中国光大银行钓鱼网事件分析

一、事件回顾

最近有很多客户向超级巡逻安全管家反映，收到以下信息。“您好，尊贵的客户！为配合中国两会新实施的“取消金融企业各种服务收费”政策，中国光大银行已经成功将一笔返还财产汇至您的账户，金额为800元。请登录hxxp://cebbrnk.com进行账户查询。”。在消息的最后，空发来了光大银行的人工客服电话。当一个客户没有安装所有类似畅游精灵的网页保护软件，登录网站，输入自己的网上银行账号、用户名和密码，很快就会发现自己账户里的所有财产都被转走了。

二。渔网分析

超级巡逻安全管家接到客户举报后，对光大银行的渔网进行了详细的分析。

据分析，该网站于2011年3月11日申请注册，租用国外圣安娜市Krypt的一个机房内的网站服务器，单独搭建钓鱼网站。超级巡逻安全管家觉得这是一个为了更好的作弊钓鱼而建的网站。该网站使用微软中国IIS作为web服务，目前日均流量近100，也就是说每天有近100位的客户很可能成为钓鱼的受害者。

虽然从网页上分析，钓鱼网和光大银行官网大多相同。连网站都很像(钓鱼网:hxxp://cebbrnk.com，光大银行官网:hxxp://www.cebbank.com)，血本无归的客户很可能是不小心上了当。虽然两个域名之间只有一个英文字母，但他们偏好的IP地址是不同的。下面两张图是分析师对域名解析的检查:

中国光大银行官网IP地址(图1)

光大银行钓鱼网站的 IP地址(图2)

不仅从IP分析可以发现钓鱼网的系统漏洞，从网页上的信息也可以发现很多安全漏洞。客户想登录网银的时候，可以了解一下。光大金融机构的手机客户端都有防伪信息验证和手机验证码输入(如下图3所示)，而钓鱼网站只让客户立即输入账户登录密码(如图4所示)。

中国光大银行官网网银登陆页面页面(图3)

钓鱼网的网上银行登陆页面(图4)

此外，为了更好地保证信息传输中的安全系数，光大银行对所有输入账户登录密码的网页都采用了HTTPS合约(如下图5所示)。然而，钓鱼网站只是为了更好地欺骗客户的信息，才使用传统的HTTP合同进行通信(如下图6所示)。

中国光大银行官网(图5)

光大钓鱼网站(图6)

超级巡警优秀团队根据观察发现，像这种钓鱼网的网站一般都不容易造假。如果你仔细观察，你会发现在渔网里一定有一个连接到官方网站的特定地址。点击钓鱼网页中方便快捷的服务，网页页面会跳转到中国光大银行官网。根据图7的源代码分析，可以明显看出是一段强调官网的代码。