快捷搜索:  汽车  科技
当前位置: 爱玩科技 > 生活 > 正文

学钓鱼入门技巧(钓鱼式攻击)

小君 60

学钓鱼入门技巧(钓鱼式攻击)网钓者使用图像代替文本,使反网钓过滤器更难侦测网钓电子邮件中常用的文本。过滤器规避大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于一封电子邮件中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或使用子网域是网钓所使用的常见伎俩。在下面的网址例子里,www. 您的银行。范例 .com/,网址似乎将带您到 “您的银行” 网站的 “示例” 子网域;实际上这个网址指向了 “示例” 网站的 “您的银行”(即网钓)子网域。另一种常见的伎俩是使锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。另一种老方法是使用含有 ‘@’ 符号的欺骗链接。原本这是用来作为一种包括用户名和密码(与标准对比)的自动登入方式。例如,可能欺骗偶然造访的网民,让他认为这将打开上的一个网页,而它实际上导引浏览器指向上的某页,以用户名该页面会正常开启,不管给定的用户名为何。这种网址在 Internet

学钓鱼入门技巧(钓鱼式攻击)(1)

钓鱼式攻击是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是 “社会工程攻击” 的一种形式。

学钓鱼入门技巧(钓鱼式攻击)(2)

社交网站是网钓攻击的目标,因为在这些网站的个人数据明细可以用于身份盗窃。

网钓技术

链接操控

大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于一封电子邮件中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或使用子网域是网钓所使用的常见伎俩。在下面的网址例子里,www. 您的银行。范例 .com/,网址似乎将带您到 “您的银行” 网站的 “示例” 子网域;实际上这个网址指向了 “示例” 网站的 “您的银行”(即网钓)子网域。另一种常见的伎俩是使锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。

学钓鱼入门技巧(钓鱼式攻击)(3)

另一种老方法是使用含有 ‘@’ 符号的欺骗链接。原本这是用来作为一种包括用户名和密码(与标准对比)的自动登入方式。例如,可能欺骗偶然造访的网民,让他认为这将打开上的一个网页,而它实际上导引浏览器指向上的某页,以用户名该页面会正常开启,不管给定的用户名为何。这种网址在 Internet Explorer 中被禁用,而 Mozilla Firefox 与 Opera 会显示警告消息,并让用户选择继续到该站浏览或取消。

还有一个已发现的问题在网页浏览器如何处理国际化域名(International Domain Names,下称 IDN),这可能使外观相同的网址,连到不同的、可能是恶意的网站上。尽管人尽皆知该称之为的 IDN 欺骗或者同形异义字攻击的漏洞,网钓者冒着类似的风险利用信誉良好网站上的网域名称转址服务来掩饰其恶意网址。

过滤器规避

网钓者使用图像代替文本,使反网钓过滤器更难侦测网钓电子邮件中常用的文本。

网站伪造

学钓鱼入门技巧(钓鱼式攻击)(4)

一旦受害者访问网钓网站,欺骗并没有到此退出。一些网钓诈骗使用 JavaScript 命令以改变地址栏。这里放一个合法网址的地址栏图片以盖住地址栏,或者关闭原来的地址栏并重开一个新的合法的 URL 达成。

攻击者甚至可以利用在信誉卓著网站自己的脚本漏洞对付受害者。这一类型攻击(也称为跨网站脚本)的问题尤其特别严重,因为它们导引用户直接在他们自己的银行或服务的网页登入,在这里从网络地址到安全证书的一切似乎是正确的。而实际上,链接到该网站是经过摆弄来进行攻击,但它没有专业知识要发现是非常困难的。这样的漏洞于 2006 年曾被用来对付 PayPal。

学钓鱼入门技巧(钓鱼式攻击)(5)

还有一种由 RSA 信息安全公司发现的万用中间人网钓包,它提供了一个简单易用的界面让网钓者以令人信服地重制网站,并捕捉用户进入假网站的注册表细节。

为了避免被反网钓技术扫描到网钓有关的文本,网钓者已经开始利用 Flash 构建网站。 这些看起来很像真正的网站,但把文本隐藏在多媒体对象中。

电话网钓

学钓鱼入门技巧(钓鱼式攻击)(6)

并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。一旦电话号码(网钓者拥有这支电话,并由 IP 电话服务提供)被拨通,该系统便提示用户键入他们的账号和密码。话钓 (Vishing,得名自英文 Voice Phishing,亦即语音网钓)有时使用假冒来电 ID 显示,使外观类似于来自一个值得信赖的组织 ^ [6]^ 。

热点网钓

学钓鱼入门技巧(钓鱼式攻击)(7)

网络黑客在公共场所设置一个假 Wi-Fi 热点,引人来连接上网,一旦用户用个人电脑或手机,登录了黑客设置的假 Wi-Fi 热点,那么个人数据和所有隐私,都会因此落入黑客手中。你在网络上的一举一动,完全逃不出黑客的眼睛,更恶劣的黑客,还会在别人的电脑里安装间谍软件,如影随形。

网站首页

返回栏目

猜您喜欢:

相关文章