钓鱼网站
欺骗用户的虚假网站
钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。
简介
早期的案例主要在美国发生,但随着亚洲地区的因特网服务日渐普遍,有关攻击亦开始在亚洲各地出现。从外观看,与真正的银行网站无异,但却在用户以为是真正的银行网站而使用网络银行等服务时将用户的账号及密码窃取,从而使用户蒙受损失。防止在这类网站受害的最好办法就是记住正宗网站的网址,并当链接到一个银行网站时,对网址进行仔细对比。在2003年,中国香港地区亦有多宗案例,指有网站假冒并尚未开设网上银行服务的银行,利用虚假的网站引诱客户在网上进行转账,但其实把资金转往网站开设者的账户内。而从2004年开始,有关诈骗亦开始在中国内地出现,曾出现过多起假冒银行网站比如假冒的中国工商银行网站。
网络钓鱼利用人类常见的各种感情,如信任、恐惧、贪和善良,几乎所有的网络的鱼都涉及社会工程学的技巧。例如,人们收到银行这类影响力很大的商务邮件时,很多人都不曾怀疑信件的真实性,更会下意识地根据要求打开邮件里面指定的URL进行操作;其次,页面打开后,我们通常都只会留意页面内容而不会注意浏览器地址栏的显示,正是这点让“垂钓者”有了可乘之机。其实“垂钓者”们可以利用E的URL欺骗漏洞把自己伪装得更像一回事似的,只是现在E普遍打了补丁,这种情况下还使用这个漏洞就会“不打自招”了,所以只有极少数“垂钓者”会采用这个方法,有的“垂钓者”根本连个看起来“比较正规”的域名都没有,而是采用P地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里。因为他们知道,除非出现意外情况,否则大部分人根本是不会注意浏览器的地址栏的。
另外的钓鱼方式利用了人类的贪婪。常见的手法比如让收到邮件的用户填写一个表单,以便得到职位、奖金或者礼物。在圣诞节前,钓鱼者发出很多钓鱼邮件,引诱用户说:“圣诞节将至,我们正在组织促销活动,请单击下面的链接使用你的账号和密码登录以获取奖品”。
网络钓鱼
网络钓鱼”(Phishing)一词,是“Fishing”和“Phone”的综合体,由于早期的黑客起初是以电话作案,所以用“Ph”来取代“F”,创造了“Phishing”,Phishing的发音与Fishing相同。网络钓鱼其实就是网络上众多诱骗手法之中的一种,由于它的手段基本就是通过网络,用一些诱饵(如假冒的网站)静静等待使用者上当,很像现实生活中的钓鱼过程,所以就被称之为“网络钓鱼”。
网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、帐户用户名和口令等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的站点,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。
为了消除越来越多的以网络钓鱼和电子邮件欺骗的形式进行的身份盗窃和欺诈行为,相关行业成立了一个协会——反网络钓鱼工作小组。它是一个联合机构,目前拥有2300多名成员,包括1500多家公司和机构(包括美国十大银行中的八家、美国五个互联网服务提供商中的四家、众多的IT企业、国家法律执行机构和立法机构)。反网络钓鱼工作小组的目标是排除欺诈行为并且识别由网络钓鱼、域名欺骗以及电子邮件诈骗等引起的偷窃行为。
手段方法
垃圾邮件一样,钓鱼 (英语叫做 phishing) 是一种未经允许的电子邮件形式。尽管一些垃圾邮件可能只不过是讨厌的广告,而钓鱼则是试图从用户手中进行诈骗。不幸的是,人们落入了它的圈套。钓鱼是指用电子邮件作“鱼饵”,从而骗取访问金融账户必需信息的一种手段。通常,电子邮件会看起来像来自一家合法公司。它试图诱惑用户把账号和相关密码给他们。电子邮件经常解释说,公司记录需要更新,或者正在修改一个安全程序,要求用户确认你的账户,以便继续使用。
从表面上看很难辨别这封电子邮件是否是诈骗。像垃圾邮件一样,来自钓鱼黑客的电子邮件通常在电子邮件地址中包含伪造的“发件人”或者“回复”标题,使电子邮件看起来像来自一家合法公司。除了欺骗的“发件人”或者“回复”地址之外,伪造子邮件通常基于HTML。第一眼可能看起来像真的一样。电子邮件经常包含真正的商标,看起来拥有真正公司的网站地址。建议用户“小心”保管密码。电子邮件的所有的表象和措词都用来使它看起来是真的。
然而,当用户查看HTML(电子邮件内的电脑代码)时,用户可以看到网站地址是伪造的,点击链接实际上会把你带到另一个位置。它经常会把你带到一个看起来一样的外国网站。这些网站只是暂时开放,设计得跟真的一模一样,从而诱惑你输入你的登录信息和密码。一旦他们获得信息,就会试图从用户的帐户中汇钱出去,或者收取费用。
钓鱼的一种常见做法是在电子邮件中包含一个表格,供收件人填写自己的姓名、账号、密码或者PIN号。
技术特征
现在大多数用户都已经比较清楚垃圾邮件的特征,并且有很多反垃圾邮件的技术,利用电子邮件进行的网络钓负也是垃圾邮件的一种。不过网络钓鱼在很多方面和一般垃圾邮件有所不同,理解这些不同点对设计反网络钓鱼技术至关重要,下面列举一些网络钓鱼和一般垃圾邮件的主要区别:
迷惑性
网络钩鱼和一般垃圾邮件之间第一个重要的区别是网络钓鱼攻击所用的消息和技术具有更大的迷惑性。网络钓鱼所用的消息往往被仔细地伪装成知名的、可信的财务机构。很多反垃圾邮件过滤系统不能区分网络鱼邮件和来自这些机构的正常邮件。网络钓鱼者还经常利用操作系统、Web服务器以及浏览器等的漏洞来愚弄过滤和检测软件、哄骗用户,并且偷窃尽可能多的信息。和一般垃圾邮件相比,网络钓鱼所采用的技术更接近于黑客和病毒。
目标性
网络的鱼和一般垃圾邮件的另一个不同点在于网络的鱼所有的消息有更明确的目标。一般垃圾邮件发送者为了实现更高的回应率往往向尽可能多的收件人发送垃圾邮件,而网络钓鱼者往往细心地选择一些电子邮件地址作为目标。网络钩鱼者不但要提高回应率,而且还要逃避少数类似垃圾邮件蜜罐系统的特殊检测系统的检测。
短暂性
网络钓鱼和一般垃圾邮件的第三个区别是网络钓鱼攻击都比较短暂。网络钓鱼攻击的生存期都比较短,常常只有几个小时。相应的,一般垃圾邮件常常会频繁地、大量地发送。由于网络钓鱼是明确的犯罪行为,因此,受到比一般垃圾邮件更大的约束,短暂性的攻击可以让网络钓鱼者逃避检测。
动态性
网络的鱼和一般垃圾邮件最后一个重要的区别就是它的动态特性。网络钓鱼攻击和它所使用的站点都是动态的,会很快地改变服务器。一般垃圾邮件使用已知的站点为产品做广告,而网络钓鱼者把用户重定向到一个模仿财务机构的临时站点。网络的鱼者往往利用服务器操作系统或者Web服务软件的漏洞,将自己需要的内容安装在一个正常的站点上。如果这些攻击过程采用自动化的网络钓鱼工具来完成(如结合病毒技术),那么当一个被攻击的站点被发现并且关闭以后,还可以有其他站点来补充,因此,很难追溯到攻击的源头。
防范办法
第一、查验“可信网站
通过第三方网站身份诚信认证辨别网站真实性。不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”,可帮助网民判断网站的真实性。 “可信网站”验证服务,通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份,通过认证后,企业网站就进入中国互联网络信息中心CNNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别,网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。
第二、核对网站域名
假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名。
第三、比较网站内容
假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。
第四、查询网站备案
通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。
第五、查看安全证书
大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,如果发现不是“https”开头,应谨慎对待。
反钓鱼网站联盟
中国反钓鱼网站联盟成员单位包括:工商银行农业银行中国银行建设银行华夏银行光大银行银河证券腾讯、淘宝、支付宝等几十家金融机构和电子商务网站,以及中国万网、中企动力、厦门中资源、厦门华商盛世、阿里巴巴、ChinaSpringboardInc.等国内主要的域名注册服务机构。“中国反钓鱼网站联盟”并非官方机构,它的成员包括了域名管理机构、注册服务机构,以及银行证券类、电子商务类、网络安全类等企业,目的就是为了发现和治理“钓鱼网站”,主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害。
参考资料
最新修订时间:2024-03-15 15:20
目录
概述
简介
参考资料