实际案例:
某天,喜欢在网上购物的黑仔收到了一封貌似某网络购物网站寄来的帐号更新邮件,因为黑仔整天在此网站进行网络购物,所以没有提防该信件是否存在病毒就打开查看了,从信中黑仔得知,因为改网站的政策规定,必须要核对每个用户的真实身份,以便确认网站用户的真实身份是否有假,所以在接收到此信息的时候,请按照给予的地址访问网站,输入自身的个人信息以及网站的帐号以及密码.看邮件的布局以及信件内容来说,黑仔并没有发现什么问题,为了更深层的确认邮件的真实性,我们必须要查看邮件的原始信息.从原始信息来看,我们可以很容易的发现,邮件的图片都是来自于那个网站的,而且并没有什么特别之处, 但是有一点令人感觉不解的是,是不是因为太过着急了?新建的Title竟然是一个与此内容不相关的题目,而且更新地址竟然是一个不知道哪里来的地址,就是这个地址令黑仔感到不解. http://66.35.***.**/.us/index.php?MfcISAPICommand=3DSignInFPP.凭着黑仔这么多年的网络经验,涉及大型银行或者是网络购物的网站来说,用户的帐号密码是关系到用户自身的财产安全,一个普普通通的地址竟然是用来更新网站用户的资料,有点不正常不像是大型网站的做法.黑仔的意思是每个金融机构的网站,在涉及敏感信息的情况都不会使用HTTP协议的HTTP协议(Hypertext Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。这就是你为什么在浏览器中看到的网页地址都是以“http://”开头的原因。因为超文本协议的不安全性,所以都是采用HTTPS进行交互访问的.
HTTPS 是一个安全通信信道,它基于HTTP 开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层 (SSL)进行信息交换,简单来说它是HTTP 的安全版。而SSL就是Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯 的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。虚假邮件钓鱼的可识别性,总体来说对比起虚假网站来说还是比较容易识别的,因为地址的来源,以及邮件的原始信息分析,我们就可以得到邮件的真伪,而且邮件服务商自身也会帮你进行过滤的.
(3) 利用各种各样的特洛伊木马进行钓鱼式攻击
在利用虚假网站钓鱼的掩护下,很多钓鱼者都会在虚假的网站上面留下木马,这些网站只是在内容当中相似,但是并不会盗取或者诱骗用户提供信息,而是利用网站诱骗访问者下载网站组件或者是软件,利用这些虚假组件或者是软件对用户的计算机进行控制,或者利用键盘木马来盗取用户相关的帐号以及密码.防御方法其实很简单,就是安装杀毒软件以及防火墙,千万别相信网站所说的什么组件,在你不使用该网站服务的前提下,千万别下载或者安装任何的程序,避免导致主机被种植木马
(4) 利用IM程序进行网络钓鱼式攻击
最近,连我们广州的某些电视新闻报道也报道了关于IM程序被实施网络钓鱼的案例,钓鱼者利用发布虚假信息以及结合网站进行网络钓鱼攻击.
即时消息传递,通常称为IM.是一种类似电子邮件的联机通信方式.顾名思义,主要区别是IM 具有即时性.IM需要特殊的软件程序(如 Windows Messenger、MSN Messenger、AOL Instant Messenger、Yahoo Messenger 等).使用这些程序,您可以在对话框中输入要说的话,您的朋友几乎可立即看到您输入的内容.您也可以立即看到朋友输入的内容.使用IM程序进行通信具有一些与使用电子邮件相同的安全和隐私风险,但值得一提的是,有些风险较为独特.
当用户在使用IM程序的时候,钓鱼者就会利用虚假信息欺骗用户,然后让用户在交谈的时候泄漏自身的敏感信息.
案例分析:
[14:20:47] 客户服务(1) 对 我 悄悄说:
尊敬的用户,您好:现特举行幸运用户的评选活动,经过随机抽选,您的游戏帐户已经被幸运用户号码.恭喜您!您可以获得本公司送出的奖品.请您接收到此消息后联系客服工作人员的QQ:422801957联系领取您所获得的奖
钓鱼者 12:18:02
您好.这里是QQ客服中心.请问您是收到系统温馨消息提示的幸运用户吗?
被钓者 12:16:54
是啊
钓鱼者 12:18:42
请问您的腾讯QQ号是多少,QQ昵称叫什么?
被钓者 12:18:10
61**** ****
钓鱼者 12:22:50
请您到我们指定的中奖活动首页填写表格: http://***.***.cn 并按提示办理,
或是通过客服进行填写表格.
被钓者 12:22:34
能不能使用电话进行填写啊!?我比较不想打字啊
钓鱼者 12:25:10
公司领导为了提高人工客服质量。所以此次活动是不提供任何电话的。
被钓者 12:25:11
那好吧,有什么需要填写?!
钓鱼者 12:26:42
请给予你的身份证号码 住址 出生年月以及你的联系电话
被钓者 12:25:32
地址是:******************
身份证:******************
出生年月:********
电话号码:************
钓鱼者 12:27:39
好的,你的表格已经填写完毕了,您应该清楚你中奖的事项吧?
被钓者 12:35:25
中奖5000元,但是不清楚是如何取得?
钓鱼者 12:36:54
因为本次活动是由***公司赞助,支持,奖金是他们给予您的,我们是不可以扣除奖金的.所以你可以选择网上转帐,因为***公司只接收网上转帐,实在太多用户中奖了.
被钓者 12:35:43
那好的,我给你我的帐号.
**银行帐号:**********************
钓鱼者 12:37:43
奖金会在三天之类转入您的帐号,请您在三天之后查询是否已经转帐.
从这里就可以看出,当钓鱼者拿到帐号以及你的个人信息之后,他就会利用这些信息去组合你银行帐号有可能会使用的密码,从而盗取帐号上的资金.
当你收到这些信息的时候,首先一定要理智的去判断,千万别给物质所吸引.应该去官方查看有没有相关的服务,然后应打电话去官方的客户服务部咨询之后,方可决定是否提交自身的信息.
网络钓鱼攻击是社会工程学当中较为常用的手法,基于人性脆弱一面进行攻击,当我们受到这样子的攻击时,应该冷静的去想面对的问题,用理智的想法去判断.然后借用查看官方的信息来分析是否存在这样子的业务或者活动.然后对于虚假邮件以及虚假网站应该借用邮件过滤工具以及一些安全网站所发布的信息来进行分别. 上一页 1 2 |
安全中国首页 > 文章中心 > 社会工程学