上一篇
下一篇
有关反"网络钓鱼" 及如何防范网络钓鱼
作者:陈泓博 日期:2008-11-24
近日,中国互联网协会政策与资源工作委员公布了“中国金融行业网络品牌调查”,结果显示,逾七成金融企业启用由我国自主管理的CN国家域名,此次调查涉及银行、保险等金融机构共104家。其中银行54家,有43家启用了CN域名,应用率达79%;保险企业50家,启用CN域名的比例为76%。 大量钓鱼网站将不能再冒充银行实施网上诈骗。
根据中国反钓鱼网站联盟(APAC)的介绍,其反钓鱼快速解决机制是为样的:一旦发现钓鱼的情况,两个小时内暂停其域名解析,终止钓鱼欺诈行为。这的确是一项很不错的措施,也能在一定程度上遏止网络钓鱼的危害。当然这是建立在组织高效率运行的前提下。所以我认为仅仅这样的措施是远远不够的,我们期待这个天朝联盟能提出更多的措施。我们都知道,CN域名几乎是零成本的,建立一个象样的钓鱼网站对专业的钓客来说也就是几分钟的事情(复制-上传-传播),可是一个新的欺骗网站诞生后,我们天朝联盟能在多长的间内发现它并处理呢,一天?一周?还是一个月?值得怀疑。另外即使终止了解析,DNS刷新也是要一小段时间,所以强调在二小时内暂停解析没有实质意义。
什么网络钓鱼
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。
“网络钓鱼”攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。网钓通常是通过e-mail或者即时通讯进行。它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据。说白了就是披着羊皮的狼。受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。
用户自卫指南
一、普通消费者:
安全专家提示:最好的自我保护方式是不需要多少技术的。
1. 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。
2. 更重要的是,不要回复或者点击邮件的链接——如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。
3. 认真核对网址。几乎所有钓鱼式攻击都是要通过网址来访问的,那么这一步就非常重要了,一定要仔细核对再核对.特别注意域名网址的结构,不要受迷惑了; 多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。
4. 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙并经常升级,有些浏览器已内置了防钓鱼功能,你不妨开户此功能.
5. 科学设置和保护好账号密码,建议用字母、数字混合密码;为个人网上银行设置专门密码;任何情况下,不要轻易将个人账号等重要信息告诉别人。
6. 大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该都收到中文信件。
7. 将可疑软件转发给网络安全机构。
最后提醒一句,不幸中招者最好尽快更换密码和取消信用卡。
二、商业机构
1. 为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。
2. 加强用户验证手段,提高用户安全意识。
3. 及时处理用户反馈,积极打击假冒网站和其他相关的违法行为。客户中心对类似“为什么每次登陆都得输入两次账号和密码?”之类的投诉,就要想到是否有“网络钓鱼”的可能,因为“网络钓鱼”者通常“劫持”第一次数据,而用户再一次登陆才进入了真正的页面。
4. 当然,安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。
最后也要提醒一句,一旦出现被仿冒的情景,首先企业应该设法把诈骗网页取下来。有些时候,这并不是一件简单、快捷的工作。
相关信息:“钓鱼”网站虚假打折盗密码
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 互联网知识 安全 互联网攻击 网络钓鱼 
收藏到网摘: 相关日志: