???????網絡釣魚一詞最早出現于1996年,起因于黑客始祖?zhèn)兝秒娫捑€犯案,因而結合fishing與phone創(chuàng)造phishing一詞。
???????網絡釣魚蘊含著“姜太公釣魚,愿者上鉤”的典故。這是通過大量發(fā)送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID、ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。
???????This term refers to the activity of using social engineering techniques to fraudulently acquire sensitive information, such as passwords and credit card details, in an electronic communication. Phishing is usually carried out by using email, fake Websites, copy-cat Web pages or an instant message.
???????例如:去年,我國有超九成網民碰到過網絡釣魚網站,遭遇網絡安全事件的網民中77.5%是在網絡下載或瀏覽時遭遇病毒或木馬攻擊。
???????More than 90 percent of netizens have encountered a phishing Web site, while 77.5 percent responded that they have received a computer virus while surfing or downloading material online.
—— 摘自雙語新聞《CNNIC發(fā)布報告:去年網民為“安全”花費153億》
???????網絡釣魚的誘餌千百種,包括數據過期、無效需要更新,或者是基于安全理由進行身分驗證,騙取個人賬號與密碼。這類網絡騙局對于使用者而言,很難判別真?zhèn)?。比如偽造的銀行網頁,詐騙者所捏造的電子郵件與網站幾乎與官方的一模一樣。更可怕的是,現在的反病毒或者網頁過濾軟件對此已經無能為力,即便有對URL做應對,也由于釣魚網站的短暫的存活周期(一般為15天)而顯得防不勝防。SenderID和Domainkeys也許會有點用,但這個也是未來的事了。
???????到目前為止,如何有效防范釣魚網站還沒有行之有效的手段,不過由于釣魚網站的連接主要是通過垃圾郵件來發(fā)送,所以對于郵件中的鏈接注意的話,還是可以識別出大部分的欺詐行為的。特別是一些來自“銀行”“電信”的郵件,不確信的話可以通過搜索引擎來確定官方身份。
???????最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上,并獲取收信人在此網站上輸入的個人敏感信息,通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。
???????隨著phishing site(釣魚網站)日益猖獗,phishing e-mail(詐騙郵件)日益泛濫, anti-phishing(反網絡釣魚)軟件也應運而生,比如微軟就在IE7.0中加入了phishing filter(網絡釣魚過濾器)。但要想防止被騙,還需要我們平時多加小心。
(來源:Global Times) |