前两天被迫参加了一个GP会议,差点失去了盼望了好久的双休日,有幸看到国家计算机网络应急技术处理协调中心总工程师杜跃进博士关于网钓的演讲稿,真人没有看到,不然找他签个名。学到很多,不忍独吞,大家共享。
网钓的技术含量越来越高,一般用户越来越难防,可怕,可怕,实在可怕。
[red]第一招[/red]
利用网址名称的相似性把用户骗进去。例如,先发一个邮件,告诉你因为系统升级的关系,需要你重新确认帐号,并列出网址请用户点击进入。所列网址与正确网址相似,但不是正确网址。用户没看清楚,点进去后,网页也与正确网页完全一样,你输入用户名和密码,它就钓到了你的关键资料。
比如,正确网址应该是字母“l”,但假网址用阿拉伯数字“1”。还可能正确网址并没有.cn,但假网址前面的字符串都对,只是加了.cn。如此等等。
这招技术含量很低,就是欺负粗心的用户。
[red]第二招[/red]
利用漏洞,在用户打开正确的银行网页是,弹出一个假窗口,里边的格式与银行网页完全一致。这个弹出窗告诉用户需要重新确认用户名和密码。
这招有点技术含量,但大多银行都声明不设弹出窗口。用户打过补钉之后,这招就失效了。
[red]第三招[/red]
也是发一个邮件,告诉用户需要确认帐号。从邮件联接点入后,隐去网址栏。使用户无法核查网址是否正确。
这招技术含量更高一些,专门用来搞定外行用户。
[red]第四招[/red]
也是发一个邮件,告诉用户需要确认帐号。从邮件联接点入后,因为利用了系统漏洞,虽然在网址栏看到的网址正确无误,但实际上却是钓鱼网站的网址。
这招技术含量更高,一般用户难防
[red]第五招[/red]
根本就不用邮件,直接在用户机器里按装一个偷盗程序,记下你的每一次输入并发给上家。这招最狠,基本上没救。
[green]杜博士在演讲稿中说,钓鱼网一般生存仅5天左右,等你查出来,它已经把能拿的都拿到了。并且很多钓鱼站用动态IP,还配合僵尸技术,基本上查不到正主。[/green]
可怕,确实可怕。大家一定要特别小心 |
|
粤公网安备44010602011623号) 版权所有 All Rights Reserved.
