网络钓鱼 (Phishing)一词是Phreak(偷接电话线的人)的前两个字母ph取代fishing(钓鱼)的f之后的结合体,属于以“社会工程学”结合电脑科技的犯罪手法。其实Phishing并不算是一种新的入侵方法,入侵者通过技术手段伪造出一些以假乱真的网站,诱惑受害者在伪造湾站上“自愿”交出重要信息或被窃取重要信息的手段。
经近一段时间的“315”打假,网站打假也正在如火如荼的进行中。打假过程中,用户反应最为强烈的依然是网上银行的安全系统。近日,通过上海金融报的调查结果显示,排列前四名的银行诈骗事件分别是下面四种,而网络钓鱼“荣获冠军”:
一、通过“冒牌网上银行”(钓鱼网站)进行诈骗。
二、用手机短信、媒体广告抛出“贷款诱饵”诈骗。
三、冒充国家公职人员或银行专业人士进行诈骗。
四、利用朋友等亲密关系,套取客户资料后盗取资金。
在春节过后的这段时间里,钓鱼攻击的电子邮件的数量没有明显增长,但不代表那些不法之徒已经开始退缩,而是在选择和研究更有效地击中目标的方法。自从今年开始以来,网络钓鱼攻击已经具有了攻击性更强和技术更隐蔽的特点。
微软IE7带来的安全感
网络钓鱼与其它攻击行为的主要取被是入侵者并不需要主动攻击,他们摆出一幅“姜太公钓鱼,愿者上钩”的姿态。在诈骗手段上,最主要方式是使用“垃圾邮件”,在电子邮件成为当今主要联系方式的同时,即使是大海捞针的行为,也能捞起一两根针的。这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页,例如:我最近常收到一些“ADSL交费邮件“,或者提示“朋友赠送礼品”邮件等,大量“忽悠”的邮件充满了我的公开邮箱。有个朋友告诉我,他为了一探究竟,在充分准备防毒软件和加固系统后,登录了这些网站,不过他们都要求提交用户名、密码、身份证号、信用卡号等信息,他实在不敢在拿包里的钞票做游戏了。另外,最近还听说有些假冒慈善机构名义募款的网站出现,真可谓丧尽天良。
Internet Explorer 7正式版推出后,给了我们很大的希望。它与以往任何一个版本的IE有了显著的变化和改进,尤其增加用户保护状态,即使黑客入侵了IE也不能全面控制机器,从而提高了操作系统的整体安全性。我们应该承认,IE7在广告拦截能力上有了很大提高,而且除去加密网页的警告方式改变之外,新增的反钓鱼检测功能,让我们在一段时间里拥有了一丝安全感。
与病毒感染一样,普通用户只会在浏览器遭到修改和欺骗之后才发现问题。他们的IE主页和网络搜索已被设置为其它网站,到处都是弹出的窗口,收藏夹里尽是色情网站地址,而且要想完全修复这些问题,既费时又费力。随着时间的推移,很多用户根据实际应用后,感到IE 7这些新增的安全性的并不能代替其他安全产品,单独的依靠IE7的安全性去挑战数不胜数的钓鱼攻击,显得势单力薄。
