钓鱼网站技术与防护

摘要:钓鱼网站是在线身份窃取的一种,是目前最常见的网络危害方式之一,它严重损害互联网用户的利益,通过阐述钓鱼网站的定义与危害及其危害的表现形式,对钓鱼网站进行技术原理和防护方面的深入探讨。

中国论文网

关键词:钓鱼网站;技术;防护

中图分类号:TP3-4文献标识码:A文章编号:1671-7597(2012)0110193-01

1 钓鱼网站的定义

所谓的“钓鱼网站”是一种网络欺诈行为,是指不法分子利用各种手段,将自己的网站伪装成银行、电子商务及其他一些影响力较大的网站,并经过进行精心设计和编码仿冒真实网站的URL地址以及页面内容,或者利用技术手段挖掘真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、网络游戏账号、密码等私人资料。这种伪装后的网站,即是钓鱼网站。

2 钓鱼网站的危害

“钓鱼网站”近年来频繁出现,严重地影响了在线金融服务、电子商务的发展,危害了公众利益,影响了公众应用互联网的信心。钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。它一般通过电子邮件传播,此类邮件中一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站是一个通过精心设计与目标组织的网站非常相似的页面,它与真实网站界面一致,要求访问者提交账号和密码,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,他们可利用这些信息假冒受害者进行欺诈性金融交易,从而获得经济利益。

3 钓鱼网站危害的表现形式

目前,在我国互联网应用当中,钓鱼网站主要表现为两种类型:

3.1 模仿、假冒抽奖网站。模仿央视、腾讯等抽奖网站的中奖信息骗取网民的钱财,这种钓鱼网站的主要特点是以中奖为诱饵,欺骗用户填写真实的身份信息和相关的银行账户信息等。首先,在访问钓鱼网站的同时,提示用户中奖,并给出获奖验证码。接着,提示用户记住获奖验证码进入下一个环节。然后,提示用户录入验证码领取奖品,点击确定后进入与个人信息相关的界面。最后,要求录入个人信息,并提示用户支付相关的手续费用。就这样,钓鱼网站就完成了一个完整的诈骗流程,一旦用户被钓鱼网站的信息所骗并向指定的账户汇款缴费,则会造成用户私密信息和经济方面的损失。

3.2 模仿、假冒网上银行网站。中奖之外的另一种常见钓鱼网站就是模仿淘宝、各行网上银行等网站的在线支付页面,通过直接骗取获得用户相关的网上银行账号信息、密码和支付宝的账号密码等等。因为这一类的网站可直接获取经济利益,所以这种类型的钓鱼网站数量有明显增加的态势,并且已大量出现了各种盗取网上银行账号和支付宝的账号密码的钓鱼网站程序,当当用户打开浏览这种钓鱼网站的页面时,一旦用户把网银账号和密码输入到这个页面后提交,那么这种钓鱼网站的程序就会把用户的相关信息发送到钓鱼者的数据库中,而这些不法分子就可以利用这些信息进行窃取用户的资金。

3.3 其他方式。钓鱼网站其他方式有:通过电子邮件、即时通讯工具(QQ或MSN等)、论坛、博客、微博、社交网站等方式发送含有诱惑性内容的信息,如打折、促销、优惠、抢购、贷款、信用卡消费、密码重置、投资管理、彩票、抽奖或社交网站上的好友交往等入侵网站,并非法修改相关内容,将正常的内容链接到钓鱼网站;在用户浏览的网页中利用弹出窗或悬浮窗的方式发布通知;通过在中小网站甚至搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。

4 钓鱼网站的技术原理

4.1 页面制作。钓鱼网站首先得模仿出诱骗用户登录的看起来象正规网站的网页内容。

不法分子可以通过“文件另存为”功能来将一些网页的文字、图片、链接以及Flash动画等内容显示在网页上,他们往往将制作好的网页放到一个可以公开访问的服务器上,这样可以使任何人通过互联网访问到这个页面。

4.2 后台技术。钓鱼网站的目的就是要获取用户的私密信息,所以如何捕获用户在网页上的输入内容是很关键的一步。一般情况下,他们在获取网页内容后,会把网页代码根据自己的需要进行修改。正常的网页会将用户的输入传送到后台数据库,并进行校验或回传等运作,而这些不法分子则不要校验这些中间过程,只是将用户输入的内容传送到特定的后台即可。这所谓的“后台”可以是具体的文本文件或数据库,也可以利用特定的程序将用户输入的内容通过电子邮件发送到他们的电子信箱中。微软的Microsoft Access或Sun公司免费的MySQL数据库编程实现简单且易维护,是不法分子多用的后台方式。也有的是利用操作系统的漏洞,预先植入木马程序到目标机里,当用户浏览钓鱼网站时,程序就可以记录到用户输入的键盘记录,并直接发送给他们。

4.3 钓鱼网站的防护。从安全角度来讲,钓鱼网站并不是不可识别。钓鱼网站很多是以大奖诱惑用户,用户要对网络中奖活动提高防范意识此外,用户在网络支付时也要小心谨慎,可以通过域名注册信息、第三方权威认证服务等多种手法来验证网站真实性。同时,网民一定要重视个人信息的保护,包括个人的联系方式、身份证号码、银行卡信息等。具体防护有如下几点:

1)在进行相关操作时,一定要仔细检查网站的相关域名信息,防止不法分子利用障眼法来欺骗用户。例如:工商银行的网址为http://www.省略,而仿冒中国工商银行的钓鱼网站则为http://www.省略.

Cn。二者之间仅是小写字母i和数字1之间的细微差别。2)除了仔细对比域名信息之外还可以对比网页的内容信息。钓鱼网站一般模仿的相对粗糙,且相关链接信息少。目前大型的电子商务网站或网络银行站点都应用了可信证书类产品,针对大型电子商务网站或网银站点需要查看其安全证书。3)查询网站的ICP网站备案信息,通过ICP备案可以查询网站的基本情况、网站拥有者的情况等,用户可以通过工业与信息化部的网站备案管理网站(http://www.miibeian.省略/)查询该信息进行网站信息并加以确认。4)对于那些有一定网络技术基础的用户而言,则可以对网页的页面代码信息进行查阅,从网页源代码的层面上对钓鱼网站进行分析和判断,即可发现添加的账号密码信息被提交至不法分子接收用户私密信息的地址。5)其他网络安全防范措施。一是安装防火墙和防病毒软件,并经常升级;二是注意经常给系统打补丁,堵塞软件漏洞;三是禁止浏览器运行JavaScript和ActiveX代码;四是不要上一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件,不要打开msn 或者QQ上传送过来的不明文件等;五是提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;尽量避免在网吧等公共场所使用网上电子商务服务。广大用户如发现网上诈骗、盗窃等违法犯罪活动可向公安部网络违法案件举报中心举报。

参考文献:

[1]杨伟建,浅谈计算机网络安全形势与应对策略[J].商业文化(上半月),2011.04.

[2]刘远生,网络安全技术与应用实践,清华大学出版社.

转载请注明来源。原文地址:

相关推荐
相关主题
热门推荐