北京時間1月30日下午消息,谷歌、Facebook、微軟、雅虎以及其他11家公司周一聯合宣布,組建新聯盟DMARC打擊網絡釣魚,開發新電郵標準防止釣魚事件的發生。
網絡釣魚是指向用戶發送電郵,欺騙用戶提供包括信用卡賬號在內的敏感信息。該聯盟名為DMARC,為域名消息認證、鑒別、報告和一致(Domain-based Message Authentication, Reporting and Conformance)的首字母縮寫,旨在制定新電郵標準防止釣魚事件的發生。
“用戶感到最糟糕的一種經歷就是遭到釣魚攻擊,”谷歌產品經理、DMARC代表亞當·道斯(Adam Dawes)表示,“保護他們最好的方式就是確保電郵無法進入用戶的垃圾郵件文件夾。”
如今釣魚信息往往會把電郵客戶端的垃圾過濾器捕捉到,但即便被列入了垃圾文件夾中,有的用戶還是禁不住打開信息看看,在用戶恍然大悟之前,已經有人盜取其信用卡賬號。DMARC的目標是讓電郵公司幕后進行工作防止釣魚電郵進入收件箱或垃圾文件夾。
大約18個月前,PayPal已經開始與谷歌、雅虎合作為Gmail和雅虎電郵制定新標準,防止虛假PayPal信息進入用戶的收件箱。PayPal安全經理布雷特·麥克道爾(Brett McDowel)、DMARC主席表示,他們三家公司每天封鎖逾20萬條虛假PayPal信息。
最終,PayPal、谷歌和雅虎開始尋求讓其他公司加入聯盟,并開始使用DMARC協議,隨著更多公司開始使用該協議,工程師將意識到新漏洞并予以修補。Facebook消息工程師邁克·阿德金斯(Mike Adkins)表示,雖然該聯盟周一才宣布,但用戶其實已經開始接受DMARC保護。
DMARC基于現有技術,包括發送方策略框架 (Sender Policy Framework) 、域名密鑰郵件確認(DomainKeys Identified Mail,DKIM),這兩個都是常用郵件安全協議,SPF確認電郵發送方的IP地址,DKIM則審查電郵內容結構,并與真實發送方的編碼信息進行比對。
DMARC并不是打擊網絡釣魚的唯一跨界合作方式,非盈利機構反釣魚工作小組就鼓勵企業分享他們的反釣魚策略和技術。反釣魚軟件開發商趨勢科技高級安全研究員保羅·弗格森(Paul Ferguson)表示,他支持任何打擊惡意軟件和釣魚的合作。“唯一需要提醒的是,這種合作可能會出現太多,導致彼此進行抗衡。”弗格森說。即便是在一家公司內部,營銷部門可能支持一家反釣魚小組,而研究部門則支持另一個小組。
麥克道爾重申,DMARC的目標--至少是目前--就是捍衛合法域名,而不是處理拼寫偽裝域名,騙子使用看起來像普通域名的域名進行攻擊,但其實該域名在拼寫上與合法域名有略微差別。
“當郵件發接雙方都采用了DMARC標準后,域名釣魚攻擊就會被杜絕。”麥克道爾稱。
推薦閱讀
招聘網上求職需防惡意木馬>>>詳細閱讀
本文標題:谷歌Facebook微軟等公司組建聯盟打擊網絡釣魚
地址:http://www.brh9h.cn/a/11/20120130/26861.html
網友點評
精彩導讀
科技快報
品牌展示