『壹』 應對網路釣魚正確的做法是
網路釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網路詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網路銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。如何應對網路釣魚行為?釣魚網站的認知與防範方法是什麼?一起和佰佰安全網看看吧。
不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網路傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟體傳播,這些途徑往往可能被黑客利用來進行詐騙。不要相信網上流傳的消息,除非得到權威途徑的證明。如網路論壇、新聞組、 QQ 等往往有人發布謠言,伺機竊取用戶的身份資料等。
不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網路完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。不要輕易相信通過電子郵件、網路論壇等發布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
我們要保護好自己的隱私安全,預防被詐騙,學習基本的網路安全小知識。
『貳』 什麼是網路釣魚怎樣防範網路釣魚
盜連一些重要網站,竊取你重要信息
『叄』 網路釣魚的預防方法
不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。 不要把自己的隱私資料通過網路傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟體傳播,這些途徑往往可能被黑客利用來進行詐騙。
不要相信網上流傳的消息,除非得到權威途徑的證明。如網路論壇、新聞組、 QQ 等往往有人發布謠言,伺機竊取用戶的身份資料等。
不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網路完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。
不要輕易相信通過電子郵件、網路論壇等發布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
個人用戶的建議
1、提高警惕,不登錄不熟悉的網站,鍵入網站地址的時候要校對,以防輸入錯誤誤入狼窩,細心就可以發現一些破綻。
2、不要打開陌生人的電子郵件,更不要輕信他人說教,特別是即時通訊工具上的傳來的消息,很有可能是病毒發出的。
3、安裝殺毒軟體並及時升級病毒知識庫和操作系統(如Windows)補丁。
4、將敏感信息輸入隱私保護,打開個人防火牆。
5、收到不明電子郵件時不要點擊其中的任何鏈接。登錄銀行網站前,要留意瀏覽器地址欄,如果發現網頁地址不能修改,最小化IE窗口後仍可看到浮在桌面上的網頁地址等現象,請立即關閉IE窗口,以免賬號密碼被盜。
『肆』 如何防範詐騙網站及網路釣魚
可以從以下幾點來防範詐騙網站及網路釣魚:1、不要回復向你索取個人信息的電子郵件,可以通過114提供的電話號碼聯系核對,不要使用郵件中指定的號碼。2、不要點選郵件中的可疑聯接。確保輸入正確的網銀地址,最好將其添加到IE瀏覽器的收藏夾中。3、選擇信譽良好的公司網站進行網上交易,慎重輸入個人信息資料。4、確認網站地址經過加密保護,瀏覽器地址欄的網址應該以HTTPS://開頭,此外瀏覽器右下角狀態欄上會顯示圖案,該標志說明你的交易受到加密保護。5、安裝殺毒軟體和防火牆,並經常更新,避免受到惡意攻擊與病毒侵擾。6、保護帳戶信息安全。不要在公共場所使用網上銀行,完成網銀操作或者中途離開時要及時退出相關頁面,也不能在公用電腦里留下卡號等信息。7、及時核對帳單、信用卡和銀行結算表,一旦發現可疑交易要及時撥打銀行服務熱線進行查證。了解更多服務優惠點擊下方的「官方網址」客服218為你解答。
『伍』 釣魚式攻擊的反網釣技術對策
反網釣措施已經實現將其功能內嵌於瀏覽器,作為瀏覽器的擴展或工具欄,以及網站的注冊表程序的一部分。下面是一些解決問題的主要方法。 大多數網釣盯上的網站都是保全站點,這意味著的SSL強加密用於伺服器身份驗證,並用來標示在該網站的網址。理論上,利用SSL認證來保證網站到用戶端是可能的,並且這個過去是SSL第二版設計要求之一以及能在認證後保證保密瀏覽。不過實際上,這點很容易欺騙。
表面上的缺陷是瀏覽器的保全用戶界面 (UI) 不足以應付今日強大的威脅。通過TLS與證書進行保全認證有三部分:顯示連接在授權模式下、顯示使用者連到哪個站、以及顯示管理機構說它確實是這個站點。所有這三個都需齊備才能授權,並且需要被/送交用戶確認。
安全連接:從1990年代中期到2000年代中期安全瀏覽的標准顯示是個鎖頭,而這很容易被用戶忽略。Mozilla於2005年使 用黃底的網址欄使得安全連接較容易辨認。不幸的是,這個發明後來被撤銷,導因於EV證書:它代以對某些高價的證書顯示綠色,而其他的證書顯示藍色 (譯按:Mozilla Firefox 3.x版非EV證書的安全瀏覽網站皆顯示藍色)。
哪個站:用戶應該確認在瀏覽器的網址欄的網域名稱是實際上他們要訪問的地方。網址可能是過度復雜而不容易從語法上分析。用戶通常不知道或者不會鑒別他們想要鏈接的正確網址,故鑒定真偽與否變得無意義。有 意義的伺服器認證條件是讓伺服器的識別碼對用戶有意義;而許多電子商務網站變更其網域名成為他們整體網站組合的其中之一 (譯按:極端例子像 化妝零售部A.百貨B.行銷公司C.電視台這樣子網域的架構),這種手段讓困惑的機率增大。而一些反網釣工具條僅顯示訪問過網站域名的做法是不夠的。
另一種替代方法是 Firefox 的 寵物名(petname) 附加元件,這讓用戶鍵入他們自己的網站標簽,因此他們可以在以後再度造訪該站時認出。如果站點沒有被認出,則軟體會警告用戶或徹底阻攔該站點。這代表了以用戶為中心的伺服器身份管理。某些人建議用戶選定的圖像會比寵物名效果要好。
隨著 EV 證書的出現,瀏覽器一般以綠底白字顯示機構名稱,這讓用戶更加容易辨識並且與用戶期望一致。不幸的是,瀏覽器供應商選擇僅限定EV證書可獨享這突出的顯示,其他種證書就留待用戶自己自求多福了。
誰是管理機構:瀏覽器需要指出用戶要求連到對象的管理機構是誰。在保全等級最低的階段,不指名管理機構,因此就用戶而言瀏覽器就是管理機構。瀏覽器供應商通過控制可接受的授權證書(Certification Authorities,簡稱/下稱 CA)根名單來承擔這個責任。這是目前的標准做法。
這里的問題是不管瀏覽器供營商如何企圖控制質量,市面上 CA 品質良莠不齊亦不實施檢查。亦不是所有簽署 CA 的公司行號取得該證書僅是為了認證電子商務組織的同一個模型和概念而已。製造證書(Certificate Manufacturing) 是頒給只用來遞送信用卡與電子郵件送達確認的低交易額證書;這兩者的用途都容易受到詐騙罪犯的扭曲。由此引申,一個高交易額的網站可能容易受到另一個可提 供的 CA 認證矇混。這種情況可能會在 CA 位於世界的另一端,並且對高交易額電子商務站不熟悉,或者用戶根本就不關心這件事。因為 CA 只負責保障它自己的客戶,並不會管其他 CA 的客戶,故這個漏洞在該模型是根深蒂固的。
對此漏洞的解決方案是瀏覽器應該顯示,並且用戶應該熟悉管理機構之名。這把 CA 當作是種品牌體現,並且讓用戶知悉在其所在國家和區段之內可聯絡到少數幾個 CA。品牌的使用亦對 CA 供應商至關重要,藉此刺激它們改進證書的審核:因為用戶將知悉品牌差異並要求高交易額站點具備周延的檢查。
本解決方案首度於早期 IE7 版本上實現。在當其顯示 EV 證書時,發布的 CA 會被顯示在網址區域。然而這只是個孤立的案例。CA 烙上瀏覽器面板仍存在阻力,導致只有上面所提最低最簡單的保全等級可選:瀏覽器是用戶交易的管理機構。
目前全球通過最高級別的SSL證書來有效防範釣魚攻擊,通過全球可信的CA(GlobalSign)給網站頒發EVSSL證書,激活瀏覽器綠色地址欄,實行256位安全加密,保證客戶和網站之間的通信不被竊聽,並醒目的表明網站自己經過認證之後的身份。 改進保全用戶界面的試驗為用戶帶來便利,但是它也暴露了安全模型里的基本缺陷。過去在安全瀏覽中沿用之SSL認證失效的根本原因有許多種,它們之間縱橫交錯。
在威脅之前的保全:由於安全瀏覽發生在任何威脅出現之前,保全顯示在早期瀏覽器的「房地產戰爭」里被犧牲掉了。網景瀏覽器的原始設計有個站點名稱暨其 CA 名稱的突出顯示。用戶現在常常習慣根本不檢查保全信息。 還有一種打擊網釣的流行作法是保持一份已知的網釣網站名單,並隨時更新。微軟的IE7的瀏覽器、Mozilla Firefox 2.0、和 Opera都包含這種類型的反網釣措施。 Firefox 2中使用 Google 反網釣軟體。Opera 9.1 使用來自 PhishTank 和 GeoTrust的黑名單,以及即時來自 GeoTrust 的白名單。這個辦法的某些軟體實現會發送訪問過的網址到中央伺服器以供檢查,這種方式引起了個人隱私的關注。據 Mozilla 基金會在2006年年底報告援引一項由某獨立軟體測試公司的研究指出, Firefox 2 被認為比 Internet Explorer 7 發現詐欺性網站更為有效。
在2006年年中一種方法被倡議實施。該方法涉及切換到一種特殊的DNS服務,篩選掉已知的網釣網域:這將與任何瀏覽器兼容,而且它使用類似利用Hosts文件來阻止網路廣告的原理來達成目標。
為了減輕網釣網站通過內嵌受害人網站的圖像(如商標)藉以冒充的問題,一些網站站主改變了圖像傳送消息給訪客,某個網站可能是騙人的。圖像可能移動成新的檔名並且原來的被永久取代,或者一台伺服器能偵測到的某圖像在正常瀏覽情況下是不會被請求到,進而送出警告的圖像。 美國銀行的網站是眾多要求用戶選擇的個人圖像、並在任何要求輸入密碼的場合顯示該用戶選定圖片的網站之一。該銀行在線服務的用戶被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而,最近的一項研究表明僅有少數用戶在圖像不出現時不會鍵入他們的密碼。此外,此功能(像其他形式的雙因素認證)對其他攻擊較脆弱,如2005年年底斯堪的納維亞諾爾迪亞銀行案,與2006年的花旗銀行案。
保全外殼是 一種相關的技術,涉及到使用用戶選定的圖片覆蓋上注冊表窗體作為一種視覺提示以表明該窗體是否合法。然而,不像以網站為主的圖像體系,圖像本身是只在用戶 和瀏覽器之間共享,而不是用戶和網站間共享。該體系還依賴於相互認證協議,這使得它更不容易受到來自侵襲只認證用戶體系的攻擊。 在2004年1月26日,美國聯邦貿易委員會提交了涉嫌網釣者的第一次起訴。被告是個美國加州少年,據說他設計建造了一個網頁看起來像美國在線網站,並用它來竊取信用卡數據。其他國家援引了這一判例追蹤並逮捕了網釣者。網釣大戶瓦爾迪爾·保羅·迪·阿爾梅達在巴西被捕。他領導一個最大的網釣犯罪幫派,在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。英國當局在2005年6月收押兩名男子以其在一項網釣欺詐活動扮演的腳色,而這宗案子與美國特勤處《防火牆行動》 (Operation Firewall,目標是當時最大最惡名昭彰的信用卡盜竊網站)有關。2006年8人在日本被逮捕,日本警方懷疑他們通過假造雅虎日本網站網釣進行欺詐,保釋賠款1億日元(87萬美元)。2006年美國聯邦調查局逮捕行動繼續,以代號《保卡人行動》 (CardKeeper) 在美國與歐洲扣押了一個16人的幫派。
在美國,參議員派崔克·萊希(Patrick Leahy)在2005年3月1日向美國國會提審2005反網釣法案。這項法案,如果它已成為法律,將向建立虛假網站、發送虛假電子郵件以詐欺消費者的罪犯求處罰款高達25萬美金並且可監禁長達5年。英國在2006年以2006詐欺法強化了其打擊仿冒欺詐的法律武器,該法案採用一般欺詐罪,可求刑監禁多達10年,並禁止開發或意圖欺詐下擁有網釣軟體包。
許多公司也加入全力打擊網釣的行列。2005年3月31日,微軟向美國華盛頓西部地方法院提交 117 起官司。這起訴訟指控「無名氏」的被告非法取得的密碼信息和機密信息。2005年3月微軟和澳大利亞政府間合作,向執法人員教學如何打擊各種網路犯罪,包括網釣。在2006年3月,微軟宣布計劃進一步在美國境外地區起訴100案件,隨後該公司信守承諾,截至2006年11月之前,共起訴了129件混合刑事和民事行動的犯罪案件。美國在線亦加強其打擊網釣的努力,在2006年早期根據維吉尼亞計算機犯罪法2005年修訂版起訴三起共求償1800萬美元,而 Earthlink 已加入幫助確定6名男子在康涅狄格州的案子,這6名人士稍後被控以網釣欺詐。
2007年1月,傑弗瑞·布雷特·高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第一位依此法被定罪的被告。他被判犯下對美國在線的用戶發送成千上萬的電子郵件,並喬裝成AOL的會計部門以催促客戶提交個人和 信用卡數據的罪行。面對反垃圾郵件法的101年關押以及其他數十個包括詐欺、未經授權使用信用卡、濫用AOL的商標,這部分他被判處70個月監禁。因為沒 有出席較早的聽證會,高汀已被拘留,並立即開始入監服刑。
『陸』 避免遭受電子釣魚攻擊最有效措施
避免遭受電子釣魚攻擊最有效措施?沒有人願意相信他們會成為網路釣魚攻擊的犧牲品。然而,網路釣魚攻擊正在上升,並且比以往更復雜。對於組織而言,利用高級安全技術(如用戶身份驗證,安全電子郵件網關和電子郵件身份驗證防禦)至關重要。不幸的是,網路釣魚詐騙繼續進入電子郵件收件箱--Verizon透露,近30%的目標收件人打開了網路釣魚電子郵件。
防止電子郵件網路釣魚攻擊的10種方法
1.點擊之前先想一想
網路釣魚電子郵件開始的日子已經一去不復返了「來自尚比亞被廢王子的兒子的問候。」為了看起來合法,釣魚郵件今天要復雜得多,甚至可能包含可能會引導您訪問網站的鏈接看起來和原來一模一樣。點擊隨機鏈接並不是一個聰明的舉動。將滑鼠懸停在它上面,看看它們是否會引導您進入正確的網站。更好的選擇是完全避免鏈接並從安全的瀏覽器直接訪問網站。
有些情況下,網路犯罪分子可能會要求您通過點擊鏈接來更改或確認您的詳細信息。這是一個觸及RBC的電子郵件騙局的例子。
2.期待意外
網路釣魚攻擊通常偽裝成某人所期望的文檔或電子郵件 - 無論是銀行記錄,密碼更改請求,用戶訂閱的電子郵件,還是來自公司IT部門的郵件。
確保在下載任何附件之前進行檢查,特別是未經請求的電子郵件 - 更好的是,仔細檢查發件人的電子郵件地址,並留意高風險的附件文件。VirusTotal是一個免費,方便的工具,可用於掃描附件中的病毒。有時,發件人的電子郵件地址可能與公司的官方電子郵件地址類似,用戶可能無法抓住這一點。
3.掌握網路釣魚技術
網路犯罪分子總是希望將下一個騙局定製為盡可能真實和合法。如果不及時了解最新技術,您可能會成為其中的犧牲品。通過讓自己了解情況,您很可能會盡早發現詐騙。網路專家強調,魚叉式網路釣魚攻擊正在上升。雖然網路釣魚詐騙通常針對大量受眾,但希望其中一人成為受害者,魚叉式網路釣魚針對特定個人或一小群人。它們比其他人復雜得多,並且經常進行冒充攻擊。這些電子郵件可能看起來像是來自可靠的公司平台,還包括高度個性化的上下文來欺騙接收者。
4.合法公司從不通過電子郵件詢問敏感信息
永遠不要通過電子郵件提供敏感信息,如果您收到要求您提供信用卡詳細信息,稅號,社會保障信息或任何其他敏感信息的電子郵件,那麼這可能是一個騙局。如果需要數據,請確保直接通過安全網路登錄網站並提交信息。
5.留意電子郵件域名
留意發件人的電子郵件地址 - 如果電子郵件地址似乎不是來自真實的公司提供的帳戶,或者似乎與您之前從公司收到的電子郵件不一致,那麼這是一個潛在的危險信號。這是一封非常令人信服的電子郵件,但仔細觀察,電子郵件域名不合法。
6.注意語法錯誤
識別詐騙電子郵件的最簡單方法之一是通過錯誤的語法。黑客並不愚蠢 - 他們的目標是瞄準那些不那麼敏銳,往往沒有受過教育的人,因為他們是更容易受害的人。
7.合法公司不會強迫您下載垃圾郵件
您可能會注意到,有些電子郵件會將您重定向到流氓網站或虛假網頁,無論您單擊何處 - 整個電子郵件都將是一個巨大的超鏈接,如果您點擊電子郵件中的任何位置,它將自動下載垃圾郵件附件或打開不安全的網站。
8.檢查鏈接的文本是否與合法URL匹配
仔細檢查鏈接到文本的URL。如果它與顯示的URL不同,則表示您可能被定向到您不想訪問的網站。如果鏈接與電子郵件的上下文不匹配,請不要信任它。SSL的存在並不能告訴您有關站點合法性的任何信息,SSL/TLS證書將加密瀏覽器和伺服器之間的連接,以避免黑客入侵。為了找到這個網站是否安全, 我們需要弄清楚如果從未知來源收到的URL,我們建議在點擊之前交叉檢查URL。
9.留意恐嚇策略
即時財富的承諾或贏得數億美元的彩票是大多數人習慣的常見策略。黑客通過提醒您採取時間敏感的行動來尋求利用您的焦慮或擔憂,並最終讓您提供敏感信息。詐騙者不僅僅是銀行或信用卡提供商用作其網路釣魚電子郵件的掩護。他們還會發送似乎來自美國國稅局或其他政府機構的通知,以嚇唬他們的目標放棄他們的信息。
10.安裝反網路釣魚工具欄
今天,大多數瀏覽器都支持反網路釣魚工具欄,可以對您訪問的網站進行快速檢查,並將數據與已知網路釣魚網頁列表進行比較。無意中,如果您按照打開惡意網站的鏈接,工具欄將能夠提醒您。
防病毒軟體也是檢測有害文件的絕佳工具。這些軟體會掃描通過Internet傳輸到您設備上的所有文件。反間諜軟體和防火牆設置還可以提供額外的安全層。
但是,沒有萬無一失的方法可以避免網路釣魚詐騙或惡意攻擊。在線詐騙繼續發展。確保您使用強大的安全解決方案,以降低遭受網路釣魚電子郵件攻擊的風險。
『柒』 釣魚的警惕網路釣魚的主要手段
網上黑客採用的「網路釣魚」方法比較多,歸納起來大致有以下幾種方法:
(1)發送垃圾郵件 引誘用戶上鉤
該類方法以虛假信息引誘用戶中圈套,黑客大量發送欺詐性郵件,這些郵件多以中獎、顧問、對賬等內容引誘用戶在郵件中填人金融賬號和密碼,或是以各種緊迫的理由(如在某超市或商場刷卡消費,要求用戶核對),要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。
(2)建立假冒網上銀行、網上證券網站
騙取用戶賬號密碼實施盜竊黑客建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平台極為相似的網站,誘使用戶登錄並輸人賬號密碼等信息,進而通過真正的網上銀行、網上證券系統盜竊資金;還可利用合法網站伺服器程序上的漏洞,在該站點的某些網頁中插人惡意Html代碼,屏蔽那些可用來辨別網站真假的重要信息,利用cookies竊取用戶信息。
(3)URL隱藏
根據超文本標記語言(HTML)的規則可以對文字製作超鏈接這樣就使網路釣魚者有機可乘。查看信件源代碼就能很快就找出了其中的奧秘,網路釣魚者把它寫成了這樣。這樣屏幕上就顯示了Bbank 的網址而實際上卻鏈接到了Abank的陷阱網站。
(4)利用虛假的電子商務進行作騙
黑客建立電子商務網站,或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息,黑客在收到受害人的購物匯款後就銷聲匿跡。除少數黑客自己建立電子商務網站外,大部分黑客採用在知名電子商務網站上,如「易趣」、「淘寶」、「阿里巴巴」等,發布虛假信息,以所謂「超低價」、「免稅」、「走私貨」、「慈善義賣」的名義出售各種產品,或以次充好,很多人在低價的誘惑下上當受騙。網上交易多是異地交易,通常需要匯款。黑客一般要求消費者先付部分款,再以各種理由誘騙消費者付餘款或者其他各種名目的款項,得到錢款或被識破時,就立即切斷與消費者的聯系。
(5)利用木馬和黑客技術竊取用戶信息後實施盜竊
黑客通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序,當感染木馬的用戶進行網上交易時,木馬程序可獲取用戶賬號和密碼,並發送給指定郵箱,用戶資金將受到嚴重威脅。
(6)利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼
黑客利用部分用戶密碼設置過於簡單的賬號,對賬號密碼進行破解。已有很多的弱口令破解黑客工具在網上可以免費下載,它們可以在很短的時間內破解出各類比較簡單的用戶名及密碼。
(7)其他手段
實際上,黑客在實施「網路釣魚」犯罪活動過程中,經常採取以上幾種手法交織、配合進行。值得特別提醒的是:「網路釣魚」非法活動並不排除有新的手段的出現,並且已經不僅限於通過網路方式,還包括電信詐騙等方式,比如現今泛濫成災的「垃圾手機簡訊」和」陷阱電話」,其中有部分是詐騙簡訊,以急迫的口吻要求用戶對並不存在的已消費的「商品」進行買單,或者以熟悉的朋友或者是親人的身份來要求受害人呢提供帳戶和密碼,嚴格地說,它也應當屬於「網路釣魚」的范疇。所以,推而廣之,任何通過網路手段(包括通信)進行詐騙和誤導用戶使之遭受經濟損之的行為都應當稱之為「網路釣魚」 。
『捌』 下列技術中不能防止網路釣魚攻擊的是
所有的網路釣魚的攻擊都是可以防範的,但只有一種不能防範,就是太傻,太缺心眼的那種
『玖』 「網路釣魚」的主要方法有哪些
網路釣魚(Phishing?,與釣魚的英語fishing?發音相近,又名釣魚法或釣魚式攻擊)是通過大量發送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。最典型的網路釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上,並獲取收信人在此網站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。它是「社會工程攻擊」的一種形式。
『拾』 什麼是「網路釣魚」,如何防範
什麼是網路釣魚?
網路釣魚(Phishing)一詞,是「Fishing」和「Phone」的綜合體,由於黑客始祖起初是以電話作案,所以用「Ph」來取代「F」,創造了」Phishing」。
「網路釣魚」攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局做出響應。
在美國和英國已經開始出現專門反網路釣魚的組織,越來越多在線企業、技術公司、安全機構加入到反「網路釣魚」組織的行列,比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃,微軟還捐出4.6萬美元的軟體,協助防治「網路釣魚」。
用戶自衛指南
一、普通消費者:
安全專家提示:最好的自我保護方式是不需要多少技術的。
1. 對要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件不予理睬。
2. 更重要的是,不要回復或者點擊郵件的鏈接——如果你想核實電子郵件的信息,使用電話,而非滑鼠;若想訪問某個公司的網站,使用瀏覽器直接訪問,而非點擊郵件中的鏈接。
3. 留意網址——多數合法網站的網址相對較短,通常以.com或者.gov結尾,仿冒網站的地址通常較長,只是在其中包括合法的企業名字(甚至根本不包含)。
4. 避免開啟來路不明的電子郵件及文件,安裝殺毒軟體並及時升級病毒知識庫和操作系統補丁,將敏感信息輸入隱私保護,打開個人防火牆。
5. 使用網路銀行時,選擇使用網路憑證及約定賬戶方式進行轉賬交易,不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。
6. 大部分的「網路釣魚」信件是使用英文,除非你在國外申請該服務,不然應該都收到中文信件。
7. 將可疑軟體轉發給網路安全機構。
最後提醒一句,不幸中招者最好盡快更換密碼和取消信用卡。
二、商業機構
1. 為避免被「網路釣魚」冒名,最重要的是加大製作網站的難度。具體辦法包括:「不使用彈出式廣告」、「不隱藏地址欄」、「不使用框架」等。這種防範是必不可少的,因為一旦網站名稱被「網路釣魚」者利用的話,企業也會被卷進去,所以應該在泛濫前做好准備。
2. 加強用戶驗證手段,提高用戶安全意識。
3. 及時處理用戶反饋,積極打擊假冒網站和其他相關的違法行為。客戶中心對類似「為什麼每次登陸都得輸入兩次賬號和密碼?」之類的投訴,就要想到是否有「網路釣魚」的可能,因為「網路釣魚」者通常「劫持」第一次數據,而用戶再一次登陸才進入了真正的頁面。
4. 當然,安裝殺毒軟體和防火牆、及時升級、打補丁、加強員工安全意識、與安全廠商保持密切聯系等都是必不可少的。
最後也要提醒一句,一旦出現被仿冒的情景,首先企業應該把詐騙網頁取下來。有些時候,這並不是一件簡單、快捷的工作。