2011宣传上会有哪些策略？是否会受到这些大环境的影响？

　　唐威：瑞星在新品的宣传上相比往年的力度，今年尤其是2011我们并没有太多把精力放在广告宣传上，瑞星多年的老用户也给我们反馈这个问题，今年看瑞星的新品好象不多。其实也不是今年不多，近几年瑞星一直把重点放在研发工作上，将我们最大的质量，钱花在刀刃上，大力的投入研发以及瑞星给用户提供的服务上，这是今后作为瑞星公司重点的发展方向，在研发上有非常大力度的投入，争取不断的为用户提供更多、更好的产品。像今年推出的智能反钓鱼，近期还会推出新的技术、新的产品提供给瑞星的用户。而这些新的产品，我完全相信是非常好的产品，对大家也是非常有用的安全相关的功能，这都是今后瑞星在安全领域、安全技术、安全产品研发提高的重点发展方向。

　　主持人：瑞星在2011年发展目标和发展方向？

　　唐威：第一，我们会不断的提供新的安全方面的产品，瑞星公司只专注做安全领域。目前推出了2011全功能安全软件是给个人用户，随后还会推出针对企业的新品，包括我刚才所说的新的产品和新的技术。之前推出了一款产品，可能我在下半年开发出了几个新的技术，随着技术的不断完成，会将这个技术攒到下一个版本，作为一个新的功能打包给用户。今年重点和力度都放在技术和产品研发上，所以新的功能、新的产品的推出，研发的速度相比以前会加快很多，因为这是重中之重。用户买了2011之后，在使用2011的过程中还会不断的通过升级和免费下载的方式，获取瑞星提供的更多的产品和服务。作为瑞星来说，给用户提供安全服务的工作的发展方向。

　　主持人：非常感谢瑞星唐威与我们一起分享最新的反钓鱼技术，感谢收看本期节目。