龙源期刊网 https://www.doczj.com/doc/0a14838239.html,
浅析网络钓鱼策略及对策
作者:李洪涛孟宪亮
来源:《教师·理论研究》2008年第07期
摘要:本文从网络钓鱼的由来剖析了网络钓鱼的攻击策略、攻击模式和攻击特征,并最
后给出了个人和企业如何来应对和防范网络钓鱼的方法。
关键词:网络钓鱼;模式;防范
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局作出响应。
一、钓鱼攻击策略
1.架设钓鱼网站
大规模扫描有漏洞的主机,攻陷有漏洞的主机,架设钓鱼网站。假冒网站有知名的金融机构、在线电子商务网站,犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。如曾出现过的某假冒银行网站,网址为
https://www.doczj.com/doc/0a14838239.html, ,而真正银行网站是https://www.doczj.com/doc/0a14838239.html, ,犯罪分子利用数字1和
字母i非常相近的特点企图蒙蔽粗心的用户。
2.利用邮件欺骗
目的是欺骗用户访问钓鱼网站,诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。2006年2月份发现的一种骗取美邦银行(Smith Barney)用户账户和密码的“网络钓鱼”电