网络钓鱼术大盘点:俺聪明,俺不上钩!
“要观看免费成人电影吗?”“想看港台明星清凉写真吗?”“想免费参加新马泰十日游吗?”网络上的诱惑无处不在,令人心荡神摇。然而,各位要注意了,碰到这样的诱人邀请,可千万别急吼吼地点击鼠标,因为,这也极可能是那些网络钓客们所设下的陷阱!弄不好,转瞬之间,你的个人信息、公开信用卡号码和网络银行等资料可能就被全部窃走啦!
忘记是哪位高人说的了,网络就像一把双刃剑。的确,现在人们不需现身也能在网络进行任何形态的商业交易或享受各种服务。但不可避免的是,这项技术在为人们带来便利性与高效率的同时,也为某些从事不正当行为的人提供了另一条获取利益的渠道。网络钓鱼 (Phishing) ,这项骇客盛行的线上运动,就是利益取向的产物。
网上攻击幕后的黑手不会和其它恶意程序制作者竞逐声名,因为他们想要获得的不是“破坏”的快感,而是实实在在的利益,所以他们宁可将时间和精力投注在技巧的开发及改进上,以增加成功窃取更多宝贵信息的机会。不过颇具讽刺意味的是,网上诈骗得逞的机率跟技术难度并非有绝对关系。我曾经看到过一篇文章,上面提到趋势科技对这一问题的统计和分析:有76% 的网络钓鱼诈骗案件,采用的是清楚呈现的网络钓鱼 URL的「诈骗网址公开法」。这个数字令人十分惊讶,因为这种技巧或许是最容易被侦测到的,但事实上使用者并未详细阅读讯息!显然,人为因素才是唯一无法弥补的漏洞。
以下是趋势科技所分析归纳出来的5种网络钓鱼常用手法,我老人家不辞辛苦将其抄录下来跟诸位网友分享一下:))
5 种网络钓鱼常用技巧 ,依照技术复杂程度顺序排列:
1. 诈骗网址公开呈现- 诈骗技巧难度:
这或许是最容易辨识的技巧。在这种技巧中,诈骗者完全不试图隐藏实际的网络钓鱼 URL,因此在网址列中可清楚看到网络钓鱼 URL。有时诈骗者还会使用看似一般正常网域的网域名称。
2. 伪造网址列:- 诈骗技巧难度
这种技巧会改变浏览器的网址列,在网址列显示一般正常的网址。整体呈现的效果就像是一个背景为白色的文字对象遮住网络钓鱼 URL,上面显示一般正常的银行网址。然而,只要检查网页的内容窗口即可看出伪造网站的真正网址。
3. 使用弹出式窗口- 诈骗技巧难度
这种技巧会利用指令码 (script) 在背景开启一个正常的网站。而伪造的弹出式窗口通常与正常网站没有差别,而且是在背景开启。它会让使用者误认为弹出式窗口与官方正式网页有直接关联。有时弹出式窗口只会遮住正常网站的一部分。
4. 在网络钓鱼邮件中使用窗体 ––诈骗技巧难度
有时收到的网络钓鱼邮件是 HTML 格式的邮件。其中包含用来收集使用者个人/帐户信息的嵌入式窗体。被窃取的详细信息通常会传送至特定的电子邮件地址,或张贴至特定网站中。
5. 伪造网站 –诈骗技巧难度
这种技巧会花一些工夫制作与被信任的真正网站一模一样的复本。伪造的网站与真正的网站外观完全相同,甚至连最微小的细节都不会遗漏。伪造的网站中所显示的连结都属于同一个网络钓鱼网域。
如何避免上钩
俗话说:防人不如防己。俗话还说:他有千条妙计,我有一定之规。我老人家认为,大家只要小心防范,就不怕他陷阱重重。透过 Internet 传送敏感信息之前,请先确定网站的数据传输会经过加密。每一次都要检查地址列中是否有 https (而不是 http),以及状态列中是否显示门锁图标。在安全锁图标上连按两下,检查安全凭证与进入的网站是否相符。
但俗话又说了:魔高一尺,道高一丈。上面的指南毕竟是仅供参考,有些钓鱼网站已着手仿冒,因此谁也不能完全保证网站的真实性与安全性。我的建议是,一般家庭使用者应该考虑安装类似趋势科技PCC的防毒软件。理由:其个人数据保护对策创新的「反网络钓鱼防护」,能有效过滤和封锁网络诈骗邮件和行为,避免隐私资料不慎外泄;更可透过「私密资料防护」功能,主动封锁和拦截外送的个人私密资料,包括信用卡、游戏帐号或身分证等等。饶舌一句:这可是俺的独家秘籍,一般人俺不告诉他!
