‘壹’ 应对网络钓鱼正确的做法是
网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。如何应对网络钓鱼行为?钓鱼网站的认知与防范方法是什么?一起和佰佰安全网看看吧。
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
我们要保护好自己的隐私安全,预防被诈骗,学习基本的网络安全小知识。
‘贰’ 什么是网络钓鱼怎样防范网络钓鱼
盗连一些重要网站,窃取你重要信息
‘叁’ 网络钓鱼的预防方法
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。 不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
个人用户的建议
1、提高警惕,不登录不熟悉的网站,键入网站地址的时候要校对,以防输入错误误入狼窝,细心就可以发现一些破绽。
2、不要打开陌生人的电子邮件,更不要轻信他人说教,特别是即时通讯工具上的传来的消息,很有可能是病毒发出的。
3、安装杀毒软件并及时升级病毒知识库和操作系统(如Windows)补丁。
4、将敏感信息输入隐私保护,打开个人防火墙。
5、收到不明电子邮件时不要点击其中的任何链接。登录银行网站前,要留意浏览器地址栏,如果发现网页地址不能修改,最小化IE窗口后仍可看到浮在桌面上的网页地址等现象,请立即关闭IE窗口,以免账号密码被盗。
‘肆’ 如何防范诈骗网站及网络钓鱼
可以从以下几点来防范诈骗网站及网络钓鱼:1、不要回复向你索取个人信息的电子邮件,可以通过114提供的电话号码联系核对,不要使用邮件中指定的号码。2、不要点选邮件中的可疑联接。确保输入正确的网银地址,最好将其添加到IE浏览器的收藏夹中。3、选择信誉良好的公司网站进行网上交易,慎重输入个人信息资料。4、确认网站地址经过加密保护,浏览器地址栏的网址应该以HTTPS://开头,此外浏览器右下角状态栏上会显示图案,该标志说明你的交易受到加密保护。5、安装杀毒软件和防火墙,并经常更新,避免受到恶意攻击与病毒侵扰。6、保护帐户信息安全。不要在公共场所使用网上银行,完成网银操作或者中途离开时要及时退出相关页面,也不能在公用电脑里留下卡号等信息。7、及时核对帐单、信用卡和银行结算表,一旦发现可疑交易要及时拨打银行服务热线进行查证。了解更多服务优惠点击下方的“官方网址”客服218为你解答。
‘伍’ 钓鱼式攻击的反网钓技术对策
反网钓措施已经实现将其功能内嵌于浏览器,作为浏览器的扩展或工具栏,以及网站的注册表程序的一部分。下面是一些解决问题的主要方法。 大多数网钓盯上的网站都是保全站点,这意味着的SSL强加密用于服务器身份验证,并用来标示在该网站的网址。理论上,利用SSL认证来保证网站到用户端是可能的,并且这个过去是SSL第二版设计要求之一以及能在认证后保证保密浏览。不过实际上,这点很容易欺骗。
表面上的缺陷是浏览器的保全用户界面 (UI) 不足以应付今日强大的威胁。通过TLS与证书进行保全认证有三部分:显示连接在授权模式下、显示使用者连到哪个站、以及显示管理机构说它确实是这个站点。所有这三个都需齐备才能授权,并且需要被/送交用户确认。
安全连接:从1990年代中期到2000年代中期安全浏览的标准显示是个锁头,而这很容易被用户忽略。Mozilla于2005年使 用黄底的网址栏使得安全连接较容易辨认。不幸的是,这个发明后来被撤销,导因于EV证书:它代以对某些高价的证书显示绿色,而其他的证书显示蓝色 (译按:Mozilla Firefox 3.x版非EV证书的安全浏览网站皆显示蓝色)。
哪个站:用户应该确认在浏览器的网址栏的网域名称是实际上他们要访问的地方。网址可能是过度复杂而不容易从语法上分析。用户通常不知道或者不会鉴别他们想要链接的正确网址,故鉴定真伪与否变得无意义。有 意义的服务器认证条件是让服务器的识别码对用户有意义;而许多电子商务网站变更其网域名成为他们整体网站组合的其中之一 (译按:极端例子像 化妆零售部A.百货B.行销公司C.电视台这样子网域的架构),这种手段让困惑的机率增大。而一些反网钓工具条仅显示访问过网站域名的做法是不够的。
另一种替代方法是 Firefox 的 宠物名(petname) 附加元件,这让用户键入他们自己的网站标签,因此他们可以在以后再度造访该站时认出。如果站点没有被认出,则软件会警告用户或彻底阻拦该站点。这代表了以用户为中心的服务器身份管理。某些人建议用户选定的图像会比宠物名效果要好。
随着 EV 证书的出现,浏览器一般以绿底白字显示机构名称,这让用户更加容易辨识并且与用户期望一致。不幸的是,浏览器供应商选择仅限定EV证书可独享这突出的显示,其他种证书就留待用户自己自求多福了。
谁是管理机构:浏览器需要指出用户要求连到对象的管理机构是谁。在保全等级最低的阶段,不指名管理机构,因此就用户而言浏览器就是管理机构。浏览器供应商通过控制可接受的授权证书(Certification Authorities,简称/下称 CA)根名单来承担这个责任。这是目前的标准做法。
这里的问题是不管浏览器供营商如何企图控制质量,市面上 CA 品质良莠不齐亦不实施检查。亦不是所有签署 CA 的公司行号取得该证书仅是为了认证电子商务组织的同一个模型和概念而已。制造证书(Certificate Manufacturing) 是颁给只用来递送信用卡与电子邮件送达确认的低交易额证书;这两者的用途都容易受到诈骗罪犯的扭曲。由此引申,一个高交易额的网站可能容易受到另一个可提 供的 CA 认证蒙混。这种情况可能会在 CA 位于世界的另一端,并且对高交易额电子商务站不熟悉,或者用户根本就不关心这件事。因为 CA 只负责保障它自己的客户,并不会管其他 CA 的客户,故这个漏洞在该模型是根深蒂固的。
对此漏洞的解决方案是浏览器应该显示,并且用户应该熟悉管理机构之名。这把 CA 当作是种品牌体现,并且让用户知悉在其所在国家和区段之内可联络到少数几个 CA。品牌的使用亦对 CA 供应商至关重要,借此刺激它们改进证书的审核:因为用户将知悉品牌差异并要求高交易额站点具备周延的检查。
本解决方案首度于早期 IE7 版本上实现。在当其显示 EV 证书时,发布的 CA 会被显示在网址区域。然而这只是个孤立的案例。CA 烙上浏览器面板仍存在阻力,导致只有上面所提最低最简单的保全等级可选:浏览器是用户交易的管理机构。
目前全球通过最高级别的SSL证书来有效防范钓鱼攻击,通过全球可信的CA(GlobalSign)给网站颁发EVSSL证书,激活浏览器绿色地址栏,实行256位安全加密,保证客户和网站之间的通信不被窃听,并醒目的表明网站自己经过认证之后的身份。 改进保全用户界面的试验为用户带来便利,但是它也暴露了安全模型里的基本缺陷。过去在安全浏览中沿用之SSL认证失效的根本原因有许多种,它们之间纵横交错。
在威胁之前的保全:由于安全浏览发生在任何威胁出现之前,保全显示在早期浏览器的“房地产战争”里被牺牲掉了。网景浏览器的原始设计有个站点名称暨其 CA 名称的突出显示。用户现在常常习惯根本不检查保全信息。 还有一种打击网钓的流行作法是保持一份已知的网钓网站名单,并随时更新。微软的IE7的浏览器、Mozilla Firefox 2.0、和 Opera都包含这种类型的反网钓措施。 Firefox 2中使用 Google 反网钓软件。Opera 9.1 使用来自 PhishTank 和 GeoTrust的黑名单,以及即时来自 GeoTrust 的白名单。这个办法的某些软件实现会发送访问过的网址到中央服务器以供检查,这种方式引起了个人隐私的关注。据 Mozilla 基金会在2006年年底报告援引一项由某独立软件测试公司的研究指出, Firefox 2 被认为比 Internet Explorer 7 发现诈欺性网站更为有效。
在2006年年中一种方法被倡议实施。该方法涉及切换到一种特殊的DNS服务,筛选掉已知的网钓网域:这将与任何浏览器兼容,而且它使用类似利用Hosts文件来阻止网络广告的原理来达成目标。
为了减轻网钓网站通过内嵌受害人网站的图像(如商标)借以冒充的问题,一些网站站主改变了图像传送消息给访客,某个网站可能是骗人的。图像可能移动成新的档名并且原来的被永久取代,或者一台服务器能侦测到的某图像在正常浏览情况下是不会被请求到,进而送出警告的图像。 美国银行的网站是众多要求用户选择的个人图像、并在任何要求输入密码的场合显示该用户选定图片的网站之一。该银行在线服务的用户被指示在只有当他们看到他们选择的图像才输入密码。然而,最近的一项研究表明仅有少数用户在图像不出现时不会键入他们的密码。此外,此功能(像其他形式的双因素认证)对其他攻击较脆弱,如2005年年底斯堪的纳维亚诺尔迪亚银行案,与2006年的花旗银行案。
保全外壳是 一种相关的技术,涉及到使用用户选定的图片覆盖上注册表窗体作为一种视觉提示以表明该窗体是否合法。然而,不像以网站为主的图像体系,图像本身是只在用户 和浏览器之间共享,而不是用户和网站间共享。该体系还依赖于相互认证协议,这使得它更不容易受到来自侵袭只认证用户体系的攻击。 在2004年1月26日,美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉。被告是个美国加州少年,据说他设计建造了一个网页看起来像美国在线网站,并用它来窃取信用卡数据。其他国家援引了这一判例追踪并逮捕了网钓者。网钓大户瓦尔迪尔·保罗·迪·阿尔梅达在巴西被捕。他领导一个最大的网钓犯罪帮派,在两年之间做案估计偷走约1800万美元到3700万美元之间。英国当局在2005年6月收押两名男子以其在一项网钓欺诈活动扮演的脚色,而这宗案子与美国特勤处《防火墙行动》 (Operation Firewall,目标是当时最大最恶名昭彰的信用卡盗窃网站)有关。2006年8人在日本被逮捕,日本警方怀疑他们通过假造雅虎日本网站网钓进行欺诈,保释赔款1亿日元(87万美元)。2006年美国联邦调查局逮捕行动继续,以代号《保卡人行动》 (CardKeeper) 在美国与欧洲扣押了一个16人的帮派。
在美国,参议员派崔克·莱希(Patrick Leahy)在2005年3月1日向美国国会提审2005反网钓法案。这项法案,如果它已成为法律,将向建立虚假网站、发送虚假电子邮件以诈欺消费者的罪犯求处罚款高达25万美金并且可监禁长达5年。英国在2006年以2006诈欺法强化了其打击仿冒欺诈的法律武器,该法案采用一般欺诈罪,可求刑监禁多达10年,并禁止开发或意图欺诈下拥有网钓软件包。
许多公司也加入全力打击网钓的行列。2005年3月31日,微软向美国华盛顿西部地方法院提交 117 起官司。这起诉讼指控“无名氏”的被告非法取得的密码信息和机密信息。2005年3月微软和澳大利亚政府间合作,向执法人员教学如何打击各种网络犯罪,包括网钓。在2006年3月,微软宣布计划进一步在美国境外地区起诉100案件,随后该公司信守承诺,截至2006年11月之前,共起诉了129件混合刑事和民事行动的犯罪案件。美国在线亦加强其打击网钓的努力,在2006年早期根据维吉尼亚计算机犯罪法2005年修订版起诉三起共求偿1800万美元,而 Earthlink 已加入帮助确定6名男子在康涅狄格州的案子,这6名人士稍后被控以网钓欺诈。
2007年1月,杰弗瑞·布雷特·高汀被陪审团援引的2003年反垃圾邮件法(CAN-SPAM Act of 2003)将其定罪为加州第一位依此法被定罪的被告。他被判犯下对美国在线的用户发送成千上万的电子邮件,并乔装成AOL的会计部门以催促客户提交个人和 信用卡数据的罪行。面对反垃圾邮件法的101年关押以及其他数十个包括诈欺、未经授权使用信用卡、滥用AOL的商标,这部分他被判处70个月监禁。因为没 有出席较早的听证会,高汀已被拘留,并立即开始入监服刑。
‘陆’ 避免遭受电子钓鱼攻击最有效措施
避免遭受电子钓鱼攻击最有效措施?没有人愿意相信他们会成为网络钓鱼攻击的牺牲品。然而,网络钓鱼攻击正在上升,并且比以往更复杂。对于组织而言,利用高级安全技术(如用户身份验证,安全电子邮件网关和电子邮件身份验证防御)至关重要。不幸的是,网络钓鱼诈骗继续进入电子邮件收件箱--Verizon透露,近30%的目标收件人打开了网络钓鱼电子邮件。
防止电子邮件网络钓鱼攻击的10种方法
1.点击之前先想一想
网络钓鱼电子邮件开始的日子已经一去不复返了“来自赞比亚被废王子的儿子的问候。”为了看起来合法,钓鱼邮件今天要复杂得多,甚至可能包含可能会引导您访问网站的链接看起来和原来一模一样。点击随机链接并不是一个聪明的举动。将鼠标悬停在它上面,看看它们是否会引导您进入正确的网站。更好的选择是完全避免链接并从安全的浏览器直接访问网站。
有些情况下,网络犯罪分子可能会要求您通过点击链接来更改或确认您的详细信息。这是一个触及RBC的电子邮件骗局的例子。
2.期待意外
网络钓鱼攻击通常伪装成某人所期望的文档或电子邮件 - 无论是银行记录,密码更改请求,用户订阅的电子邮件,还是来自公司IT部门的邮件。
确保在下载任何附件之前进行检查,特别是未经请求的电子邮件 - 更好的是,仔细检查发件人的电子邮件地址,并留意高风险的附件文件。VirusTotal是一个免费,方便的工具,可用于扫描附件中的病毒。有时,发件人的电子邮件地址可能与公司的官方电子邮件地址类似,用户可能无法抓住这一点。
3.掌握网络钓鱼技术
网络犯罪分子总是希望将下一个骗局定制为尽可能真实和合法。如果不及时了解最新技术,您可能会成为其中的牺牲品。通过让自己了解情况,您很可能会尽早发现诈骗。网络专家强调,鱼叉式网络钓鱼攻击正在上升。虽然网络钓鱼诈骗通常针对大量受众,但希望其中一人成为受害者,鱼叉式网络钓鱼针对特定个人或一小群人。它们比其他人复杂得多,并且经常进行冒充攻击。这些电子邮件可能看起来像是来自可靠的公司平台,还包括高度个性化的上下文来欺骗接收者。
4.合法公司从不通过电子邮件询问敏感信息
永远不要通过电子邮件提供敏感信息,如果您收到要求您提供信用卡详细信息,税号,社会保障信息或任何其他敏感信息的电子邮件,那么这可能是一个骗局。如果需要数据,请确保直接通过安全网络登录网站并提交信息。
5.留意电子邮件域名
留意发件人的电子邮件地址 - 如果电子邮件地址似乎不是来自真实的公司提供的帐户,或者似乎与您之前从公司收到的电子邮件不一致,那么这是一个潜在的危险信号。这是一封非常令人信服的电子邮件,但仔细观察,电子邮件域名不合法。
6.注意语法错误
识别诈骗电子邮件的最简单方法之一是通过错误的语法。黑客并不愚蠢 - 他们的目标是瞄准那些不那么敏锐,往往没有受过教育的人,因为他们是更容易受害的人。
7.合法公司不会强迫您下载垃圾邮件
您可能会注意到,有些电子邮件会将您重定向到流氓网站或虚假网页,无论您单击何处 - 整个电子邮件都将是一个巨大的超链接,如果您点击电子邮件中的任何位置,它将自动下载垃圾邮件附件或打开不安全的网站。
8.检查链接的文本是否与合法URL匹配
仔细检查链接到文本的URL。如果它与显示的URL不同,则表示您可能被定向到您不想访问的网站。如果链接与电子邮件的上下文不匹配,请不要信任它。SSL的存在并不能告诉您有关站点合法性的任何信息,SSL/TLS证书将加密浏览器和服务器之间的连接,以避免黑客入侵。为了找到这个网站是否安全, 我们需要弄清楚如果从未知来源收到的URL,我们建议在点击之前交叉检查URL。
9.留意恐吓策略
即时财富的承诺或赢得数亿美元的彩票是大多数人习惯的常见策略。黑客通过提醒您采取时间敏感的行动来寻求利用您的焦虑或担忧,并最终让您提供敏感信息。诈骗者不仅仅是银行或信用卡提供商用作其网络钓鱼电子邮件的掩护。他们还会发送似乎来自美国国税局或其他政府机构的通知,以吓唬他们的目标放弃他们的信息。
10.安装反网络钓鱼工具栏
今天,大多数浏览器都支持反网络钓鱼工具栏,可以对您访问的网站进行快速检查,并将数据与已知网络钓鱼网页列表进行比较。无意中,如果您按照打开恶意网站的链接,工具栏将能够提醒您。
防病毒软件也是检测有害文件的绝佳工具。这些软件会扫描通过Internet传输到您设备上的所有文件。反间谍软件和防火墙设置还可以提供额外的安全层。
但是,没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击。在线诈骗继续发展。确保您使用强大的安全解决方案,以降低遭受网络钓鱼电子邮件攻击的风险。
‘柒’ 钓鱼的警惕网络钓鱼的主要手段
网上黑客采用的“网络钓鱼”方法比较多,归纳起来大致有以下几种方法:
(1)发送垃圾邮件 引诱用户上钩
该类方法以虚假信息引诱用户中圈套,黑客大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填人金融账号和密码,或是以各种紧迫的理由(如在某超市或商场刷卡消费,要求用户核对),要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
(2)建立假冒网上银行、网上证券网站
骗取用户账号密码实施盗窃黑客建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,诱使用户登录并输人账号密码等信息,进而通过真正的网上银行、网上证券系统盗窃资金;还可利用合法网站服务器程序上的漏洞,在该站点的某些网页中插人恶意Html代码,屏蔽那些可用来辨别网站真假的重要信息,利用cookies窃取用户信息。
(3)URL隐藏
根据超文本标记语言(HTML)的规则可以对文字制作超链接这样就使网络钓鱼者有机可乘。查看信件源代码就能很快就找出了其中的奥秘,网络钓鱼者把它写成了这样。这样屏幕上就显示了Bbank 的网址而实际上却链接到了Abank的陷阱网站。
(4)利用虚假的电子商务进行作骗
黑客建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,黑客在收到受害人的购物汇款后就销声匿迹。除少数黑客自己建立电子商务网站外,大部分黑客采用在知名电子商务网站上,如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品,或以次充好,很多人在低价的诱惑下上当受骗。网上交易多是异地交易,通常需要汇款。黑客一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,得到钱款或被识破时,就立即切断与消费者的联系。
(5)利用木马和黑客技术窃取用户信息后实施盗窃
黑客通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序可获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
(6)利用用户弱口令等漏洞破解、猜测用户账号和密码
黑客利用部分用户密码设置过于简单的账号,对账号密码进行破解。已有很多的弱口令破解黑客工具在网上可以免费下载,它们可以在很短的时间内破解出各类比较简单的用户名及密码。
(7)其他手段
实际上,黑客在实施“网络钓鱼”犯罪活动过程中,经常采取以上几种手法交织、配合进行。值得特别提醒的是:“网络钓鱼”非法活动并不排除有新的手段的出现,并且已经不仅限于通过网络方式,还包括电信诈骗等方式,比如现今泛滥成灾的“垃圾手机短信”和”陷阱电话”,其中有部分是诈骗短信,以急迫的口吻要求用户对并不存在的已消费的“商品”进行买单,或者以熟悉的朋友或者是亲人的身份来要求受害人呢提供帐户和密码,严格地说,它也应当属于“网络钓鱼”的范畴。所以,推而广之,任何通过网络手段(包括通信)进行诈骗和误导用户使之遭受经济损之的行为都应当称之为“网络钓鱼” 。
‘捌’ 下列技术中不能防止网络钓鱼攻击的是
所有的网络钓鱼的攻击都是可以防范的,但只有一种不能防范,就是太傻,太缺心眼的那种
‘玖’ “网络钓鱼”的主要方法有哪些
网络钓鱼(Phishing?,与钓鱼的英语fishing?发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。
‘拾’ 什么是“网络钓鱼”,如何防范
什么是网络钓鱼?
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。
“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。
用户自卫指南
一、普通消费者:
安全专家提示:最好的自我保护方式是不需要多少技术的。
1. 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。
2. 更重要的是,不要回复或者点击邮件的链接——如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。
3. 留意网址——多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。
4. 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。
5. 使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。
6. 大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该都收到中文信件。
7. 将可疑软件转发给网络安全机构。
最后提醒一句,不幸中招者最好尽快更换密码和取消信用卡。
二、商业机构
1. 为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。
2. 加强用户验证手段,提高用户安全意识。
3. 及时处理用户反馈,积极打击假冒网站和其他相关的违法行为。客户中心对类似“为什么每次登陆都得输入两次账号和密码?”之类的投诉,就要想到是否有“网络钓鱼”的可能,因为“网络钓鱼”者通常“劫持”第一次数据,而用户再一次登陆才进入了真正的页面。
4. 当然,安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。
最后也要提醒一句,一旦出现被仿冒的情景,首先企业应该把诈骗网页取下来。有些时候,这并不是一件简单、快捷的工作。