网络钓鱼:
“密码钓鱼钓鱼”一词描述的是通过欺骗手段获取密码、信用卡详细信息等敏感个人信息的攻击方式,通常是可信方假装确实需要此类信息。最典型的钓鱼攻击是通过精心设计,将收件人引诱到与目标组织的网站非常相似的钓鱼网站,获取收件人在该网站上输入的敏感个人信息。通常,这种攻击过程不会提醒受害者。这种个人信息对黑客很有吸引力,因为它使他们能够通过冒充受害者进行欺诈性的金融交易,从而获得经济利益。受害者往往遭受重大经济损失,或者所有个人信息被窃取并用于犯罪目的。
钓鱼网站:
欺诈网站通常可以通过网络钓鱼邮件或即时通讯工具提供的链接访问,其外观与知名网站非常相似。
所谓“钓鱼网站”,是指犯罪分子利用各种手段,伪造真实网站的URL地址和页面内容,或者利用真实网站的服务器程序漏洞,在网站的某些网页中插入危险的HTML代码,从而骗取用户的银行或信用卡账户、密码等个人信息的一种在线欺诈行为。“钓鱼网站”的频繁出现严重影响了在线金融服务和电子商务的发展,危及公共利益,影响了公众使用互联网的信心。
钓鱼网站页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说,钓鱼网站的结构很简单,只有一个或几个页面,网址和真实网站略有不同。
最典型的钓鱼攻击是通过精心设计将收件人引诱到与目标组织的网站非常相似的钓鱼网站,并获取收件人在该网站上输入的敏感个人信息。通常,这种攻击过程不会提醒受害者。这种个人信息对黑客很有吸引力,因为它使他们能够通过冒充受害者进行欺诈性的金融交易,从而获得经济利益。受害者往往遭受重大经济损失,或者所有个人信息被窃取并用于犯罪目的。
网络钓鱼实际上是互联网上的许多骗局之一。因为它的手段基本上就是利用一些诱饵(比如假网站)和其他用户通过互联网被忽悠,与现实生活中的钓鱼过程非常相似,所以被称为“网络钓鱼”。它最大的危害是会窃取用户银行卡的账号、密码等重要信息,使用户遭受经济损失。
网络钓鱼是一种试图通过发送大量声称来自银行或其他知名机构的欺诈性垃圾邮件来引诱收件人提供敏感信息(如用户名、密码、帐户标识、ATMPIN代码或信用卡详细信息)的攻击方法简单介绍。最典型的钓鱼攻击是通过精心设计将收件人引诱到与目标组织的网站非常相似的钓鱼网站,并获取收件人在该网站上输入的敏感个人信息。通常,这种攻击过程不会提醒受害者。这种个人信息对黑客很有吸引力,因为它使他们能够通过冒充受害者进行欺诈性的金融交易,从而获得经济利益。
现有的国内治疗机制难以有效制止。工业和信息化部、公安部对“钓鱼”诈骗设立了专门的监管机构。其他各大部委也有专门的监管机构负责行业内的网络安全管理。然而,由于“钓鱼网站”的频繁发生,现有的处理机制很难及时有效地阻止“钓鱼网站”。在“中国反钓鱼联盟”成立之前,国内没有任何机构协调这个问题。
中国反钓鱼联盟的成员包括中国工商银行、中国农业银行、中国银行、中国建设银行、华夏银行、中国光大银行、银河证券、腾讯、淘宝、支付宝等数十家金融机构和电子商务网站,以及中国王湾、中国企业动力、厦门中资源、厦门华商史圣、阿里巴巴、中国博创等国内主要域名注册服务机构。“中国反钓鱼联盟”不是官方机构。其成员包括域名管理机构、注册服务机构,以及银行证券、电子商务、网络安全等企业。其目的是发现和管理“钓鱼网站”,主要针对假冒其成员单位的“钓鱼网站”。联盟收到涉及联盟成员的投诉后,权威技术鉴定机构会立即进行判断,一旦确认,将在两小时内暂停其域名解析,终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”带来的危害。目前联盟的成员单位还是有限的。对于层出不穷的“钓鱼网站”,国内反钓鱼网站协调机制和反钓鱼网站综合管理体系建设有待进一步推进。此外,国家相关法律法规有待进一步完善。
钓鱼大多是关于你的银行账号、密码、信用卡信息、社保卡号和你的电子货币账户信息。Paypal、yahoo Mail、gmail等为用户提供的免费邮件服务。请记住,这些正规公司绝不会要求你通过电子邮件提供任何信息。如果您收到类似的信息请求,或者您的电子邮件中有指向网站的链接,这一定是网络钓鱼诈骗。
专家提醒,网民在搜索信息时,要特别注意由非标准字母和数字组成的CN网站。最好禁止浏览器运行JavaScript和ActiveX代码,不要去不太了解的网站。
钓鱼网站就像垃圾邮件,钓鱼是一种未经授权的电子邮件形式。虽然一些垃圾邮件可能只是令人讨厌的广告,但钓鱼是一种从用户那里诈骗的企图。不幸的是,人们掉进了它的陷阱。钓鱼是一种利用电子邮件作为“诱饵”来骗取访问金融账户所需信息的手段。通常,电子邮件看起来是来自合法的公司。它试图诱使用户提供他们的账号和相关密码。电子邮件通常解释公司记录需要更新,或者安全程序正在修改,要求用户确认您的帐户,以便他们可以继续使用它。
从表面上看,很难判断这封邮件是否是欺诈。与垃圾邮件一样,网络钓鱼黑客的电子邮件通常在电子邮件地址中包含虚假的“发件人”或“回复”标题,这使得电子邮件看起来像是来自合法公司。除了欺诈性的“发件人”或“回复”地址外,伪造子邮件通常基于HTML。第一眼可能看起来像真的一样。电子邮件经常包含真正的商标,看起来拥有真正公司的网站地址。建议用户“小心”保管密码。电子邮件的所有的表象和措词都用来使它看起来是真的。
然而,当用户查看HTML(电子邮件内的电脑代码)时,用户可以看到网站地址是伪造的,点击链接实际上会把你带到另一个位置。它经常会把你带到一个看起来一样的外国网站。这些网站只是暂时开放,设计得跟真的一模一样,从而诱惑你输入你的登录信息和密码。一旦他们获得信息,就会试图从用户的帐户中汇钱出去,或者收取费用。
钓鱼的一种常见做法是在电子邮件中包含一个表格,供收件人填写自己的姓名、账号、密码或者PIN号。
钓鱼网站4招骗客敛财
1. 群发短信“善意”提醒,诱使网名上网操作;
2. 境外注册域名,逃避网络监管;
3. 高仿真网站制作, 欺骗网名透露户口密码;
4. 连贯转账操作,迅速转移网银款项。
钓鱼网站伪装成淘宝购物
网络安全技术人员认为钓鱼网站技术含量不高,个人要会防范。目前,“钓鱼网站”主要集中在两方面:一种是模仿央视、腾讯等假冒抽奖网站,如多地出现的仿冒“非常6+1”节目中奖信息骗取网民钱财的网络诈骗事件,主要特征是以中奖为诱饵,欺骗网民填写身份信息、银行账户等信息;另一种是模仿淘宝、工行等在线支付网页,骗取网民银行卡信息或支付宝账户。
在安全技术人员眼里,“网络钓鱼”没有太多技术含量,主要是利用人们的心理来实现诈骗。
中国互联网络信息中心的专家认为,一是人们受中奖或其他物质奖励诱惑而放松戒备;二是人们缺乏对网站真伪性验证的知识和方法简单介绍。另外,多数受骗用户在网上填报个人信息,特别是财务信息时缺乏防范意识,没有仔细验证网页的真实性。
专家说,“钓鱼网站”其实不难判别,一般假网站只有一个页面,没有任何链接。真的网站,首页不仅内容丰富,而且还能提供详细的联系方式。验证一个网站的真伪,还可以通过中国互联网络信息中心官方网站查询真实域名,也可以通过登录工信部ICP/IP地址/域名信息备案管理系统,获得网站的真实信息。
因为“网络钓鱼”都是以大奖诱惑消费者,因此消费者要对网络中奖活动提高防范意识;而在网络支付时也要小心谨慎,通过域名注册信息、第三方权威认证服务等多种手法验证网站真实性,同时,网民一定要重视个人信息的保护,包括个人联系方式、身份证号码、银行卡信息等。
1、黑客通过钓鱼网站设下陷阱,大量收集用户个人隐私信息,通过贩卖个人信息或敲诈用户;
2、黑客通过钓鱼网站收集、记录用户网上银行账号、密码,盗取用户的网银资金;
3、黑客假冒网上购物、在线支付网站,欺骗用户直接将钱打入黑客账户;
4、通过假冒产品和广告宣传获取用户信任,骗取用户金钱;
5、恶意团购网站或购物网站,假借“限时抢购”、“秒杀”、“团购”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。
钓鱼网站目前互联网上活跃的钓鱼网站传播途径主要有八种[2]:
钓鱼网站
1、通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;
2、在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接,此种手段被假医药网站、假机票网站常用;
3、通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;
4、通过微博、Twitter中的短连接散布钓鱼网站链接;
5、通过仿冒邮件,例如冒充“银行密码重置邮件”,来欺骗用户进入钓鱼网站;
6、感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;
7、恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;
8、伪装成用户输入网址时易发生的错误,如gogle. com、sinz. com等,一旦用户写错,就误入钓鱼网站。
钓鱼网站第一、查验“可信网站”
通过第三方网站身份诚信认证鉴别网站真实性。目前不少网站已在网站首页安装了第三方网站身份诚信认证――“可信网站”,可帮助网民判断网站的真实性。 “可信网站”验证服务,通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份,通过认证后,企业网站就进入中国互联网络信息中心(CNNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别,网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。
第二、核对网站域名
假冒网站一般和真实网站有细微区别,有疑问时要仔细鉴别其不同之处,比如在域名方面,假冒网站通常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名。
第三、比较网站内容
假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。
第四、查询网站备案
通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。
第五、查看安全证书
目前大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,如果发现不是“https”开头,应谨慎对待。
网络钓鱼攻击最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。
网络钓鱼其实就是网络上众多诱骗手法之中的一种,由于它的手段基本就是通过网络用一些诱饵(比如假冒的网站)等使用者上当,很像现实生活中的钓鱼过程,所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息,使用户受到经济上的损失。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。
钓鱼在大多数情况下是关于你的银行账号、密码、信用卡资料、社会保障卡号以及你的电子货币帐户信息。关于用户的paypal、yahoo邮件、gmail及其他免费邮件服务。只要记住上述那些正式公司绝不会通过电子邮件让你提供任何信息。如果你收到类似要求,让你提供资料,或者在邮件中带有指向网站的链接,那么它一定是网络钓鱼诈骗。
专家提醒,网民在查找信息时,应该特别小心由不规范的字母数字组成的CN类网址,最好禁止浏览器运行JavaScript和ActiveX代码,不要上一些不太了解的网站。
专家为此提出以下建议:
从不点击电子邮件中的链接来输入你的登录信息或者密码。相反,如果你认为电子邮件可能是合法的,那么用你的Internet浏览器或者Netscape浏览器直接访问公司网站。(不要从一封可疑的电子邮件中复制粘贴url地址。)
总是使用公司的官方网站来提交个人信息。如果在线发送信息,那么应该使用一个安全服务器在公司的官方网站上操作。
如果还是怀疑电子邮件所说的,就给公司打个电话。
总是在你的手机或者笔记本中保存你经常打交道的公司的正确联系电话号码,并且只使用你保存的那个号码。例如,如果你在汇丰银行有一个账户,那么保存正确联系号码,并且只使用那个号码。永远也不要相信邮件中的电话号码。
像电话号码一样,总是在你的收藏夹中保存正确的网站地址,并且使用他们做与那个公司有关的任何事情,永远也不要相信电子邮件中的网站链接。
钓鱼网站每年卷走300亿元 密码被盗情况增长20%
网络信息安全日益被业内关注,日前在被视作网络信息安全领域风向标的第15届亚洲反病毒大会2012AVAR上,腾讯副总裁曾宇在接受本报记者采访时表示,尽管中国计算机病毒感染率连续数年呈下降趋势,但当前国内的网络信息安全形势不容乐观。
根据《第十一次全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告》发布的数据显示:2011年计算机病毒等恶意程序造成了密码、账号被盗、受到远程控制、系统(网络)无法使用、浏览器配置被修改等破坏后果,与2010年相比均呈上升态势,其中密码、账号被盗增长近20%[3]。
谈到中国的网络安全现状,曾宇指出网上横行的众多钓鱼网站利用各种散布病毒等不法手段,导致每年在网上损失300亿元,这是一个巨大的黑洞。他表示,在安全问题上,不仅需要安全软件厂商的努力,而且需要相关涉及用户隐私和金融安全、公安机关等相关机构协同作战。对此国内的金山、瑞星、江民、百度,国外的卡巴斯基、NEST、诺顿、微软等均表示支持。
互联网专家、中国社会科学院信息化研究中心秘书长姜奇平则认为:“互联网信息良莠不齐,任何一家企业个体都无法独自承担确保网民安全上网的重任,建设良性健康的互联网环境需要动员各大厂商甚至全社会的力量。”
国内现有处理机制都难以有效制止。据了解,对“网络钓鱼”的诈骗行为,工信部和公安部都设有专门的监管机构。其他各大部委也都有专门的监管机构负责行业内的网络安全管理。但由于“钓鱼网站”频繁出现,现有的处理机制很难及时有效制止“钓鱼网站”,在“中国反钓鱼网站联盟”成立前,国内还没有建立专门协调此问题的组织。
“中国反钓鱼网站联盟”并非官方机构,它的成员包括了域名管理机构、注册服务机构,以及银行证券类、电子商务类、网络安全类等企业,目的就是为了发现和治理“钓鱼网站”,主要是针对假冒其成员单位的“钓鱼网站”。该联盟在接到涉及联盟成员的投诉后,权威技术鉴定机构会立即对其进行判定,一经认定,两个小时内暂停其域名解析,终止欺诈行为。从处理的及时性上大大降低了“钓鱼网站”所造成的危害。
专家也指出,联盟的成员单位目前还是有限,对于层出不穷的“钓鱼网站”,国内反钓鱼网站协调机制和反钓鱼网站综合治理体系的建设还需进一步推进。另外,国家有关的法律法规也有待进一步完善。