何为钓鱼?
钓鱼,又称网络钓鱼攻击,是一种企图从电子通讯中,通过伪装成可以信任的人或者机构,以获得用户名、密码和银行卡明细等个人敏感信息的犯罪诈骗过程。网钓通常是通过e-mail或者即时通讯进行的,它常常诱导用户到URL、页面外观等与某些知名网站几乎没有差别的假冒网站上输入个人数据。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。
网络钓鱼攻击技术包括:
- 链接操控
这种攻击手段通常出现在邮箱、短信、QQ空间、朋友圈等地方,通过发布大多数人感兴趣的内容,将你引导到恶意钓鱼网站,诱导你输入账号密码信息。拼写错误的地址或使用子网域是网钓所使用的常见伎俩。比如,通过一个链接领取王者荣耀大礼包:
- 过滤器规避
现在的邮箱系统能够自动检测邮件中是否存在类似诈骗内容,自动拦截或用消息提醒用户防范。但网钓者会使用图像代替文字,使反网钓过滤器很难侦测网钓电子邮件中常用的文字。所以如果发现邮件的文字是图片贴上去的而不是纯文本,这时候就要小心了。
- 网站伪造
网站伪造的特点是伪造的页面与真实合法的网站几乎一模一样,无法直接分辨出来,这时候就要仔细看域名信息是否真的合法。网钓者甚至可以利用知名网站自己的脚本漏洞,链接到恶意网站,在不知不觉中获取用户的数据。
- 电话网钓
并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。一旦电话号码(网钓者拥有这支电话,并由IP电话服务提供)被拨通,该系统便提示用户输入他们的账号和密码。
- WIFI免费热点网钓
WiFi热点覆盖越来越多的公共场合,但是这些免费wifi并不安全,甚至暗藏陷阱。一台电脑、一套无线路由器和一个网络分析软件就可搭建免费WiFi,截取用户数据。人们在商场、咖啡厅购物休闲的时候,常常会刷刷WiFi,但这小小的习惯隐藏着泄露信息的危险,一旦我们用个人电脑或手机,登录了黑客设置的假Wi-Fi热点,那么个人数据和所有隐私,都会因此落入黑客手中。
比如,星巴克的WiFi是Starbuck,黑客可能就会创建一个类似的WiFi名字Starbuck-free来引你上钩。
- 隐蔽重定向漏洞
2014年5月,新加坡南洋理工大学壹位名叫王晶(Wang Jing)的物理和数学科学学院博士生,发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"。
OAuth是一个被广泛应用的开放登陆协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的信息(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。这次曝出的漏洞,可将Oauth2.0的使用方(第三方网站)的回跳域名劫持到恶意网站去,黑客利用XSS漏洞攻击就能随意操作被授权的账号,读取用户的隐私信息。像腾讯、新浪微博等社交网站一般对登陆回调地址没有任何限制,所以极易遭到黑客利用。
怎么防范呢?
1. 不要轻易地把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料,不要通过QQ 、微信 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
2. 安装杀毒软件并及时升级病毒知识库和操作系统补丁
3. 点击链接前,先检查真实来源
将鼠标箭头停在这些链接上,你可以在浏览器左下方状态列上看到他们的实际网址,如果实际网址与宣称的网址不符合,就需要警惕该链接的真实性了。
新人入会
最好熟记官网地址,一般不要用高速下载器,经常有流氓捆绑
又学习到了~