| 出版日期:2005-02-21 总期号:1388 本年期号:11 |
|
 |
防垃圾邮件不要忽视网络钓鱼
文 晓义 网络钓鱼(Phishing)是一种新型的的垃圾邮件,它是一种未经许可而发送的商业邮件。比垃圾邮件更为危险的是,垃圾邮件仅仅是浪费他人的时间和系统的存储和网络资源,但是Phishing却是恶意设下的一种骗局。无论对企业还是消费者来说,如果不慎跌进Phishing的陷阱,将受到巨大的损失。 Phishing是透过垃圾邮件来诈骗网民的个人资料,一般多半是借口他们的资料需要更新,或者基于安全理由需要重新进行身份验证,如此便可骗取网民的账号ID与密码。电子邮件接收人在毫不怀疑的情况下提供了他们的敏感信息,然而就在数小时甚至几分钟的短时间内,那些未经授权的交易就将使受骗者蒙受巨大损失。 前段时间,一个假冒工商银行网站的消息曾经震惊全国。这家黑网站通过要求储户更改密码、网上购物等手段,盗取储户账号、密码,骗取网民钱财,在短时间内就疯狂敛财近80万元。这个事件就是网民没有识别网络钓鱼的欺骗手法而上当受骗的。 查明被害人的资金账户被盗,是犯罪嫌疑人盗用银行名义向被害人发送电子邮件,谎称被害人的资金账户经常被他人恶意试探,引诱被害人立即登录犯罪嫌疑人提供的假银行网站更改密码。由于储户的警惕性不高,误入犯罪嫌疑人提供的假网站,使得个人信息泄露,并导致存入银行的资金被犯罪嫌疑人盗取。在购物网站上购物的网民被骗经过也与此类似。假工行网站www.1cbc.com.cn与真工行网站www.Icbc.com.cn,只有一字之差。 现在,大多数人都能够意识到不能随便在网络上随意透露个人信息,但是,对于新型的Phishing电子邮件骗局来说,网民却很难判别真伪,因为,诈骗者所捏造的收件人与发件人跟真正公司所发出的电子邮件一模一样。 除了捏造资料外,用网络钓鱼的欺骗手法发出的邮件通常也会使用HTML格式的网页电子邮件。乍看之下,这类电子邮件仿佛是值得信任的,不管是商标、标识、图形,以及公司的链结全都一应俱全。事实上,在很多情况下,HTML页面都直接使用了正牌网站的图片、文档。很多网民都收到过许多仿冒购物网站网页的Phishing电子邮件,所显示的网址似乎是真实的,只需要轻轻点下这些链接就能够登录购物网站。然而,这些链接却正是仿冒网页设置的陷阱,它们实际上链接的是一个无法解读的IP网址,而不是购物网站中的真实页面。 几乎所有的金融机构、信用卡发行公司、零售商或其他类型的商业交易,都不可避免地成为诈骗成员利用的对象。2003年10月,英国NatWest由于受到这种恶意攻击,不得不在12月份关闭公司网站。当NatWest被迫关闭其网站时,为方便与消费者进行联系,它们不得不支出大笔费用架设客服专线。在这种情形下,由于线路繁忙很可能导致消费者失去耐心,从而放弃购买。 大多数针对消费者的诈骗金额每次都不是很多,这是由于在短时间内,小规模的交易往往不易引起大众的特别注意。如果诈骗者钓到用户的信用卡账户信息,那么无论对持卡者或销售商来说,都意味着将面临损失的风险。诈骗者利用Phishing进行大额诈欺时,其攻击对象通常由消费者个人转向公司或企业。 由于每家企业都有可能成为诈骗集团的下一个钓鱼对象,因此,大家还是希望想出得以阻止受害的方式。正如解决垃圾邮件一样,解决方案主要还是依赖技术、法律与社会自约。诈骗者利用钓鱼手法窃取的资金往往透过临时性账户,最终以转账方式流入他们的国外账户。因此,期望追踪被窃资金的流向几乎是不可能的。 就技术面而言,由于Phishing也是一种垃圾邮件,因此,人们可以运用相同的垃圾邮件处理工具对它进行隔绝。例如,对网页和电子邮件进行过滤,建议公司定期对DNS进行扫描,以检查是否存在一个与公司已注册的相类似域名。Visa受到攻击时,钓鱼者正是使用了visa-security.com。此外,银行还可以在他们发出的电子邮件中启动数字签名,确保信息的完成和发信人的真实性。 |
||||||||||||||||||
