基本定義
攻擊者利用欺騙性的電子郵件和僞造的Web站點來進行網絡詐騙活動,受騙者往往會洩露自己的私人資料,如信用卡号、銀行卡賬戶、身份證号等内容。詐騙者通常會将自己僞裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。
危害
中國互聯網絡信息中心和國家互聯網應急中心在京聯合發布《2009年中國網民網絡信息安全狀況調查系列報告》。《報告》數據顯示,2009年,52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支出的相關服務費用共計153億元人民币。同時這份報告顯示,網民安全意識仍有待進一步提升。相比于高發的網絡安全事件,仍有4.4%的網民個人計算機未安裝任何安全軟件,不足8%的手機網民安裝手機安全防護軟件。網絡事件給21.2%的網民帶來了直接經濟損失,包括網絡遊戲、即時通信等賬号被盜造成的虛拟财産損失,網銀密碼、賬号被盜造成的财産損失,以及因網絡系統、操作系統癱瘓、數據、文件等丢失或損壞,對其找回或修複産生的費用等。
簡介
最典型的是将收信人引誘到一個通過精心設計、與目标組織的網站非常相似的釣魚網站(官方外觀的假冒網站)上,并欺詐性地獲取收信人在此網站上輸入的個人敏感信息(比如口令和信用卡細節),通常這個攻擊過程不會讓受害者警覺。
在美國和英國已經開始出現專門反對的組織,越來越多在線企業、技術公司、安全機構加入到組織的行列,比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃,微軟還捐出4.6萬美元的軟件,協助防治。
防止在這類網站受害的最好辦法就是記住正宗網站的網址,并當鍊接到一個銀行網站時,對香港亦有多宗案例,指有網站假冒并尚未開設網上銀行服務的銀行,利用虛假的網站引誘客戶在網上進行轉賬,但其實把資金轉往網站開設者的賬戶内。而從2004年開始,有關詐騙亦開始在中國大陸出現,曾出現過多起假冒銀行網站,比如假冒的中國工商銀行網站。
如何防備
基本提示
不要在網上留下可以證明自己身份的任何資料,包括手機号碼、身份證号、銀行卡号碼等。
不要把自己的隐私資料通過網絡傳輸,包括銀行卡号碼、身份證号、電子商務網站賬戶等資料不要通過QQ、MSN、Email等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。
不要相信網上流傳的消息,除非得到權威途徑的證明。如網絡論壇、新聞組、QQ等往往有人發布謠言,伺機竊取用戶的身份資料等。
不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機号碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網絡完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。
不要輕易相信通過電子郵件、網絡論壇等發布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
個人用戶
1、提高警惕,不登錄不熟悉的網站,鍵入網站地址的時候要校對,以防輸入錯誤誤入狼窩,細心就可以發現一些破綻。
2、不要打開陌生人的電子郵件,更不要輕信他人說教,特别是即時通訊工具上的傳來的消息,很有可能是病毒發出的。
3、安裝殺毒軟件并及時升級病毒知識庫和操作系統(如Windows)補丁。
4、将敏感信息輸入隐私保護,打開個人防火牆。
5、收到不明電子郵件時不要點擊其中的任何鍊接。登錄銀行網站前,要留意浏覽器地址欄,如果發現網頁地址不能修改,最小化IE窗口後仍可看到浮在桌面上的網頁地址等現象,請立即關閉IE窗口,以免賬号密碼被盜。
企業用戶
1、安裝殺毒軟件和防火牆。
2、加強電腦安全管理,及時更新殺毒軟件,升級操作系統補丁。
3、加強員工安全意識,及時培訓網絡安全知識。
4、一旦發現有害網絡,要及時在防火牆中屏蔽它。
5.為避免被“網絡釣魚”冒名,最重要的是加大制作網站的難度。具體辦法包括:“不使用彈出式廣告”、“不隐藏地址欄”、“不使用框架”等。這種防範是必不可少的,因為一旦網站名稱被“網絡釣魚”者利用的話,企業也會被卷進去,所以應該在泛濫前做好準備。
被騙之後的應對
1、停止共享敏感信息。如果員工已經洩露了敏感的信息,應立即報告。企業要教育員工立即與經理、服務台工作人員,或與網絡管理員、安全人員聯系。後者要采取措施更改口令,或監視網絡的異常活動。
2、請求銀行等機構采取措施。如果員工共享了财務信息,或認為财務信息遭到了洩露,應立即與相關機構聯系。請求其監視賬戶的異常活動和費用,甚至在必要時關閉賬戶。
3、保護口令。如果懷疑口令遭到了洩露,應立即更改。公司應教育員工不能在多個系統或賬戶上使用相同的口令。要盡最大努力确保所有的口令都完全不同。
揭秘釣魚
某服裝公司的張經理帶着員工來到郊外一個魚塘進行垂釣活動。張經理放置好釣具後,便打開了随身攜帶的筆記本電腦并連上網絡,他想利用這點時間處理一下最近的一筆生意。秘書勸他:“經理,今天是遊玩的日子,難得放松一下,今天還是不要處理公司業務了吧……您不怕釣竿被魚叼走了?”張經理對秘書笑了笑,看着身前的釣竿緩緩說道:“都說姜太公釣魚,願者上鈎,但是如果不知道提竿的時機,即将到手的魚也會溜走的。等這筆生意談妥,我再休息也不遲。”
生意終于談妥,客戶把貨款轉入張經理的銀行賬戶,張經理笑了:“這條大魚終于被我釣到了。”然後他登上網絡銀行賬戶查看轉賬情況。當頁面上顯示出賬戶剩餘金額時,賬戶裡原來的存款不翼而飛,頁面裡惟有客戶剛剛轉入的貨款。
張經理做夢也沒想到,這一次,他成了别人釣上的魚,而且是大魚。
警察正在分析張經理那台筆記本電腦硬盤裡的數據,由于無法得知張經理最後一次登錄網絡銀行的時間,而且系統裡也沒有感染任何偷盜賬号的後門程序,一個分析員無意中打開了Foxmail,發現最後一封信件是銀行發送的,主題為“XX網絡銀行關于加強賬戶安全的通告”,分析員預測案件與這封信件有重大關系,這是一封HTML網頁模闆的信件,内容大意為銀行為了加強賬戶安全而升級了系統,請各位客戶盡快重新設置賬戶密碼,末尾還給出了設置密碼的URL鍊接。
分析員馬上查看信件源代碼,這個郵件的作者采用了“看的一套,進的一套”這種簡單的欺騙手法,而這個所謂的更改密碼頁面,當然僞造得與真正的銀行頁面完全一緻,但是它的“更改密碼”功能卻是把賬号和密碼發送到了幕後的“垂釣者”手上,然後“垂釣者”登錄上真正的網絡銀行改了受害者設置的密碼,并順手牽羊把銀行賬戶裡的存款轉移掉。
看到警報的提示,我們可以手動進行反釣魚攻擊的檢測程序,或者打開自動檢測檢測功能。另外,還可以向微軟彙報一個帶有釣魚攻擊的站點URL,微軟的網上數據庫會将此地址收入,并提供給其他用戶作為參考。采用這種群策群力對抗系統威脅的方式,使得遭受攻擊的可能性大大降低。
桌面釣魚
補充:近日,由斯裡蘭卡安全人員Zer0Thunder又發現一種更為隐蔽的欺騙方式,并起名為:桌面網絡釣(desktopphishing)。步驟大緻如下:
1、修改HOSTS文件,将一些需要釣魚的頁面映射本機公網IP,并在本機上制作釣魚頁面。
2、将HOSTS文件制作成自解壓文件(解壓路徑設置成原來HOSTS路徑)。
3、捆綁其他軟件,通過任意途徑誘導用戶安裝。
這裡,由于釣魚頁面是通過HOSTS跳轉的,所以非常隐蔽!