網絡釣魚(Phishing,與釣魚的英語fishing發音相近,又名釣魚法或釣魚式攻擊)是通過大量發送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。
網絡釣魚攻擊一般會通過以下方式達到目的
- 複製圖片和網頁設計、相似的域名
了達到欺騙目的,攻擊者會註冊一個域名,它看起來同要假冒的網站域名相似,有時攻擊者還會改變大小寫或使用特殊字符
- 欺騙性的超鏈接
一個超鏈接的標題完全獨立於它實際指向的URL。攻擊者利用這種顯示和運行間的內在差異,在鏈接標題中顯示一個URL,而在背後使用了一個完全不同的URL。即便是一個有著豐富知識的用戶,他在看到消息中顯而易見的URL後也可能不會想到去檢查其真實的URL。檢查超鏈接目的地址的標準方法是將鼠標放在超鏈接上,其URL就會在狀態欄中顯示出來,但這也可能被攻擊者利用JavaScript或URL隱藏技術所更改。
- 彈出窗口
最近對Citibank客戶的一次攻擊使網頁複製技術前進了一步,它在瀏覽器中顯示的是真實的Citibank網頁,但在頁面上彈出了一個簡單的窗口,要求用戶輸入個人信息。
- 社會工程
釣魚攻擊還使用非技術手段使用戶墜入陷阱,其中的一個策略就是急迫性,從而使用戶急於採取行動,而較少花時間去核實消息的真實性。另一個策略是威脅用戶,如果不按照所要求的去做就會造成可怕的後果,如終止服務或關閉帳戶,少數攻擊還許諾將獲得巨額回報(如“你中了一個大獎!”),但威脅攻擊更為常見,用戶往往會對不勞而獲產生懷疑,這可能是人類的本能。
Latest posts by ICON Data Centre Limited (see all)
- Privacy Polic - 2024-02-08
- Privacy Policy - 2024-02-07
- Ubuntu 20.04架設Minecraft伺服器 - 2022-03-25