2011年11月28日 星期一
2011年11月22日 星期二
2011年11月21日 星期一
釣魚網站
釣魚式攻擊(Phishing,與釣魚的英語fishing發音一樣,又名「網釣法」或「網路網釣」,以下簡稱網釣)是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。這些通訊都聲稱(自己)來自於風行的社交網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎、網際網路服務提供者、公司機關),以此來誘騙受害人的輕信。網釣通常是透過e-mail或者即時通訊進行。它常常導引用戶到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例。它憑恃的是現行網路安全技術的低親和度。種種對抗日漸增多網釣案例的嘗試涵蓋立法層面、用戶培訓層面、宣傳層面、與技術保全措施層面。
網釣技術:
鏈接操控:
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的鏈接(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。另一種常見的伎倆是使錨文字鏈接似乎是合法的,實際上連結導引到網釣攻擊站點。
過濾器規避
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣電子郵件中常用的文字。
網站偽造:
一旦受害者訪問網釣網站,欺騙並沒有到此結束。一些網釣詐騙使用JavaScript命令以改變位址欄。這由放一個合法網址的網址欄圖片以蓋住位址欄,或者關閉原來的網址欄並重開一個新的合法的URL達成。
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導參照戶直接在他們自己的銀行或服務的網頁登入,在這裡從網路位址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。
電話網釣:
並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織。
訂閱:
意見 (Atom)