OverseaHosting.com为您提供准确及时的海外网站空间和虚拟主机及域名信息,以及丰富的技术文档和工具,帮助您轻松选择合适的国外虚拟主机,优化设计和推广自己的网站。
警惕网络欺诈伎俩“phishing”
作者/来源:未知
通过假冒邮件“引诱”用户
自2003年以来,phishing在美国已经成为一项大问题。phishing的目的是盗取信用卡号码和密码等用户个人信息。被盗的个人信息不可避免地遭到恶意使用。phishing的基本手法如下:
试图进行phishing的人(被称作“phisher”)首先向大量非特定用户发送看起来像是来自著名企业的邮件。邮件正文含有诱导用户登录到某一指定网站的内容。在美国,phishing邮件大多采用“如果不立即登记,你的帐户很快就会失效。失效后将无法利用在线服务”等威胁性词句
用户赶忙点击邮件中的链接,出现一个与著名企业非常相似的假冒网页(见右下画面)。为了让用户深信不疑,假冒网页有时还利用真正网页作掩护。如果把个人信息输入到假冒网页上,这些信息就被发送到phisher那里。
假冒美国城市银行,试图将用户诱导至假冒网页的邮件。写有“为确认帐户,请点击以下链接,按照要求输入相应信息。否则帐户将会失效”的内容。正文中的URL是正宗的,但由于对链接做了手脚,点击后就会被链接到假冒网页。
点击左边画面后就被诱导到这个网页上。利用了真正网页上的画面,看起来与真正网页非常相似。另外,为了避免用户看清URL,网页不显示地址栏
利用用户轻信“邮件发件人名称”与“网页印象”
要想“成功”地进行phishing,必须让用户觉得:(1)“认为假冒邮件的发送者是著名企业”;(2)“以为假冒邮件中给出的链接可以链接到著名企业的网站”;(3)“以为链接到的网页就是著名企业的网页”。全部满足这些条件似乎非常困难,但实际上并不是很难。因为他们利用了用户过于轻信“自己的感觉印象”
首先是第(1)项,只要邮件发送者名称“差不多”,许多用户都会上当。例如,当显示“Citibank Support”与“support@citibank.com”等名称的时候,大都会以为是来自城市银行(Citibank)的邮件。邮件发件人名称(From地址)所显示的信息不过是正文的一部分,发件人可以随意编造。
关于第(2)项,如果使用的是HTML邮件,可以将实际链接对象(链接到假冒网页)隐藏起来。例如,正文中显示为 “http://www.citibank.com/”的部分可以链接为一个与显示内容毫不相干的假冒网站的URL。同样,对于第(3)项,只要将著名企业网页的图像数据搬过来,可以做得想有多像就有多像。再加上地址栏不显示出来,用户也就不会再怀疑是不是真正的URL了。
此外还出现了恶意利用邮件软件的安全漏洞,伪装状态条的phishing(见下图)。发到编辑部来的邮件中就有突破 Outlook Express安全漏洞并做了手脚的邮件。因此,尽管在状态条中显示的是以“http://www.usbank.com/”开头的URL(该URL实际上是美国城市银行的URL),但用鼠标点击后却进入到与该公司毫不相干的假冒网页上。
除此之外还有各种各样的phishing。在当前情况不能再相信“感觉印象”了。
突破邮件软件Outlook Express安全漏洞的phishing邮件。在显示链接对象的状态条下(画面最下方),显示的是以“http://www.usbank.com/”开头的URL,但点击后却链接到完全不同的另外一个网页上。
防范对策是“怀疑一切”
面对这些挖空心思诱人上当的phishing,最重要的是不要轻信邮件,也不要轻易点击邮件中的链接,尽量不在邮件链接的网页上输入个人信息。准备输入个人信息的网页,最好是亲自在地址栏中输入URL。如果能做到这些,就不用担心会被假冒网页欺骗了。
首先不要理会来路不明的邮件。绝对不要对邮件内容做出回应而去点击链接,更不能回复邮件。如果对邮件内容实在是难以定夺的话,通过“直接向这家公司打电话”或“登录该公司网页”来进行确认。但此时绝对不要使用邮件上提供的电话号码或URL。要使用自已查到的确凿可靠的公司电话号码或URL。
说起网络诈骗,目前在日本国内受害最多的还是“虚拟申请邮件”。实际上国民生活中心等已经全力提请公众注意。但正如本文开头所提到的那样,日本国内也开始出现phishing。何时流行只是一个时间问题。
自2003年以来,phishing在美国已经成为一项大问题。phishing的目的是盗取信用卡号码和密码等用户个人信息。被盗的个人信息不可避免地遭到恶意使用。phishing的基本手法如下:
试图进行phishing的人(被称作“phisher”)首先向大量非特定用户发送看起来像是来自著名企业的邮件。邮件正文含有诱导用户登录到某一指定网站的内容。在美国,phishing邮件大多采用“如果不立即登记,你的帐户很快就会失效。失效后将无法利用在线服务”等威胁性词句
用户赶忙点击邮件中的链接,出现一个与著名企业非常相似的假冒网页(见右下画面)。为了让用户深信不疑,假冒网页有时还利用真正网页作掩护。如果把个人信息输入到假冒网页上,这些信息就被发送到phisher那里。
假冒美国城市银行,试图将用户诱导至假冒网页的邮件。写有“为确认帐户,请点击以下链接,按照要求输入相应信息。否则帐户将会失效”的内容。正文中的URL是正宗的,但由于对链接做了手脚,点击后就会被链接到假冒网页。
点击左边画面后就被诱导到这个网页上。利用了真正网页上的画面,看起来与真正网页非常相似。另外,为了避免用户看清URL,网页不显示地址栏
利用用户轻信“邮件发件人名称”与“网页印象”
要想“成功”地进行phishing,必须让用户觉得:(1)“认为假冒邮件的发送者是著名企业”;(2)“以为假冒邮件中给出的链接可以链接到著名企业的网站”;(3)“以为链接到的网页就是著名企业的网页”。全部满足这些条件似乎非常困难,但实际上并不是很难。因为他们利用了用户过于轻信“自己的感觉印象”
首先是第(1)项,只要邮件发送者名称“差不多”,许多用户都会上当。例如,当显示“Citibank Support”与“support@citibank.com”等名称的时候,大都会以为是来自城市银行(Citibank)的邮件。邮件发件人名称(From地址)所显示的信息不过是正文的一部分,发件人可以随意编造。
关于第(2)项,如果使用的是HTML邮件,可以将实际链接对象(链接到假冒网页)隐藏起来。例如,正文中显示为 “http://www.citibank.com/”的部分可以链接为一个与显示内容毫不相干的假冒网站的URL。同样,对于第(3)项,只要将著名企业网页的图像数据搬过来,可以做得想有多像就有多像。再加上地址栏不显示出来,用户也就不会再怀疑是不是真正的URL了。
此外还出现了恶意利用邮件软件的安全漏洞,伪装状态条的phishing(见下图)。发到编辑部来的邮件中就有突破 Outlook Express安全漏洞并做了手脚的邮件。因此,尽管在状态条中显示的是以“http://www.usbank.com/”开头的URL(该URL实际上是美国城市银行的URL),但用鼠标点击后却进入到与该公司毫不相干的假冒网页上。
除此之外还有各种各样的phishing。在当前情况不能再相信“感觉印象”了。
突破邮件软件Outlook Express安全漏洞的phishing邮件。在显示链接对象的状态条下(画面最下方),显示的是以“http://www.usbank.com/”开头的URL,但点击后却链接到完全不同的另外一个网页上。
防范对策是“怀疑一切”
面对这些挖空心思诱人上当的phishing,最重要的是不要轻信邮件,也不要轻易点击邮件中的链接,尽量不在邮件链接的网页上输入个人信息。准备输入个人信息的网页,最好是亲自在地址栏中输入URL。如果能做到这些,就不用担心会被假冒网页欺骗了。
首先不要理会来路不明的邮件。绝对不要对邮件内容做出回应而去点击链接,更不能回复邮件。如果对邮件内容实在是难以定夺的话,通过“直接向这家公司打电话”或“登录该公司网页”来进行确认。但此时绝对不要使用邮件上提供的电话号码或URL。要使用自已查到的确凿可靠的公司电话号码或URL。
说起网络诈骗,目前在日本国内受害最多的还是“虚拟申请邮件”。实际上国民生活中心等已经全力提请公众注意。但正如本文开头所提到的那样,日本国内也开始出现phishing。何时流行只是一个时间问题。
分类: 在线支付 | 评论: 0 | 浏览: 177
本文链接地址:http://www.overseahosting.com/online-payment/op-008.htm
向上
- 
返回 - 
发表评论
相关文章
警惕网络欺诈伎俩“phishing”
网络钓鱼揭秘:钓鱼者的三种典型攻击手段
有关PayPal的常见问题
PayPal注册和使用中文教程
信用卡相关术语
主要国际信用卡组织介绍
本文链接地址:http://www.overseahosting.com/online-payment/op-008.htm
向上
-
返回 - 发表评论 相关文章
警惕网络欺诈伎俩“phishing”
网络钓鱼揭秘:钓鱼者的三种典型攻击手段
有关PayPal的常见问题
PayPal注册和使用中文教程
信用卡相关术语
主要国际信用卡组织介绍
Bluehost.com
Hostmonster.com
HostGator
Lunarpages
Godaddy.com
(C) 2006-2009 OverseaHosting.com 技术支持:梦想家网络工作室