|
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼式攻击)是通过电子邮件或即时通讯工具,大量发送声称来自于银行或其他知名机构的欺骗性信息,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、PIN码或信用卡详细信息)的一种攻击方式。 一、钓鱼攻击原理 最典型的网络钓鱼攻击是将收信人引诱到一个通过精心规划与目标组织的网站非常相似的钓鱼网站(官方外观的假冒网站)上,冒充真正需要信息的值得信任的人,并欺诈性地获得收信人在此网站上输入的个人敏感信息(比如口令和信用卡细节),尽管在安全技术人员眼里“网络钓鱼”只是小菜一碟。但在最近几年中“网络钓鱼”在全国范围内变得非常猖獗,数量急剧攀升。作者就在此为大家介绍以下几种常见的“网络钓鱼”手法,希望广大网民在进行网络冲浪时,能提升自我防范意识,并格外警惕落入“网络钓鱼”诈骗陷阱,钓鱼攻击的原理。 二、TOPl邮件钓鱼攻击 邮件钓鱼的关键技术为匿名邮件技术与跨站技术。匿名邮件技术可以伪装任意邮件地址,例如要伪装163邮件客服,就可以将邮件地址伪装成163邮箱,然后借助跨站技术伪装一个输入密码的页面,让用户信以为真,乖乖送上自己的密码。 小小的测验一下,邮件是否收到了呢?我们来登录我们的邮箱。 发送成功,那么下面开始说说如何利用匿名邮件,网络上很多相似伪造发件人的东东,比如“fastmail邮件特快专递”。原理都差不多只要最后达到我们的目的就好了。这是作者遇到的实例。 因为现在网民安全意识逐步提升,像这样的钩鱼链接太异常,很少有人会上当。常见的把钓鱼网站链接放入邮件,对于一般网民没什么效果,所以我们可采用迂回战术。对于一般邮件来说都可以进行HTML模式编辑,这里我们可以利用这种模式编辑。在HTML中利用超级链接“a标签”用此代码来编写一个HTML超链接,放入邮箱是什么效果呢? (5)收到不明电子邮件时不要点击其中的任何链接。登录银行网站前,要留意浏览器地址栏,如果发现网页地址不能修改,最小化IE窗口后仍可看到浮在桌面上的网页地址等现象,请立即关闭IE窗口,以免账号密码被盗。 (3)加强员工安全意识,及时培训网络安全知识。 |
