钓鱼网站常用的诱饵及方法
作为一种黑客的攻击手段,网络钓鱼的整个过程中一般不存在病毒木马等恶意软件,网页或软件的所有代码都是合法有效的,黑客仅仅使用了一个假冒正规网站的网页来完成他们的攻击。
之所以称其为“钓鱼”,原因很简单,因为这种攻击手段和真正意义上的钓鱼有着很多共同点,
也会释放一个诱饵通常是仿冒的网页,诱使网民上钩,从而得到用户的敏感信息与金钱。
作为一种黑客的攻击手段,网络钓鱼的整个过程中一般不存在病毒木马等恶意软件,网页或软件的所有代码都是合法有效的,黑客仅仅使用了一个假冒正规网站的网页来完成他们的攻击,这种社会工程学手段这让传统的杀毒软件对其几近于无可奈何。简单的攻击达到了丰厚的回报,也因此这种攻击模式在近期迅速崛起成为中国互联网上的最大威胁之一。作为用户,我们如何去应对这种挑战,而安全厂商现在能否来一同帮助用户?
既然要进行网络钓鱼,当然离不开诱饵。一个能够吸引用户的好诱饵是一个成功钓鱼的第一步也是最重要的一步。目前,国内网络上最常用的诱饵不外乎两种:通过搜索引擎竞价排名来进行欺诈和利用与信息诱骗用户。
找到引诱用户的诱饵之后,就是想尽办法欺骗用户中招了。接下来就为大家介绍八种常用的钓鱼手法:
如去年2月份发现的一种骗取美邦银行(Smith Barney)用户帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。
当用户点击链接时,实际连接的是钓鱼网站。该网站页面酷似Smith Barney银行网站的登陆界面, 用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。
美国联邦贸易委员会最新公布的《扫荡网络诈骗》报告中,列举了全球十大最流行、最猖獗的网上欺诈手法,其中以网上拍卖名列榜首,受害人大多数是中标付款后却收不到商品。据2002美国全国消费者协会调查,去年一年,美国有41%的网上拍卖交易买方投诉被骗,人均损失326美元。而据IFCC调查,网上拍卖活动中发生的诈骗案件占全部网上诈骗案件的43% 。
这种最直白的行谝手法居然在我国也大行其道。山东泰安的王先生,他在雅宝拍卖网上通过网上竞价的方式购买了一部Nokia8810手机。汇款给卖主后,王先生就和这位名叫“kiss590069”的物主失去了联系。后经调查发现:这位“kiss590069”还通过类似的方法,骗取了另外四位网友的钱。在警方的介入下,才得以挽回了损失。类似的案例在网上比比皆是。
犯罪分子建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,来窃取用户的真实信息。
[page] 例如,曾出现过的某假冒银行网站,网址为而真正银行网站是,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。
从事这类网络诈骗活动的不法分子,大都采用在知名电子商务网站如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种商品。很多人在他们低价的诱惑下上当受骗。
由于网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,等到钱款或他们的伎俩被识破时,就立即切断与消费者的联系。
木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金必然受到严重威胁。
去年网上出现的、盗取某银行个人网上银行帐号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和密码,从而突破软键盘密码保护技术,严重威胁网上证券交易安全。
网址欺骗是网络骗子利用人们很难记住众多网址的特点,采用以假乱真的手法进行的又一种 “网络钓鱼”诈骗活动,中国一名捐款者用搜索引擎查找到一个名为“中华慈善总会”的网站结果却发现真网址应该为chinacharity.cn。前者比后者只多了个net,已经完全到了以假乱线、利用手机短信进行诈骗
手机的普及使犯罪分子觉得利用手机短信进行诈骗,十分方便而又快捷。于是,近年来利用手机短信进行诈骗的活动猖獗起来。 由一部储存着手机号码的电脑控制的“群发器”,平均3秒就发出一条短信息。
而更令人震惊的是,被视为高度机密、连警方办案都提取不到的各省市移动电话号码分段表,在犯罪分子的电脑里居然可以查到。不仅如此,作案者的电脑里的控制软件还有自动识别功能。尾数为“8888 ”等吉利数字的手机,给它发出的短信“中奖奖品”起码是一辆汽车。软件设计者显然知道,用数字吉利的电话号码者多是有钱人。而这些犯罪嫌疑人利用自制的手机***器,在1分钟内就可以向全国各地发出一万条诈骗信息,如果一万个人中有几个人上当,他们的收入就很可观了。
不法分子利用部分用户贪图方便的特点,在一些网站设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻到某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解了弱口令,并屡屡得手。
了解了这些钓鱼的方法,我们当然要问,如何解决这些问题?解决问题的方法当然有很多,比如zf的打击、搜索引擎供应商的安全检查等等,但是这些都不是我们用户所能主导和控制的,从网民的层面如何去保障安全,借助一些技术手段颇不失为一种良方。