| 内容载入中... | ||||
| ||||
【文章简介】你了解Phishing吗?与传统的入侵方式相比,它有什么显著特点呢?典型的Phishing案例有哪些?如何防范被Phishing呢? 网络钓鱼(Phishing),并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,并成为近期威胁网络安全的最大危害之一。你了解Phishing吗?与传统的入侵方式相比,它有什么显著特点呢?典型的Phishing案例有哪些?如何防范被Phishing呢?南方的早春总是伴着绵绵细雨,难得今天是个晴朗天,某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活
请访问以下3个网站,以了解与本文相关的更多内容:内容载入中...【文章正文】“垂钓者”是怎么做到的呢?很简单,一些未经设置的Email服务器并不会验证用户信息是否真实,于是骗子用这样的邮件服务器发送一封伪造了发件人地址的信件简直是易如反掌。
借竿钓鱼:爱恨交加的搜索引擎
由于Internet的迅速发展,信息量大爆炸时代随着网络的普及耸立在世人面前,我们可以获取信息的途径越来越多,但是查找特定的信息数据也开始变得困难,为此人们急切需要一种能尽量把各种信息统一管理并提供简便搜索功能的工具,搜索引擎因此而诞生。与此同时,搜索引擎的代表作Google由于技术的强大已经成为病毒和入侵者窥视的焦点。
这次,依旧是Google惹的祸。很早以前,Google就“提供”了一种“搜索入侵”:入侵者通过在Google上查询某些特定的字符,可以发现甚至直接进入存在该漏洞的计算机,当年有许多存在Unicode漏洞的计算机就是被Google拎了出来——只要搜索诸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此类的关键字就能发现很多包含“Directory of”字符串的IP地址,点击进去,你会发现你已经用Unicode漏洞入侵了该计算机……现在虽然这个方法已经基本失效,但是Google带来的安全性问题却更值得引起所有人的重视。面对强大的Google,“垂钓者”已经不满足于仅靠Web页面钓鱼,他们还看上了Google的桌面搜索工具Desktop Search,这个工具存在一个信息泄漏的漏洞,入侵者能通过脚本程序欺骗Desktop Search提供用户信息,最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息,“垂钓者”可以伪造相关信件并建立欺骗性的电子商务(电子商务模式:http://www.CanEb.com)网站,让用户误以为是大公司发给自己的信函而受欺骗。一些“垂钓者”用假的口令验证得以窃取用户信息,另一些则欺骗用户点击一些商品信息而被种植木马程序。
典型的Phishing攻击示例
跨站钓鱼:真实网站的噩梦
前面提到的伪造页面欺骗是“垂钓者”利用虚假信函和人们寻求方便的心理,直接点击信函给出的恶意链接而达到钓鱼的目的,如今随着媒体的揭露以及用户警惕性的提高,这种手段成功率逐渐降低了。于是处心积虑的骗子们开始制造一种新的迷雾:他们同样是用某种手段把用户骗到商务网站,但是与以前不同的是,这次用户访问到的是真正的商务站点。难道“垂钓者”们改邪归正了?答案是否定的,这个真正的商务站点依然会把用户带到“垂钓者”的恶意页面——骗子利用一种称为“跨站攻击”的技术,在真实网站上插入恶意链接,用户即使再细心也很难想到真实网站也会暗藏杀机。这种被称为“鸡尾酒钓鱼术”的手段使商务网站的可信度大大降低。
什么是“跨站攻击”呢?业界对其定义如下:“跨站攻击是指入侵者在远程Web页面的HTML代码中插入具有恶意目的的数据,使得用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。”
跨站攻击有多种方式,典型的方式有两种:其一,由于HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息(Cookie),由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失。让我们举一个例子来说明这种情况:比如某个正规论坛是你经常去的,你当然不会怀疑这个论坛有问题,但是有些无聊的用户可能在这个论坛发布带有恶意脚本的帖子,当你浏览这个帖子时,就有可能被攻击。
“垂钓者
电子商务模式窄告: |
| 内容载入中... |
实名制会员登录
|
载入中…
|
