|
網絡設備生產商思科公司和門戶網站雅虎公司日前宣布,將聯合使用兩項技術手段,共同對抗通過欺詐性電子郵件騙取用戶信息的商業犯罪行為。
據美國《商業周刊》報道,電子郵件在給個人之間和企業之間的交流帶來便利的同時,也給犯罪份子提供了作案工具。不法份子采取發送欺詐性電子郵件的手段騙取用戶信息,再利用這些信息進行商業欺詐。據估計,電子郵件欺詐行為已使英國的銀行損失超過100萬英
鎊。
欺詐性電子郵件已經成為網絡社會的一大公害,導致用戶對互聯網產生了不信任感。德國的一項調查顯示,64%的受訪企業表示不打算與沒有采取措施防范電子郵件欺詐的企業或機構做生意,96%的企業呼吁業界盡快開發出鑒別電子郵件和網址真偽的新技術。
為對抗欺詐性電子郵件的肆意橫行,全球許多國家的政府組織、企業和金融機構已經開始采取措施打擊電子郵件詐騙行為。使用假地址發送信息是欺詐性郵件的共同特點,思科和雅虎的這次聯合行動借助雅虎DomainKeys技術和思科InternetidentifiedMail系統對郵件發送者身份的合法性進行檢測。DomainKeys技術利用公鑰和密鑰對電子郵件進行認證,發件人使用密鑰在郵件報頭中植入經過加密的簽名,接收郵件的服務器則使用公鑰對簽名進行認證。如果經認證顯示不合法,電腦程序將警告收件人不要打開郵件。據測試,該技術每秒可處理100封電子郵件。思科InternetidentifiedMail系統雖有不同之處,但也涉及電子郵件的數字密碼簽名,能鑒別郵件發送地址是否真實。
在反欺詐性電子郵件領域另一個風頭強勁的是Sender ID,它是微軟Caller ID forE-mail技術與SenderPolicyFramework(SPF)技術的結合體。CallerID與SPF的核心內容都是對電子郵件發送者的真實身份進行核實,如果電子郵件地址與其IP地址不符,就可認定該電子郵件為垃圾郵件或欺詐性郵件。SPF與CallerID結合后,可以彌補簡易郵件傳輸協定(SMTP)的一項最大弱點,即電子郵件接收者無從判斷發送者是不是冒名頂替的。這項先天性的不足之處曾讓微軟MSN、美國在線等互聯網服務供應商大為頭痛,他們一方面非常想把這些意圖闖入用戶收件箱的偽造電子郵件攔截下來,一方面又怕“殃及無辜”而招致用戶抗議。
自去年以來,許多銀行、電子商務網站采用微軟公司開發的免費軟件SenderID,全球大約有75萬家公司的域名已經在SenderID下注冊登記。但問題是,有些犯罪分子在發送電子郵件時通過多個服務器來掩飾郵件來源,讓SenderID束手無策。
據報道,全球著名網上零售商亞馬遜公司也準備測試一套名為IronPort的系統,據說能夠鑒別出電子郵件的真偽。美洲銀行的SiteKey系統也向銀行網站的訪問者展示一張圖,如果他們所選擇的圖像不能彈出則表明登錄的是一個虛假網站。此外,如果來自未被識別的電腦用戶想要獲得銀行用戶的BofA賬戶,程序設計要求其必須回答一個預設問題。
目前存在的主要問題是,雖然早在2003年4月,美國在線、雅虎、微軟等業界巨頭就已經攜手成立了反垃圾郵件技術聯盟(ASTA),并基本達成用技術標準解決垃圾郵件問題的共識。但在如何控制電子郵件的偽造問題上又各出提案,提出的技術標準互不兼容甚至互相排斥,每家公司都想將自己的技術作為業界標準。迄今為止,這些技術標準在被提交到互聯網工程工作小組(IETF)時被一一否決。此外,這些技術都存在一定的缺陷,而且價格對許多小規模的公司客戶來說也需要反復掂量。
作者::王云
(來源:經濟參考報)
| 
