IsaacZ 发表于 2006-2-27 12:29:34

网络“钓鱼”的骗子们进化了



网络“钓鱼”骗局的骗子们正在进化,他们更加聪明了。
  “钓鱼”骗局是黑客们采用的一种技术,它们用电子邮件将用户骗到看起来极其真实的假冒网站,比如你开户银行的网站。一旦用户登录,被骗者会无意识地披露个人财务信息,“钓鱼”骗局骗子用这些信息进行电子商务欺诈并实施身份欺诈和盗窃。由于一些知名度很高的“钓鱼”攻击事件,现在绝大多数人对这些骗局有了警觉。
  但现在骗局有了更加少见的发展。在新骗局中,电子商务企业可能成为无意识的帮凶,因为即便是最聪明的网络用户也无法察觉这种骗术。这种“混合”式“钓鱼”骗局利用人们所信任机构的合法网站,而不是假冒网站和虚假的URL地址。结果是,即便那些最谨慎的用户也不可能分辨出作为威胁的假冒链接。
  新骗局将传统的骗局方法与另一种技术结合起来,即所谓的网站交叉脚本,它可以导致重大危害,方法是在被攻击者的浏览器上执行非法脚本程序。触发器就是电子邮件内嵌脚本的链接。
  在点击电子邮件后,被攻击者被发向某个合法的网站,恶意链接在合法网站上执行若干动作,例如生成一个弹出的注册窗口,一旦登录,黑客既可以进入网站,也可以得到被攻击者的个人信息。该链接还将特洛伊木马或病毒上传到用户电脑上。
  “钓鱼”骗子甚至还采用网站交叉脚本损害网站,他们将其他网站正常显示的图像嵌入被攻击的网站。由于脚本程序无法在服务上安装,被攻击的公司不知道它们的网站和品牌已经被损害,直到访问用户通知后才了解情况。
  根据趋势科技的统计,金融网站是钓鱼黑客最喜欢攻击的对象,因为可以直接获得金钱。而花旗银行、eBay、美国银行(U.S. Bank)及Paypal是全球范围内四大被攻击的对象。但目前,网络钓鱼的骗子们正将目光移向非英语系国家。
  网络钓鱼信件通常有两大特征,首先,诈骗者信件的用字遣词或文法看起来水准不高,甚至还可能出现错字,不像是金融机构会犯的错误。其次,钓鱼信件上面提供的连接网址虽然看起来是属于某知名企业,但鼠标移上去之后先不要点,许多邮件软件就会出现该连结真正的位置,一旦发现不是原企业,就完全不需要理会。使用者如果收到信件之后,无法确认真伪,也可以自己在浏览器上输入该公司的网址。
  美国网络钓鱼防犯小组APWG也提醒,从今年下半年开始,除了以伪装成知名网站来骗取账号密码的钓鱼手法外,有愈来愈多诈骗者会自己设立1个看起来十分平常的贷款、药品、网络银行等网站,让使用者丝毫没有戒心,以为是在1个新的网站交易,却因此泄漏了自己的姓名、地址、电话、信用卡卡号及认证码。
如果你怀疑某些信件可能是诈骗集团所为,可使用趋势科技网络钓鱼诈骗案件申诉信箱:antifraud@support.trendmicro.com

客人 发表于 2006-2-27 23:16:40

现在的 杀毒 软件 已经能解决掉这个问题了吧

IsaacZ 发表于 2006-2-28 04:34:07

杀毒软件只是针对病毒和木马,解决不了“钓鱼”的问题。需要我们自己擦亮眼。
页: [1]
查看完整版本: 网络“钓鱼”的骗子们进化了