信息安全领域的攻击与防御之间的斗争一直在以此消彼长的模式在上演,而钓鱼攻击在2011年初的中国互联网舞台上掀起了不小的波澜,这次交锋中黑客获取到了足够多的利益,这也让易被仿冒企业与安全厂商开始反思原有防御技术的缺陷与漏洞,并开始积极寻求新的解决方案。
由于钓鱼攻击低成本、高收益的特点,吸引了一大批玩病毒、玩木马的“技术高手”。黑客们的目的逐渐从“彰显个人能力”转向“盈利”。电子商务的兴起、网银的流行为这种转变提供了很好的平台,智能终端的迅速发展也为钓鱼攻击者准备好了进一步施展身手的绝佳条件。
显然,仅仅依靠被仿冒机构或企业的技术与力量无法完全解决当前面临的各种钓鱼攻击,这一点从年初大量金融企业被仿冒事件中显露无疑,“动态口令/一次性口令”被轻松绕过,“手机短信验证”方式也被攻克,“PKI私钥”也能被窃取,进一步的防御手段一定会不断出现,这些逐渐复杂化的防御手段使“安全性与易用性”的矛盾越加彰显,并在一步步逼近用户的可容忍限度。
简单、安全的交易方式是用户进行互联网交易的最基本需求,这种需求的满足需要一种全网络的攻击检测与防御方案,尤其是针对钓鱼攻击,这张防御网络需要被仿冒企业、运营商、互联网安全企业、终端安全软件、浏览器软件、域名服务商等企业与机构的通力配合才能达成,庆幸的是,这张防御网络正在开始形成并发挥作用。