全面解析网络安全新威胁“网络钓鱼”式攻击
[时间:2010-5-28]  [文章来源:上海百络]  [责任编辑:master]

    什么是网络钓鱼?

    网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。

    “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。

    在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。

    用户自卫指南

    一、普通消费者:

    安全专家提示:最好的自我保护方式是不需要多少技术的。

    1. 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。

    2. 更重要的是,不要回复或者点击邮件的链接——如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。

    3. 留意网址——多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。

    4. 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。

    5. 使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

    6. 大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该都收到中文信件。

    7. 将可疑软件转发给网络安全机构。

    最后提醒一句,不幸中招者最好尽快更换密码和取消信用卡。

    二、商业机构

    1. 为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。

    2. 加强用户验证手段,提高用户安全意识。

    3. 及时处理用户反馈,积极打击假冒网站和其他相关的违法行为。客户中心对类似“为什么每次登陆都得输入两次账号和密码?”之类的投诉,就要想到是否有“网络钓鱼”的可能,因为“网络钓鱼”者通常“劫持”第一次数据,而用户再一次登陆才进入了真正的页面。

    4. 当然,安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。

    最后也要提醒一句,一旦出现被仿冒的情景,首先企业应该把诈骗网页取下来。有些时候,这并不是一件简单、快捷的工作。

    步骤1:教育

    在美国《网络世界》所做的采访中,任何一家大型在线企业都将“对用户进行适当教育”放在应对“网络钓鱼”举措之首。花旗银行在主页的底部设有一个明显链接,以提醒用户注意有关电子邮件诈骗的问题。

    何公道说:“网络钓鱼”也是“愿者上钩”,之所以不断发生,就是人们防范观念淡薄。如果大家的安全意识永远只停留在现在的话,那么“网络钓鱼”事件一定会越来越多。王红阳说:用户安全意识的提高能降低“网络钓鱼”的风险,严格执行的安全策略、良好的安全习惯、安全技术的提高,可以大幅度减少“网络钓鱼”成功的几率。

    步骤2:验证

    除了教育外,在线品牌还应当通过简单、易用的方式对合法的电子邮件进行验证。常被人冒充的eBay发出警告称,即使发信人写的是“suppo***@ebay.com”和“billi***@ebay.com”等内容,也不见得就是来自eBay的邮件。

    因为“网络钓鱼”也是一种垃圾邮件,所以人们可以运用相同的垃圾邮件处理工具对网页和电子邮件进行过滤。

    此外,银行在发出的电子邮件里启用了数位电子签名,现在技术的发展,让“验明正身”更加简单,一旦网络钓鱼者试图伪造一个数字签名,收件人就会收到一条警告信息。当然,用户必须学会识别电子签名。

    远期的全球验证项目包括发送者策略框架(Sender Policy Framework)、Yahoo DomainKeys建议和微软的Caller-ID。但是,这些方法要想完善起来尚需时日,而且需要得到在线企业的100%完全认同。

    步骤3:确认

    Web站点也需要利用某些确认机制来证明自己的合法性。当用户在合法的站点,请注意在URL框的下方会出现一个明显的注释,并显示“You're on ebay.com。”如果用户被骗到了一个伪造的站点,该注释便会显示“You're on 10.19.32.4。”

    eBay已经为它的工具栏添加了一项新的服务,称为账户保镖。这项服务可以告诉用户是否处于eBay和PayPal的合法站点上。如果当用户将eBay的口令输入到未经确认的网站上时,eBay还会进一步向用户发出警告信。

    步骤4:阻断

    有些ISP还可以阻止用户被引导到名声不好的Web站点上。例如,当AOL的客户报告自己收到了垃圾邮件,那么包含在这封垃圾邮件中的链接都将被添加到一个受阻站点列表中。当用户点击这些链接,它们显示出的都是错误页面。但这一技术也有可能阻断那些提供真正商业服务的合法链接。

    步骤5:监视

    EarthLink还使用一种服务。当有人注册与自己公司类似的品牌时,该服务便会发出警告。目的是确认该网站是否会通过‘网络钓鱼’的方式冒充EarthLink。”

    手段:威逼利诱

    “网络钓鱼”利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。

    “网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对其中的程序代码动手脚,如果使用者信以为真地按其链接和要求填入个人重要资料,资料将被传送到诈骗者手中。

    现状:上钩者众

    最近一年以来,“网络钓鱼”在美、英等国家变得非常猖獗,数量急剧攀升。据Gartner公司最近的一项调查表明,有5700万美国消费者收到过此类仿冒的电子邮件,由此引起的ID欺诈盗窃给美国银行与信用卡公司的用户造成的直接损失在去年达到了12亿美元。

    后果:诚信危机

    除了信任,“网络钓鱼”也会给企业和个人带来一些更直接的损失。如果诈骗者钓到用户的信用卡账户信息,无论对于持卡者还是销售商都面临着风险。另外,为每个用户发行新的信用卡、账号和密码大约需要50多美元,如果是大量客户被钓,成本也是非常惊人的。



    [关闭本页]
  关键词:  全面解析网络安全新威胁“网络钓鱼”式攻击
首页 |  局域网监控软件使用说明 |  局域网管理软件用户问答 |  网络管理软件典型案例 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证