网络钓鱼的原理与防范技巧
网络钓鱼因其严重危害网民利益和互联网信誉体制,越来越多地受到人们的关注,国际上已经成立反网络钓鱼工作小组(APWG,Anti-Phishing Working Group),这是一个联合机构,拥有大约800名成员,他们来自约490家金融服务公司、技术公司、服务提供商、国家法律执行机构和立法机构,这些机构的职责是向产业股份持有人提供一个保密论坛以讨论网络钓鱼问题。反网络钓鱼工作小组通过召开会议以及成员之间的电子形式的讨论,努力从硬成本和软成本两个方面来定义网络钓鱼的范围,分享信息和最佳操作模式以消除存在的问题,希望在不久的将来,彻底消灭网络钓鱼陷阱,还给大家一个真诚、诚信的互联网。
一. 网络钓鱼的原理:
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing 发音与 Fishing相同。 “网络钓鱼”就其本身来说,称不上是一种独立的攻击手段,更多的只是诈骗方法,就像现实社会中的一些诈骗一样。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户用和口令、社保编号等内容(通常主要是那些和财务,账号有关的信息,以获取不正当利益),受骗者往往会泄露自己的财务数据。
现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法网站外观完全一样的虚假网站,这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾,这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段:
1. 钓鱼者入侵初级服务器,窃取用户的名字和邮件地址
2. 钓鱼者发送有针对性质的邮件3. 受害用户访问假冒网址
4. 受害用户提供秘密和用户信息被钓鱼者取得
5. 钓鱼者使用受害用户的身份进入其他网络服务器
关于恶意垃圾邮件,想必大家都很了解了,这里我们要实现和操作的是第三种,伪造目标网站,使目标用户访问假冒网站,从而完成我们的欺骗。
二、防范技巧
对于网络钓鱼,我们首先要做到:
1.不要相信陌生人
2.不要轻易点链接
3.不要轻易泄露个人信息
4.不要害怕。呵呵,这个多说几句,有点欺骗性网站伴随着一些威胁和警告,比如账户撤销,资金冻结什么的,这个时候不要只观察网站上的警示信息,可以打电话去公司或者机关查询。当然了,电话一点要从黄页上查,不然也可能被忽悠哦!!
对于正常的网络浏览,我们也可以采用以下办法进行防范:
1.打开WindowsXP的“自动更新”功能,随时缝补IE浏览器及系统漏洞,强烈建议非WindowsXP SP3升级至最新版本。
2.升级IE浏览器7.0,新版IE浏览器自带反网络钓鱼功能,在IE7浏览器中单击菜单“Tools→Phishing Filter”,在弹出的下拉菜单中选择“Turn On Automatic Checking”来开启它。
3.使用Maxthon等具备广告过滤、弹出窗口过滤、对话框过滤功能的第三方浏览器。
4.打开IE浏览器,执行“工具→Internet选项”命令,切换到“隐私”标签,将“设置”中滚动条拖至“高”或“阻止所有Cookie”项,WindowsXP SP2用户一定要确保勾选“阻止弹出窗口”项
5.给IE6.0浏览器打补丁:
① 使用瑞星卡卡助手可以帮助你屏蔽恶意网站、钓鱼网站,下载地址:http://tool.ikaka.com/,如果你遇到了恶意网站或钓鱼网站还可向卡卡助手报告以丰富卡卡助手的恶意网站数据库,从而保护更多网友,避免大家的损失。
② 使用雅虎助手,在其“安全防护→反钓鱼专家”中勾选 “启用上网助手反钓鱼功能”项就可让IE6.0也具有反钓鱼功能,另外,多使用雅虎助手提供的银行直达功能来访问网上银行。
③ 许多网友不喜欢“霸道”的雅虎助手(原3121上网助手 )如果不喜欢雅虎助手,可以为你的IE浏览器安装MSN Search Toolbar,其同样具有反钓鱼功能。
反钓鱼功能
如果涉及到网银交易或者网上购物,可以采用以下几点防范:
①硬件级的保护:到银行购买安全锁(即U盾,内含智能芯片,形状大小类似U盘)。在登录网上银行时,需将U盾插入电脑USB端口并输入U盾密码,如不小心泄露了网上银行用户名和密码,只要U盾仍然掌握在自己手中,或者连U盾也丢失但U盾的密码仍然掌握在自己手中,他人都无法登录你的网上银行。
②用鼠标点击检查网站首页最下方的红盾工商标志或ICP经营标志是否真实有效,如果能链接到工商行政部门备案网页,还应注意检察是否与网站名称、经营内容相符。