北京時(shí)間1月30日下午消息，谷歌(微博)、Facebook、微軟(微博)、雅虎以及其他11家公司周一聯(lián)合宣布，組建新聯(lián)盟DMARC打擊網(wǎng)絡(luò)釣魚(yú)，開(kāi)發(fā)新電郵標(biāo)準(zhǔn)防止釣魚(yú)事件的發(fā)生。

　　網(wǎng)絡(luò)釣魚(yú)是指向用戶(hù)發(fā)送電郵，欺騙用戶(hù)提供包括信用卡賬號(hào)在內(nèi)的敏感信息。該聯(lián)盟名為DMARC，為域名消息認(rèn)證、鑒別、報(bào)告和一致(Domain-based Message Authentication, Reporting and Conformance)的首字母縮寫(xiě)，旨在制定新電郵標(biāo)準(zhǔn)防止釣魚(yú)事件的發(fā)生。

　　“用戶(hù)感到最糟糕的一種經(jīng)歷就是遭到釣魚(yú)攻擊，”谷歌產(chǎn)品經(jīng)理、DMARC代表亞當(dāng)·道斯(Adam Dawes)表示，“保護(hù)他們最好的方式就是確保電郵無(wú)法進(jìn)入用戶(hù)的垃圾郵件文件夾?！?/p>

　　如今釣魚(yú)信息往往會(huì)把電郵客戶(hù)端的垃圾過(guò)濾器捕捉到，但即便被列入了垃圾文件夾中，有的用戶(hù)還是禁不住打開(kāi)信息看看，在用戶(hù)恍然大悟之前，已經(jīng)有人盜取其信用卡賬號(hào)。DMARC的目標(biāo)是讓電郵公司幕后進(jìn)行工作防止釣魚(yú)電郵進(jìn)入收件箱或垃圾文件夾。

　　大約18個(gè)月前，PayPal已經(jīng)開(kāi)始與谷歌、雅虎合作為Gmail和雅虎電郵制定新標(biāo)準(zhǔn)，防止虛假PayPal信息進(jìn)入用戶(hù)的收件箱。PayPal安全經(jīng)理布雷特·麥克道爾(Brett McDowel)、DMARC主席表示，他們?nèi)夜久刻旆怄i逾20萬(wàn)條虛假PayPal信息。

　　最終，PayPal、谷歌和雅虎開(kāi)始尋求讓其他公司加入聯(lián)盟，并開(kāi)始使用DMARC協(xié)議，隨著更多公司開(kāi)始使用該協(xié)議，工程師將意識(shí)到新漏洞并予以修補(bǔ)。Facebook消息工程師邁克·阿德金斯(Mike Adkins)表示，雖然該聯(lián)盟周一才宣布，但用戶(hù)其實(shí)已經(jīng)開(kāi)始接受DMARC保護(hù)。

　　DMARC基于現(xiàn)有技術(shù)，包括發(fā)送方策略框架 (Sender Policy Framework) 、域名密鑰郵件確認(rèn)(DomainKeys Identified Mail，DKIM)，這兩個(gè)都是常用郵件安全協(xié)議，SPF確認(rèn)電郵發(fā)送方的IP地址，DKIM則審查電郵內(nèi)容結(jié)構(gòu)，并與真實(shí)發(fā)送方的編碼信息進(jìn)行比對(duì)。

　　DMARC并不是打擊網(wǎng)絡(luò)釣魚(yú)的唯一跨界合作方式，非盈利機(jī)構(gòu)反釣魚(yú)工作小組就鼓勵(lì)企業(yè)分享他們的反釣魚(yú)策略和技術(shù)。反釣魚(yú)軟件開(kāi)發(fā)商趨勢(shì)科技高級(jí)安全研究員保羅·弗格森(Paul Ferguson)表示，他支持任何打擊惡意軟件和釣魚(yú)的合作?！拔ㄒ恍枰嵝训氖?，這種合作可能會(huì)出現(xiàn)太多，導(dǎo)致彼此進(jìn)行抗衡?！备ジ裆f(shuō)。即便是在一家公司內(nèi)部，營(yíng)銷(xiāo)部門(mén)可能支持一家反釣魚(yú)小組，而研究部門(mén)則支持另一個(gè)小組。

　　麥克道爾重申，DMARC的目標(biāo)--至少是目前--就是捍衛(wèi)合法域名，而不是處理拼寫(xiě)偽裝域名，騙子使用看起來(lái)像普通域名的域名進(jìn)行攻擊，但其實(shí)該域名在拼寫(xiě)上與合法域名有略微差別。

　　“當(dāng)郵件發(fā)接雙方都采用了DMARC標(biāo)準(zhǔn)后，域名釣魚(yú)攻擊就會(huì)被杜絕。”麥克道爾稱(chēng)。

    （編輯：Jesse）