钓鱼网站的防范 *** _钓鱼网站攻击技巧

hacker|
261

钓鱼网站是什么?

钓鱼网站通常指伪装成银行及电子商务,窃取用户提交的银行帐号、密码等私密信息的网站,可用电脑管家进行查杀。

钓鱼的实用的防范策略

个人用户要避免成为Phishing的受害者,一定要加强安全防范意识,提高安全防范技术水平,针对性的措施可以归纳如下几点:

(1)防范垃圾邮件:这是防范 *** 钓鱼最为重要和关键的一步。当今绝大部分的垃圾邮件都携带有 *** 钓鱼的链接,用户们经常受到莫名其妙的邮件,因为好奇而点击其中的链接,随着而来的便是或被其中的“廉价”或者“伪冒”信息所蛊惑,或者是被安装上了木马。因此,利用垃圾邮件防护工具或者主动地对不明邮件提高警惕是防范 *** 钓鱼的之一要义。

(2)安装防病毒系统和 *** 防火墙系统:这是一个非常必须的步骤,多数反病毒软件都具有对包括间谍软件、木马程序的查杀功能;防火墙系统监视着系统的 *** 连接,能够杜绝部分攻击意图并及时报警提醒用户注意。由于病毒和黑客攻击手段翻新不断,防病毒和防火墙系统应及时升级,定期杀毒。

(3)及时给操作系统和应用系统打补丁,堵住软件漏洞:象Windows操作系统和IE浏览器软件都存在很多已知未知的漏洞,一般厂家在发现漏洞之后会迅速推出相应的补丁程序,用户应当经跟踪操作系统和应用程序的官方网站,充分利用厂商的资源,在发现各种漏洞时之一时间为自己的系统打上安全补丁,避免黑客利用漏洞人侵电脑,减少潜在威胁。

(4)从主观意识上提高警惕性,提高自身的安全技术:首先要注意核对网址的真实性,在访问重要的网站时更好能记住其 *** 域名或者IP地址,确保登陆到正确的网站,避免点击搜索引擎搜索出的链接等简便 *** 。第二要养成良好的使用习惯,不要轻易登录访问陌生网站、黄色网站和有黑客嫌疑的网站,拒绝下载安装不明来历的软件,拒绝可疑的邮件,及时退出交易程序,做好交易记录及时核对等等。

(5)妥善保管个人信息资料:很多银行为了保障用户的安全,设定了登录密码(查询密码)和支付密码(取款密码)两套密码,用户若保证登录密码与支付密码不相同,这样即使登录密码被窃取, *** 钓鱼者依然无法操作用户的资金。尽量选择安全的密码,建议选用字母、数字混合的方式,以提高密码猜测和破解难度。密码等个人资料应妥善保管并定期更新,避免将密码泄露给他人。

(6)采用新的安全技术:数字证书是一种很安全的方式,通过数字证书可以进行安全通信和电子数字签名,电子签名具有法律效力。网上交易在数字证书签名和加密的保护下进行网上数据的传送,杜绝了 *** 钓鱼者使用跨站cookie攻击以及嗅探侦测的可能。数字证书具有可复制性,如同家门钥匙一样,用户应妥善保管。对于一些被假冒的机构和 *** 相关管理部门而言,也应采取相应的措施与Phishing这种犯罪活动做斗争。例如银行也可积极采取技术措施和宣传活动让用户能够识别真假避免上当。相关 *** 职能部门也应沟通合作,及时定位、关闭这些仿冒网站并从其所有者手中追回被盗的用户信息,减少直接和潜在损失 。

钓鱼网站

钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。

*** 钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的 *** 钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于 德国蜜网项目组 和 英国蜜网项目组 所搜集到的攻击数据给出 *** 钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的 *** 钓鱼攻击案例,但不会覆盖所有可能存在的 *** 钓鱼攻击 *** 和技术。攻击者也在不断地进行技术创新和发展,目前也应该有(本文未提及的)新的 *** 钓鱼技术已经在开发中,甚至使用中。

在给出一个简要的引言和背景介绍后,我们将回顾钓鱼者实际使用的技术和工具,给出使用蜜网技术捕获真实世界中的 *** 钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述,包括系统入侵、钓鱼网站架设、消息传播和数据收集等阶段。随后,将对其中普遍应用的技术及 *** 钓鱼、垃圾邮件和僵尸 *** 等技术进行融合的趋势给出分析。钓鱼者使用恶意软件进行自动化地 Email 地址收集和垃圾邮件发送的案例也将被回顾,同时我们也将展示我们在 *** 扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后,我们对本文给出结论,包括我们在最近 6 个月内获得的经验,以及我们建议的进一步研究的客体。

这篇文章包括了丰富的支持性信息,提供了包含特定的 *** 钓鱼攻击案例更详细数据的链接。最后声明一下,在研究过程中,我们没有收集任何机密性的个人数据。在一些案例中,我们与被涉及 *** 钓鱼攻击的组织进行了直接联系,或者将这些攻击相关的数据转交给当地的应急响应组织。

引言

欺骗别人给出口令或其他敏感信息的 *** 在黑客界已经有一个悠久的历史。传统上,这种行为一般以社交工程的方式进行。在二十世纪九十年代,随着互联网所连接的主机系统和用户量的飞速增长,攻击者开始将这个过程自动化,从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。( Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ) Gordon 和 Chess 研究针对 AOL (美国在线)的恶意软件,但实际上他们面对的是 *** 钓鱼的企图而不是他们所期望的特洛伊木马攻击。 *** 钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式,而欺骗手段一般是假冒成确实需要这些信息的可信方。

参考资料:

钓鱼网站的技术分析

*** 安全技术人员认为钓鱼网站技术含量不高,个人要会防范。“钓鱼网站”主要集中在两方面:一种是模仿央视、腾讯等假冒抽奖网站,如多地出现的仿冒“非常6+1”节目中奖信息骗取网民钱财的 *** 诈骗事件,主要特征是以中奖为诱饵,欺骗网民填写身份信息、银行账户等信息;另一种是模仿 *** 、工行等在线支付网页,骗取网民银行卡信息或支付宝账户。在安全技术人员眼里,“ *** 钓鱼”没有太多技术含量,主要是利用人们的心理来实现诈骗。

中国互联 *** 信息中心的专家认为,一是人们受中奖或其他物质奖励诱惑而放松戒备;二是人们缺乏对网站真伪性验证的知识和 *** 。另外,多数受骗用户在网上填报个人信息,特别是财务信息时缺乏防范意识,没有仔细验证网页的真实性。

专家说,“钓鱼网站”其实不难判别,一般假网站只有一个页面,没有任何链接。真的网站,首页不仅内容丰富,而且还能提供详细的联系方式。验证一个网站的真伪,还可以通过中国互联 *** 信息中心官方网站查询真实域名,也可以通过登录工信部ICP/IP地址/域名信息备案管理系统,获得网站的真实信息。

因为“ *** 钓鱼”都是以大奖诱惑消费者,因此消费者要对 *** 中奖活动提高防范意识;而在 *** 支付时也要小心谨慎,通过域名注册信息、第三方权威认证服务等多种手法验证网站真实性,同时,网民一定要重视个人信息的保护,包括个人联系方式、身份证号码、银行卡信息等。

钓鱼网站的设计通常有两种方式:之一种以“中奖”等名义为诱饵,诱骗用户填写身份证号码、银行帐户等信息;第二种模仿银行在线支付、电子交易网站,骗取用户的银行卡信息或者在线支付账号密码。整个过程如同钓鱼一般,这样的恶意网站也就被称作“钓鱼网站”。这样的钓鱼手法技术含量并不高,或者利用人们贪图便宜的心理上当受骗,或者利用部分网民防范欺诈意识的薄弱。人们一旦上当,或者个人隐私信息泄露并被贩卖,或者因为在网站上填写了银行账号信息,相应的资产会被立刻转走,追悔莫及。 1、黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或敲诈用户;

2、黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金;

3、黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户;

4、通过假冒产品和广告宣传获取用户信任,骗取用户金钱;

5、恶意团购网站或购物网站,假借“限时抢购”、“秒杀”、“团购”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。 互联网上活跃的钓鱼网站传播途径主要有八种:

1、通过 *** 、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;

2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;

3、通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;

4、通过微博、Twitter中的短连接散布钓鱼网站链接;

5、通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;

6、感染病毒后弹出模仿 *** 、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;

7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;

8、伪装成用户输入网址时易发生的错误,如gogle. com、sinz. com等,一旦用户写错,就误入钓鱼网站。

0条大神的评论

发表评论