中国光大银行钓鱼网事件分析

一、 事件回顾

最近有大量用户给超级巡警安全中心举报，收到如下的信息。“尊敬的用户您好！为配合国家在两会期间新出台的“关于废除银行各项服务性收费”的政策，中国光大银行现已成功向您的帐户汇入了一笔返还资金，资金数额为800元，详情请登录hxxp://cebbrnk.com进行账户查询。”。短信结尾还留有光大银行的客服电话。当用户没有安装任何类似于畅游精灵的网页防护软件并登陆网站，输入网银账户和密码后，很快就会发现账户中的资金全部被转走。

二、 钓鱼网分析

超级巡警安全中心在接到用户举报后，随即对中国光大银行钓鱼网进行了完整分析。

根据分析，该网站是在2011年3月4号注册，并且租用了远在美国圣安娜Krypt机房的一台服务器来搭建单独搭建钓鱼网站，超级巡警安全中心认为这完全是为了进行欺诈钓鱼而搭建的网站。该网站使用微软IIS作为WEB服务，目前平均日流量近百，也就是说，每天有近百位用户可能沦为钓鱼的受害者。

虽然从页面上分析，钓鱼网和中国光大银行官方网站几乎一模一样。就连网址也很像（钓鱼网：hxxp://cebbrnk.com，中国光大银行官网： hxxp://www.cebbank.com），粗心的用户可能一不小心就上当了。虽然两个域名只差一个字母，然后他们所指向的IP地址却各不相同。下面两张图为分析人员对域名解析的测试：

中国光大银行官网IP地址（图1）

光大银钓鱼网站IP地址（图2）

不光从IP解析上我们可以发现钓鱼网的破绽，从网页上的信息，也能发现不少漏洞。当用户要进行网银登录的时，可以发现。光大银行官网是有防伪信息验证和验证码输入的（如图3），而钓鱼网站却只让直接让用户输入账号密码（如图4）。

中国光大银行官网网银登陆页面（图3）

钓鱼网网银登陆页面（图4）

此外，光大银行为了保证信息传输中的安全，对于有账号密码输入的页面都采用了HTTPS协议进行通信（如图5）。而钓鱼网站只是为了骗取用户信息，只是采用了传统的HTTP协议进行通信（如图6）。

中国光大银行官网（图5）

光大钓鱼网站（图6）

超级巡警团队根据观测发现，像此类的钓鱼网，一般都不会把整个网站完整的山寨出来，只需要仔细的找找，就会发现钓鱼网中，一定会存在链接到官网地址。当点击钓鱼网页中的快捷服务时，网页就会跳向光大银行的官网。根据图7的源码分析，可以很清晰的看到，这是一段指向官网的代码。