Security Hackress:釣魚攻擊,我才不是你的鉤上魚
大家好,在過去的三個星期,我們介紹了簡單的一些安全小內容:「那些讓人意猶未盡的密碼設置要求」, 「點擊授權前請仔細閱讀,你的個人信息被訪問了」 和 「家長控制,不良網路信息請走開」 。我們會持續為大家帶來這些安全小常識,也正式開設了一個新欄目「Security Hackress」。今天,和大家分享的是釣魚攻擊。我們每一個使用網路和電子設備的普通人正是釣魚攻擊的目標。
釣魚攻擊(Phishing),攻擊者偽裝成你信任的組織或個人以獲得你的用戶名、密碼、銀行卡賬號等敏感信息,從而進一步竊取你的個人資料或財物等。電話和簡訊進行的釣魚攻擊大家並不陌生。我們冷不丁會收到中獎通知,對方聲稱自己是某權威組織的工作人員,要求核實您的身份或銀行卡信息等,有時會邀請你去某網站或某地領取獎品。
網路中,以郵件為媒介進行的釣魚攻擊最為廣泛。首先攻擊者偽造銀行等信用組織向您發送一封看似官方的郵件,並建議你點擊郵件中鏈接。乍一看,似乎這封郵件並沒有問題,但分析一二,就會發現不少漏洞:
郵件發件人:官方的icbc和這封郵件的lcbc不同。
文中鏈接: 當滑鼠划過「鏈接」所顯示的網站並非官方網站。
*此圖片為展示釣魚郵件選取了工商銀行為抬頭。如有不當,請聯繫公眾號刪除圖片
如果不注意,點擊了鏈接後,鏈接所展示的網站和銀行的官方網站一般極其相似。當你在攻擊者刻意偽造的網站輸入您的銀行賬戶名和密碼後,攻擊者就獲取的你的銀行賬戶信息。
這時候,兩個小招快速驗證:
瀏覽器地址欄中的地址和官網地址是否一致。
點擊「個人網路銀行登錄」後,官方網站一般使用httpS協議並可查看對應證書。證書與官方地址匹配。
網路釣魚中,攻擊者除了偽造銀行,也會偽造親人、同事、老闆等向你發送郵件、信息等獲取你的個人資料和賬戶信息,或者誘導你向攻擊者賬戶轉賬等。現在社交網路越來越發達,我們在網路上分享自己生活的點點滴滴,這些都可以被攻擊者利用,讓偽裝更加真實。
今天分享的信息有點老調重彈。電話、簡訊、郵件等釣魚攻擊早有、常有,人們也越來越警惕,但是每年因為釣魚攻擊而導致的個人或企業損失依然嚴重。作為個人的我們:
不要點擊可疑郵件或信息中的鏈接
如果有可疑的來自銀行等信用組織的郵件等,撥列印在銀行卡等後面的官方電話確認(不要撥打可疑郵件中的電話)。
如果有可疑的來自親友的信息,和親人電話或者視頻確認。
TAG:Hackress |