保护自己 六大网络钓鱼骗术揭秘
姜太公钓鱼,愿者上钩,在一些人眼中,芸芸众生便是他们要钓的鱼,当然钓的不是你本身而是你口袋中的钞票,网络钓鱼(Phishing)便是在网络上为你设下圈套,让你“自愿”上钩,通过处心积虑的技术手段伪造出假可乱真的网站、E-Mail、短信等信息来诱惑你 “自愿”交出或被窃取重要信息(如银行账户密码)。这并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,成为近期最威胁网络安全的方法之一。网络钓鱼有社会工程学的影子,虽然都是骗人的手段,但是与之相比,它更趋向于电脑信息技术方面。
网络骗术揭秘1:假金融网站、电子邮件、短信守株待兔上网“垂钓”
案例重现:
2006初春3月,清晨阳光明媚,小马到公司后打开自己电子邮箱,发现收到“工商银行”为了加强账户安全而升级系统,请各位客户尽快重新设置账户密码的电子邮件,邮件末尾还给出了设置密码的URL链接,小马不敢怠慢,立刻点击进入更改密码,而后泡上一杯咖啡便开始工作,下午下班到家,登陆自己网上银行却发现卡内5600元现金不翼而飞,卡内余额仅剩利息零头,不足1元。
骗术揭秘:稍有网页制作知识的人都知道在HTML语言中URL链接特性,如链接的显示文字是“××银行”,你却可以将实际链接指向http://www.It168.com来访问It168网站,同样在小马收到的电子邮件中链接显示的文字为“http://www.icbc.com.cn/account/index.asp”,而实际却链接到http://www.1cbc.com.cn/account/index.asp页面,当然此页面伪造得与真正银行页面完全一致,但是它的“更改密码”却是把账号和密码发送到了幕后的“垂钓者”手上,然后“垂钓者”登录上真正的网络银行改了受害者设置的密码,并顺手牵羊把银行账户里的存款转移掉。
伪造互联网网址、使用与银行等金融机构相近或相似的域名进行钓鱼诈骗是网络钓鱼的最初形式,也是最常见和最容易被人识破的网络诈骗手法。诈骗者可以被动地通过直接伪造互联网网址、使用与银行等金融机构相近或相似的域名来“等你上钩”;也可以主动地以银行、公安等名义向公众散发短信、电子邮件等,急切要求你对某些关系到个人切身重大利益的事迅速做判断,很多人下意识地按照对方提示进行操作以致受骗。
如何防范?
① 升级IE浏览器7.0,新版IE浏览器自带反网络钓鱼功能,在IE7浏览器中单击菜单“Tools→Phishing Filter”,在弹出的下拉菜单中选择“Turn On Automatic Checking”来开启它。
② 给IE6.0浏览器打补丁:
1.使用瑞星卡卡助手可以帮助你屏蔽恶意网站、钓鱼网站,下载地址:http://tool.ikaka.com/,如果你遇到了恶意网站或钓鱼网站还可向卡卡助手报告以丰富卡卡助手的恶意网站数据库,从而保护更多网友,避免大家的损失。
卡卡上网安全助手
2.使用雅虎助手,在其“安全防护→反钓鱼专家”中勾选 “启用上网助手反钓鱼功能”项就可让IE6.0也具有反钓鱼功能,另外,多使用雅虎助手提供的银行直达功能来访问网上银行。
3.许多网友不喜欢“霸道”的雅虎助手(原3121上网助手 )如果不喜欢雅虎助手,可以为你的IE浏览器安装MSN Search Toolbar,其同样具有反钓鱼功能。
反钓鱼功能
③ 硬件级的保护:到银行购买安全锁(即U盾,内含智能芯片,形状大小类似U盘)。在登录网上银行时,需将U盾插入电脑USB端口并输入U盾密码,如不小心泄露了网上银行用户名和密码,只要U盾仍然掌握在自己手中,或者连U盾也丢失但U盾的密码仍然掌握在自己手中,他人都无法登录你的网上银行。 骗术2:只上正规大站也遭黑
网络骗术揭秘:随着媒体对网络钓鱼的揭露,用户们对银行等网站逐渐警惕起来,使用各种反钓鱼技术让浏览器只访问正规大型商务或门户网站,普通钓鱼手段越来越没有市场,可即使用户访问的是真正的商务站点,也难逃个人隐私银行帐号泄露的厄运,难道门户网站也有假?
其实这是由于“垂钓者”利用“跨站攻击”技术在真实网站上插入恶意链接,用户即使再细心也很难发现暗藏的杀机,这种攻击手段又被称为“鸡尾酒钓鱼术”,具体定义如下:“跨站攻击是指入侵者在远程Web页面的HTML代码中插入具有恶意目的的数据,使得用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。”
例如利用HTML语言允许使用脚本进行简单交互的特性,入侵者通过技术手段在大型网站某个页面里插入一段获取用户Cookie的恶意HTML代码,使浏览者蒙受损失。在大型博客网站发布带有恶意脚本的博客日志,或者在大型商务论坛发布带有恶意脚本的帖子都可以轻松获取用户隐私资料。另外,抓住IE浏览器的设计漏洞,利用特殊的跨站攻击脚本代码让页面弹出一个设计时根本不曾有的网页对话框,它要求用户输入密码或诱使用户点击其中诈骗链接,用户一旦上当往往认为是这些正规大站欺骗了他们,而向无辜网站兴师问罪。
如何防范?
① 打开WindowsXP的“自动更新”功能,随时缝补IE浏览器及系统漏洞,强烈建议非WindowsXP SP2升级至最新版本。
② 使用Maxthon等具备广告过滤、弹出窗口过滤、对话框过滤功能的第三方浏览器。
③ 打开IE浏览器,执行“工具→Internet选项”命令,切换到“隐私”标签,将“设置”中滚动条拖至“高”或“阻止所有Cookie”项,WindowsXP SP2用户一定要确保勾选“阻止弹出窗口”项。
网络骗术揭秘:几乎每个手机用户都接收到过“恭喜你,中奖了,而且是大奖”的短消息,几乎每个电子邮箱用户都接收到过“恭喜你,中奖了,而且是大奖”的电子邮件,几乎每个QQ号码都接收到过“恭喜你,中奖了,而且是大奖”的陌生人消息或“系统”消息,当你与对方联系领奖事宜时,被告之要交纳个人所得税,邮寄费,保证金等“合理”费用,交则大奖给你,不交则大奖没收。
如:
如何防范?
对中奖短信等消息一概不予理睬,或在与对方联系领奖时坚决要求从奖项中扣除个人所得税,邮寄费,保证金等费用,决不向对方邮寄一分钱。骗术4:“免费电影”看不得
网络骗术揭秘:速度越来越快的ADSL宽带服务使在线看电影成为可能,而免费在线电影的数量却是凤毛麟角,在Google搜索引擎上以“免费电影”做为关键字搜索会“约有18,300,000项符合免费电影的查询结果”,点开其中链接的网址却发现不但弹出一大堆广告页而且还要你输入手机号码取得验证码,看在“免费体验”四字的份上按照屏幕提示一一照做,手机费却少了不少。
这些“免费电影”网站多以色情淫秽电影为诱饵,甚至有贼人将网页存放到著名博客网站上,一来博客网站不收取建站费用二来还增加了URL网址可信度,让人防不胜防。
如http://zx01.bokee.com/inc/;
http://blog.yesky.com/blog/lianliankan/category/11000.html
如何防范?
不将自己的手机号码泄露到网上,不向任何标榜“免费”的网站提供自己的手机号码和验证码,特别要警惕个人博客网页,不要误以为博客网站上内容全部由博客提供商负责。 骗术5:网上赚钱,美丽的谎言
网络骗术揭秘:“穿着睡袍当老板,坐在家中稳赚钱,喝着咖啡看网页,轻轻松松赚大钱!”,你心动了吗?那就赶快加入网上赚钱一族!是不是经常在网络上看到这样的广告,连用BT下载的电影压缩包中也夹带着这样的“牛皮癣”。
“网上赚钱”对于热爱网络的人来说是个美丽的梦想,但天上掉馅饼,网上掉钞票的好事却不是能人人碰上的,绝大多数人加入“网赚”一族,为之忙活数月后就会发现这竟是竹篮打水---- 一场空!这是因为你所挂靠的广告代理网站非法对外发布广告代码,将这些广告代码加载到你的网站或电脑上,所做的一切都是只为他做了流量,而你不会得到一分钱。
更可怕的是要下载某软件获得“推广费”,而当你使用这些软件时,软件偷偷关闭你与ISP的连接,而接上国外的长话拨号台,使用户支付巨额国际长途话费。
如何防范:不可否认有一部分“网络赚钱”的确可行,如个人站长在自己的主页添加Google AD,但一分耕耘一分收获,那里有不劳而获凭空赚钱的好事。遇到“网络赚钱”的网站应该着重看它是否是传销,以发展下线为运作模式,碰到这样的“老鼠会”型网络赚钱千万不能加入。骗术6:清仓大甩卖,超低价格销售商品
网络骗术揭秘:用网上店铺超低价格吸引消费者购买,其在网上明示的商品价格最低相当于市场价格的四五折,等款汇到后,千方百计想尽各种理由诱使消费者继续汇款,消费者却迟迟拿不到货品,上当受骗。这些骗子网站的网页上给出的地址都是一些比较大的地址,没有具体详细的地址,甚至是虚构的地址。
如何防范:
①用鼠标点击检查网站首页最下方的红盾工商标志或ICP经营标志是否真实有效,如果能链接到工商行政部门备案网页,还应注意检察是否与网站名称、经营内容相符。
②向网站支持信箱发送涉及网站建设方面的问题或建议,正规网站往往很重视这方面的建议,一般都会认真回函,而骗子网站则会只顾赚钱,而对你的邮件不予理睬。
网络钓鱼因其严重危害网民利益和互联网信誉体制,越来越多地受到人们的关注,国际上已经成立反网络钓鱼工作小组(APWG,Anti-Phishing Working Group),这是一个联合机构,拥有大约800名成员,他们来自约490家金融服务公司、技术公司、服务提供商、国家法律执行机构和立法机构,这些机构的职责是向产业股份持有人提供一个保密论坛以讨论网络钓鱼问题。反网络钓鱼工作小组通过召开会议以及成员之间的电子形式的讨论,努力从硬成本和软成本两个方面来定义网络钓鱼的范围,分享信息和最佳操作模式以消除存在的问题,希望在不久的将来,彻底消灭网络钓鱼陷阱,还给大家一个真诚、诚信的互联网。
- 最新评论